Multi-Customer Security Immersion Day December + Reinvent News (1).pdf

© 2022, Amazon Web Services, Inc. or its Affiliates.
AWS Security Immersion Day
Diciembre 2022

AWS Security Immersion Day
Preguntas frecuentes / Anuncios
- Estarán disponibles tanto las presentaciones como la grabación del
evento, se compartirá inicialmente en el Slack de la Comunidad de
usuarios de AWS Security LATAM
https://bit.ly/aws-sec-com (canal #eventos)
- Por favor hagan las preguntas usando el modulo de preguntas y
respuestas de Webex (abajo a la derecha), no el Chat.

Oradores y Colaboradores
Dario
Goldfarb
Security
Specialist SA
Maria Isabel
Florez
Solutions
Architect
Giovanni
Rodriguez
Solutions
Architect
Pablo
Guzmán
Solutions
Architect
Doris
Manrique
Solutions
Architect
Mauricio
Romero
Solutions
Architect
Mario
Navarro
Solutions
Architect
Saul
Torres
Solutions
Architect
Juan
Fernandez
Solutions
Architect

Agenda
Módulo 1: Modelo de Responsabilidad compartida – Seguridad DE la nube
Módulo 2: Estrategias Multi-Cuenta
Módulo 3: IAM: Identidades y Accesos
Módulo 4: Seguridad de la infraestructura
Módulo 5: Gestión de la seguridad
Módulo 6: Compliance Continuo
Módulo 7: Controles Detectivos
Módulo 8: Protección de datos
Módulo 9: Respuesta ante incidentes
Módulo 10: Cómo seguir aprendiendo
Workshop AWS Security Hub o Amazon GuardDuty o Amazon Inspector o AWS WAF

Introducción
Módulo 1

Módulo 1 - Tabla de contenidos
• Modelo de responsabilidad compartida
• Cómo AWS hace su parte
Seguridad DE la nube
• Cómo ayudamos al cliente a hacer su parte
Seguridad EN la nube
• Modelo de responsabilidad compartida
• Cómo AWS hace su parte
Seguridad DE la nube
• Cómo ayudamos al cliente a hacer su parte
Seguridad EN la nube

Desafíos de seguridad

Desafíos actuales de seguridad donde la nube puede ayudar
Visibilidad
• Inventario de IT
• Actividad / Auditoría / Compliance
Escases de recursos
• Humanos / Económicos
• En el mercado laboral
Infraestructura a proteger
• Más grande / Más diversa
• Más distribuida
Amenazas externas evolucionan
• Actores / Malware
• “Criminal as a Service”
à Servicios nativos de inventario – No más shadow IT
à Registro de API calls – Solo ”GAP” en auditorías
à El CSP tiene equipos de seguridad 24x7, no estás solo.
à Responsabilidad compartida – Tareas pesadas al CSP
à Automatización
à Gestión a escala de recursos
à Servicios de respuesta ante incidentes
à Vectores de ataque limitados con hardening.

Modelo de Responsabilidad Compartida
AWS
Seguridad DE
la nube
AWS es responsable por
proteger la infraestructura
donde se ejecutan los
servicios
Seguridad EN
la nube
El Cliente es responsable por
la seguridad de sus cargas de
trabajo en la nube
Cliente

Servicios de
infraestructura
Servicios
administrados /
encapsulados
Servicios
abstractos /
serverless
Tipos de servicios
Modelo de responsabilidad compartida

Gestión del SO (parches, hardening, antimalware*)
Gestión de la BD (parches, hardening)
Escalabilidad
Respaldos de BD
Alta disponibilidad
Instalaciones para BD
Cifrado
Ejemplo: bases de datos
Servicios de
infraestructura
EC2 Seguridad física – Procesos de seguridad
Electricidad, enfriamento
Montaje en racks - red
Mantenimiento de Servidores - Hypervisor
Instalación del SO
Crecimiento elástico
* Requerido Por PCI-DSS
Control de acceso

Cifrado
Seguridad física – Procesos de seguridad
Servicios
encapsulados
RDS
Instalación del SO
Escalabilidad
Respaldos de BD
Alta disponibilidad
Operaciones Configuración
Control de acceso

Seguridad física – Procesos de seguridad
Instalación del SO
Servicios
abstractos
DynamoDB
Control de acceso
Respaldos de BD
Alta disponibilidad
Cifrado
Operaciones Configuración
Escalabilidad

Arquitecturas basadas en Servicios Abstractos – Serverless
• Uso a demanda con pago
por uso
• 100% elástico
• HA en múltiples Zonas de
Disponibilidad
transparentemente
• Infraestructura y
ambiente de ejecución
gestionado

¿Cómo AWS
hace su parte?
AWS
Seguridad DE
la nube
proteger la infraestructura
donde se ejecutan los servicios
Cliente

Infraestructura Global
30 Regiones – 96 Zonas de Disponibilidad – 410+ Puntos de Presencia
Zona de
Disponibilidad A
Zona de
Disponibilidad B
Zona de
Disponibilidad C
AZ
DataCenter 1
DataCenter 2
DataCenter n
https://infrastructure.aws
3
3

AWS Local Zones

Protección del perímetro
https://aws.amazon.com/es/compliance/data-center/perimeter-layer

Protección del acceso a las salas del datacenter
https://aws.amazon.com/es/compliance/data-center/data-layer

Informes de auditoría y cumplimiento disponibles
para los clientes en el portal de servicios en AWS
Artifact
https://aws.amazon.com/es/compliance/programs/
CSA
Cloud
Security
Alliance Controls
ISO 9001
Global
Quality
Standard
ISO 27001
Security
Mgmt
Controls
ISO 27017
Cloud
Specific
Controls
ISO 27018
Personal
Data
Protection
PCS DSS
Level 1
SOC 1
Audit
Controls
Report
SOC 2
Security,
Availability &
Confidentiality
Report
SOC 3
General
Controls
Report
C5
(Germany)
Operational
Security
Attestation
Cyber
Essentials
Plus (UK)
Cyber Threat
Protection
ENS High (Spain)
Spanish
Gov
Standards
G-Cloud
UK
Gov
Standards
IT-Grundschutz
(Germany)
Baseline
Protection
Methodology
+200
certificaciones y
acreditaciones
de seguridad
y conformidad
+2600
controles de
seguridad
auditados
anualmente
Programa de cumplimiento regulatorio global de AWS

Ejemplo de políticas de seguridad de datos en AWS
Dispositivos de almacenamiento son destruidos DENTRO del
datacenter previo a ser decomisionados.

Informes de cumplimiento regulatorio: AWS Artifact FREE

Certificados y reportes de cumplimiento

Servicios certificados
https://aws.amazon.com/es/compliance/services-in-scope/

AWS Compliance Center
https://aws.amazon.com/financial-services/security-compliance/compliance-center/
Información
especifica de cada
país para
cumplimiento
regulatorio en
servicios financieros
Free

AWS Realiza su parte del modelo eficientemente con
automatizaciones
• Pipelines de despliegue continuo
• Despliegue de parches
• Procesos probados a escala
• Mínima intervención humana enfocada en la supervisión de los
procesos automatizados
La inversión en seguridad de AWS es mucho más grande que lo que la
mayoría de los clientes pueden hacer individualmente

AWS refuerza postura de seguridad
Automatización
con servicios de
seguridad
profundamente
integrados
Hereda los
controles de
seguridad y
cumplimiento
adoptados
globalmente
por AWS
Los más altos
estándares de
privacidad y
seguridad de
datos
La mayor red
de partners y
soluciones de
seguridad
Permite
escalar
con
visibilidad
y control

Subcontratación
https://aws.amazon.com/es/compliance/third-party-access/

Boletines de seguridad
https://aws.amazon.com/es/security/security-bulletins/

Recursos de seguridad y cumplimiento regulatorio
CSA Consensus Assessments
Initiative Questionnaire
(CAIQ)
https://d1.awsstatic.com/whitepapers/co
mpliance/CSA_Consensus_Assessments_Ini
tiative_Questionnaire.pdf
Standardized Information
Gathering (SIG)
Questionnaire
AWS Artifact
Disponible en
https://console.aws.amazon.com/artifact

Cómo ayudamos al
Cliente a hacer su parte
Seguridad EN
la nube
El Cliente es responsable por la
seguridad de sus cargas en la
nube
Cliente
AWS

Frameworks & Best Practices
AWS Well-Architected Tool
Well-Architected document
NIST
Cybersecurity
Framework

AWS Identity & Access
Management (IAM)
AWS Organizations
AWS Control Tower
AWS Cognito
AWS Directory Service
AWS Single Sign-On
AWS Secrets Manager
IAM Access Analyzer
AWS Verified Access
AWS Verified Permissions
AWS CloudTrail
AWS Security Hub
Amazon GuardDuty
AWS Security Lake
AWS Config
Amazon
CloudWatch
VPC Flow Logs
Traffic Mirroring
Trusted Advisor
AWS Systems Manager
AWS Shield
AWS WAF
AWS Firewall Manager
AWS Network Firewall
Amazon Inspector
Amazon Virtual Private
Cloud (VPC)
EC2 Image Builder
AWS Key Management
Service (KMS)
AWS CloudHSM
AWS Certificate Manager
Amazon Macie
Server-Side Encryption
S3 Block Public Access
AWS Config Rules
AWS Lambda
Amazon Detective
AWS Step Functions
AWS CloudEndure DR
AWS Backup
AWS SSM Automations
Identidades y
Accesos
Controles de
Detección
Seguridad en
Infraestructura
Respuesta ante
Incidentes
Protección
de Datos
Servicios de seguridad de AWS
Free
Free
Free Tier
Free Trial
Free
Trial
Free
Free Tier
(standard)
Free
Free Tier
Free Trial
Free Tier
Free
Free
Free
Free
Trial
Free Tier
Free
Free
Trial
Free Tier
Free
Free Tier
Free Tier
Free Free
Tier
Free Trial
https://aws.amazon.com/es/products/security/
Free
Trial
AWS Audit Manager
Compliance
AWS Artifact Free Free
Trial
New
New
New

AWS Marketplace – Socios de negocio
Cientos de socios en el AWS Marketplace
(2800+ Soluciones/AMIs)

Estrategias Multi-cuenta
Módulo 2

• Esquemas Multi-Cuenta
• AWS Organizations
• AWS Control Tower

¿ Qué es una cuenta ?
Es un límite de seguridad
Así como un cliente no puede acceder
a los datos de otros, una cuenta no
tiene por defecto ningún permiso
sobre las otras

Una cuenta vs. multi-cuenta
Multi-cuenta
Hay mayor infraestructura a
gestionar
Mejor aislación
Protección de logs en cuenta aparte
Libertad de operación dentro de
ciertos limites
Separación de costos por unidades
organizacionales, cuentas y/o Tags
Una cuenta

AWS Organizations – Estrategia Multi-cuenta
Centro de
datos
1. Orgs: Gestión - SCPs
2. Logging: Log centralizado
3. Security: Servicios de seguridad, GD,
Sec.Hub, etc.
4. Shared services: AD, DNS, monitoreo
5. Redes: Entre VPCs / Centro de datos /
VPN / Transit Gateway
6. Sandbox: Experimentos
7. Dev: Desarrollo
8. Pre-Prod: Staging - Testing
9. Prod: Producción
Cuentas Core
Logging
Seguridad
Auditoría
Redes Shared
Services
Cuentas de desarrollo
Developer
Sandbox
Por BU/producto/carga
Prod
Pre-Prod
Dev
2
3
4
7
9
8
AWS Organizations – Root account (Cuenta maestra)
1
5
6

Organizaciones en AWS – Service Control Policies (SCP)
Service Control
Policies (SCPs)
A1 A2 A4
M
Cuenta principal/raíz
Unidad organizativa
(OU)
Cuentas de
AWS
Recursos de AWS
A3
Desarrollo Prueba
s
Producción
Organizaciones en AWS – Service Control Policies (SCP)
Service Control
Policies (SCPs)
A1 A2 A4
M
Cuenta principal/raíz
Unidad organizativa (OU)
Cuentas de AWS
Recursos de AWS
A3
Desarrollo Pruebas Producción

Organizaciones en AWS – SCP + AWS IAM
Allow: S3:* Allow: SQS:*
Allow: EC2:*
Allow: EC2:*
SCP IAM
permissions

Organizaciones en AWS – SCP + AWS IAM
Allow: S3:* Allow: SQS:*
Allow: EC2:*
SCP IAM
permissions

Invariantes de seguridad con AWS Organizations
Nube de AWS
AWS Organizations
Dependencia de Organización
Cuenta
Región: us-east-1
Región: us-east-2
Región: ap-sutheast-1
Región: eu-west-1
…
Service Control Policy:
Restricción de región

Muchas más invariantes
Librería de ejemplo de SCP
para AWS Organizations
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples.html

Ejemplo: Bloqueo de regiones no utilizadas
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAllOutsideNorthVirginia",
"Effect": "Deny",
"NotAction": [...
"cloudfront:*", ...
"iam:*", ...
"route53:*", ...
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
”us-east-1"
]
},
"ArnNotLike": {
"aws:PrincipalARN": [
"arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
"arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
]
}
}
}
]
}
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples.html#examples_general
Servicios globales que no quisieramos denegar,
ya que no tienen la condición
“RequestedRegion”.
Bloqueamos los servicios regionals que no estén
en esta region (o lista de regiones)
Opcionalmente definimos roles
privilegiados que podrán saltearse
esta regla.

¿ Cómo armo todo esto ? ¿ Cómo gobierno todo esto ?
• ¿ Autenticación en cada cuenta ?
• ¿ Logs en cada cuenta ?
• ¿ Los recursos fueron creados consistentemente ?
• ¿ Las políticas básicas de seguridad están implementadas
consistentemente ?
• ¿Cómo gobierno un esquema multi-cuenta ?
AWS Control Tower

AWS Control Tower
AWS Control Tower

—
Provisión
—
Operación
AWS Control Tower: La manera mas fácil de configurar y
gobernar AWS
—
Habilitación
Agilidad al Negocio + Control y Gobierno

AWS Control Tower
Dashboard
Landing Zone
Guardrails
Account factory
Gestión de identidad y accesos
auditoria pre-
configurado
Actualizaciones

Configuración de una AWS Landing Zone
• Gestión multi-cuenta utilizando
AWS Organizations
• Gestión de identidad y acceso federado
utilizando AWS IAM Identity Center
• Archivado automatizado de logs utilizando
AWS CloudTrail y AWS Config
• Auditoria de acceso entre cuentas utilizando
AWS IAM Identity Center e AWS IAM
• Aprovisionamiento de cuentas de usuario a
través de AWS Service Catalog
• Monitoreo centralizado y notificaciones
utilizando Amazon CloudWatch y Amazon SNS
Master account
AWS Control Tower AWS Organizations IAM Identity Center
Stack sets AWS Service
Catalog
Log archive
account
Aggregate
AWS CloudTrail
and AWS Config
logs
Account
baseline
Audit account
Security cross-
account roles
Account
baseline
Provisioned
accounts
Network
baseline
Account
baseline
Amazon
CloudWatch
aggregator
Security
notifications
Core
OU
Custom
OU
Identity Center
directory

Servicios de seguridad integrados con AWS Organizations
Administración delegada
AWS
Security Hub
AWS Firewall
Manager
Amazon
GuardDuty
Amazon
Macie
AWS IAM
Access
Analyzer
Etc.
Amazon
Inspector
Amazon
Detective
AWS Audit
Manager

Ejemplos de GuardRails
Goal/category Example
IAM security Require MFA for root user
Data security Disallow public read access to Amazon S3 buckets
Network security Disallow internet connection via Remote Desktop Protocol (RDP)
Audit logs Enable AWS CloudTrail and AWS Config
Monitoring Enable AWS CloudTrail integration with Amazon CloudWatch
Encryption
Ensure encryption of Amazon EBS volumes attached to Amazon EC2
instances
Drift Disallow changes to AWS Config rules set up by AWS Control Tower

Gestión integral de controles NEW
• Aplica controles preventivos,
de detección y proactivos
administrados a cuentas y
unidades organizativas (OU)
por servicio, por objetivo de
control o marco de
cumplimiento
• Defina, asigne y administre
centralmente los controles
necesarios para cumplir con
los objetivos de control y
regulaciones

Automatiza el aprovisionamiento de cuentas conforme
a los requerimientos de seguridad.
Account factory
Network
baseline
Network
CIDR
Network
regions
OU Account
baseline
AWS Service
Catalog
AWS Service
Catalog product
New AWS account
Network
baseline
Account
baseline
Guardrails
• Account factory provee templates para
estandarizar el aprovisionamiento de
cuentas
• Opciones de Networking
configurables.(e.j. subnets, IP
addresses)
• Ejecución automática de líneas base
para cuentas y GuardRails
• Publicación en AWS Service Catalog

Dashboard de
Control Tower

Control Tower
DEMO

AWS Control Tower – Utilizar una organización existente
AWS Control Tower permite ahora desplegarse sobre una
organización existente e importar una a una las
Organizational Units agregándole los guardrails.

AWS Control Tower Workshops:
https://controltower.aws-management.tools
Control Tower Immersion Day

Identidades y Accesos
Módulo 3

• AWS IAM
• AWS IAM Identity Center (sucesor de AWS Single Sign-On)
• IAM Access Analyzer
• AWS Secrets Manager
• Amazon Cognito
• Amazon Verified Permissions

Identity & Access Manager (IAM)
Control y segregación del acceso
• Puedes controlar quién, cuando y desde dónde
puede realizar que acciones en su entorno de AWS
• Control de acceso granular en la nube AWS con
autenticación de múltiples factores (tokens)
• Integre su Active Directory con federación y login
único (single sign-on).

Buenas prácticas para cuenta root
• Múltiple Factor de Autenticación (MFA):
o Hardware o Virtual
o Configuración
• Eliminar acceso por llaves (keys)
• Limitar el uso a actividades administrativas:
o Modificación de usuario
o Opciones de pago
o Plan de soporte
o Información de facturación
o Solicitud de pruebas de penetración
o Información de contactos
o En Ambientes multi-cuenta es recomendable no utilizar las cuentas
root de las cuentas hijo y denegar toda acción de root accounts con SCPs
https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html

AWS IAM – Acceso de consola o programático
Nota: Veremos luego
que no se
recomienda el uso de
IAM Users y Access
Keys

AWS IAM Identity Center (sucesor de AWS Single Sign-On) FREE
AWS
Organizations
AWS IAM
Identity Center
Repositorio
Interno
Portal de usuario de
AWS IAM Identity
Center
Directorio de AWS
Servicio para
Microsoft Active
Directory
Repositorio de
identidades para
SSO - IdP externo
Beneficios
• Portal de acceso a las múltiples
cuentas y aplicaciones del usuario
• Asignación central de permisos
• Permite el uso de Customer Managed
Policies NEW
• Integrado AWS CLI v2
• Usted elige su fuente de identidad:
• Repositorio interno del identity Center
•

IAM Identity Center: Customer managed policies
A H O R A P U E D E N U T I L I Z A R P O L Í T I C A S A D M I N I S T R A D A S P O R E L C L I E N T E
Agregue políticas administradas por el cliente a sus
permission sets en IAM Identity Center para
aprovisionarlos en una o más cuentas de AWS
También puede administrar sus políticas actuales
Cree políticas administradas por el cliente en una cuenta
y luego importe la política en IAM Identity Center

Diferencias entre IAM e IAM Identity Center
AWS IAM Identity Center
AWS Idenity and Access
Management
Access-keys
permanentes
Permisos para una
cuenta única
Todas las cuentas en un
Organización de AWS
Portal para generar
credenciales temporales
Sin integración nativa
con AWS CLI
Integración
nativa con AWS CLI

Políticas de IAM

AWS IAM – Como se evalúan las políticas
Decisión final =“Deny”
(explícito Deny)
SI
Decisión
Final =“Allow”
SI
NO ALLOW
Explícito
4
Decisión
Comienza con
DENY
1
Evalúa
Políticas
Aplicadas
2
DENY
Explícito
3
NO Decisión final =“Deny”
(default Deny)
5
AWS recupera todas las políticas
asociadas con el usuario y el recurso.
Sólo se evalúan las políticas que
coinciden con la acción y las
condiciones.
Si una declaración de
política tiene un objeto
Denegar, pesa más que
todas las demás
declaraciones de
política.
El acceso se concede
si hay un Permitir
explícito y no
Denegar.
De forma
predeterminada,
se devuelve una
denegación
implícita
(predeterminada)

AWS IAM – Personalizar las políticas de acceso
Otorgar el mínimo privilegio necesario
• Políticas en formato JSON
• Componentes:
o Principal: Quién
o Efecto: Allow / Deny
o Action: Qué acciones
o Resource: Sobre qué recurso
o Condition: Bajo qué condiciones
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": “OneStatement",
"Effect": "Allow",
"Action": ["iam:ChangePassword"],
"Resource": "*"
},
{
"Sid": “AnotherStatement",
"Effect": "Allow",
"Action": [
"s3:List*",
"s3:Get*"
],
"Resource": [
"arn:aws:s3:::confidential-data",
"arn:aws:s3:::confidential-data/*"
],
"Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
}]}

AWS IAM – Personalizar las políticas de acceso
Editor de políticas visual

AWS IAM – Políticas de acceso: Principal
• Entidades a las cuales aplica el statement
• Se puede usar el ARN

"Principal":"AWS":"*.*"

"Principal":{"AWS":"arn:aws:iam::123456789012:root" }
"Principal":{"AWS":"123456789012"}

"Principal":"AWS":"arn:aws:iam::123456789012:user/username"

"Principal":{"Federated":"accounts.google.com"}

"Principal":{"AWS":"arn:aws:iam::123456789012:role/rolename"}

"Principal":{"Service":"ec2.amazonaws.com"}
Número de
cuenta AWS

AWS IAM – Políticas de acceso: Action

"Action":"ec2:StartInstances"

"Action":"iam:ChangePassword"
<!– Amazon S3 action -->
"Action":"s3:GetObject"

"Action":["sqs:SendMessage","sqs:ReceiveMessage"]
<-- Wildcards (* or ?) in the action name. Below covers create/delete/list/update-->
"Action":"iam:*AccessKey*"
• Acción que se evalúa
• Debe tener un elemento de Action o NotAction

AWS IAM – Políticas de acceso: NotAction
• Permite especificar una excepción para una lista de acciones
• Puede resultar en políticas más cortas que usar la acción y eliminar muchas
acciones
Ejemplo: Supongamos que desea permitir todo, pero no las API de IAM
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "iam:*",
"Resource": "*"
} ] }
Si se quiere realmente
bloquear el acceso del usuario
para el servicio IAM. El Deny
explícito debe ser utilizado
{
"Version": "2012-10-17",
"Statement": [ {
"Effect": "Allow",
"NotAction": "iam:*",
"Resource": "*"
}
]
}
No es un Deny. El usuario
puede tener una política
adicional que permita
IAM:*

AWS IAM – Políticas de acceso: Condition
¿Cómo puedo restringir el acceso a un período de tiempo y direcciones IP?
“Condition”: {
“DateGreaterThan”: {“aws: currentTime”: “2017-01-01T 11:00:00 Z”},
“DateLessThan”: {“aws: currentTime”: “2017-12-31T 15:00:00 Z”},
“IpAddress”: {”aws: SourceIP“: [” 192.0.2.0/24 “,” 203.0.113.0/24 “]}
}
Permite a un usuario acceso a un recurso en las siguientes condiciones:
• La hora es después de las 11:00 el 01/01/2017
• El tiempo es hasta las 3:00 p.m. del 31/12/2017
• La solicitud proviene de una dirección IP en el rango 192.0.2.0/24, 203.0.113.0/24
Todas estas condiciones deben cumplirse para que la instrucción se evalúe como verdadero

Cosas que no me pertenecen
Cosas que me pertenecen
IAM Conditions: Establece un perímetro de datos
VPC
Corporate
data center
VPC
RESTO DE
INTERNET
AWS Cloud
Cuentas de la
organización
Cuentas de terceros

Condiciones en políticas de IAM
85
Perímetro de datos Objetivo de control Implementado mediante Capacidad de IAM principal
Identity
Only trusted identities can
access my resources.
Resource-based policies
aws:PrincipalOrgID
aws:PrincipalIsAWSService
Only trusted identities are
allowed from my network.
VPC endpoint policies aws:PrincipalOrgID
Resource
My identities can access only
trusted resources.
SCPs aws:ResourceOrgID
Only trusted resources can be
accessed from my network.
VPC endpoint policies aws:ResourceOrgID
Network
My identities can access
resources only from expected
networks.
SCPs
aws:SourceIp
aws:SourceVpc
aws:SourceVpce
aws:ViaAWSService
My resources can only be
accessed from expected
networks.
Resource-based policies
aws:SourceIp
aws:SourceVpc
aws:SourceVpce
aws:PrincipalIsAWSService
aws:ViaAWSService

Establece un perímetro de datos - Recursos
Blogpost:
https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws
Workshop
https://data-perimeter.workshop.aws/
Tech Talk sobre Data Perimeter (Inglés)
https://youtu.be/eukTW9xdheQ

Estrategias para gestionar
permisos a escala

Llegar hacia los permisos adecuados
es un camino evolutivo
Refinar
Establecer Controlar
Perímetro de datos

IAM Access Advisor: Eliminar los permisos no utilizados
Paso 1: Identificar Access Keys,
Roles y permisos no utilizados
-Revisando la fecha de la ultima
actividad
Paso 2: Eliminar Access Keys,
Roles y permisos no utilizados

Eliminar permisos externos configurados por error
IAM Access Analyzer
Amazon S3 buckets
AWS KMS keys
Amazon SQS queues
AWS IAM roles
AWS Lambda functions
AWS Secrets Manager secrets
Amazon Simple Notification Service topics
Amazon Elastic Block Store volume snapshots
Amazon RDS DB snapshots
Amazon RDS DB cluster snapshots
Amazon Elastic Container Registry repositories
Amazon Elastic File System file systems
Su Organización (o cuenta)
Principals
Principals
Principals
Principals
Alerta
Alerta
F R E E

Generación automática de políticas en base a la actividad
Escenario: Equipo de Desarrollo
crea permisos laxos
1. Configuración (ej: 90 días)
2. Generar políticas JSON a
partir de eventos en
CloudTrail
3. Revisar y personalizar la
política con mínimo privilegio
4. Crear y asociar la política
IAM Access AnalyzerF R E E

IAMLive – Generación de policies automática
https://github.com/iann0036/iamlive
Nota: Herramienta de terceros.

Acceso a recursos usando
credenciales temporales
Uso de Access Keys vs. Roles:
(IAM Instance Profile e IAM Roles Anywhere)

Access Keys
• Las Access Keys son:
• Credenciales duraderas
• Pueden ser usadas desde cualquier lugar (por defecto)
• Factor único de autenticación (por defecto no incluyen MFA)
Hardcodear
Usa AWS IAM Instance Profiles
• Si tu código necesita acceder a un recurso de AWS como un Bucket
de S3, no embebas Access Keys en el código.
Ø Si algún desarrollador las comparte en GitHub u otro
repositorio público tendrán acceso a sus credenciales
Ø Quien tenga acceso de lectura al código tendrá
credenciales.
Ø La rotación requiere esfuerzo, control de cambios, una
ventana de indisponibilidad y pruebas

AWS IAM – Controlar acceso a las aplicaciones
Recursos AWS
Tu código
Sistema
operativo
Ejemplo
EC2
Credenciales de AWS
entregadas automáticamente y
girado
periódicamente
Detección y uso automáticos de
credenciales de AWS
Acceso controlado por políticas
de IAM (roles)
También funciona con AWS Lambda, Amazon ECS y Amazon EKS

AWS IAM – Controlar acceso a las aplicaciones
Instancia
Aplicación
Rol: s3access
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {"Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}
s3access
Trust Policy
Access Policy
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject"
"Resource": "*"
}
]
}
Amazon Simple
Storage Service (S3)

Fuera de AWS
IAM Roles
Anywhere
Servidores on-prem
Lambda
function
Bucket
Instance
Model Container
Task Table
AWS Cloud
Nube híbrida
Aplicaciones
Data lake
Encrypted
data
Public key
infrastructure (PKI)
IAM Roles Anywhere
E X T I E N D E E L U S O D E R O L E S D E I A M A C A R G A S D E T R A B A J O F U E R A D E A WS
N U E V O
ü Credenciales temporales
ü Utiliza roles existentes
ü Mayor seguridad
ü Simplifica la migración a la nube

¿ Cómo hacemos cuando debo otorgar acceso a un recurso
que usa credenciales duraderas ?
- Bases de Datos / Amazon RDS
- Servicios web de terceros que se autentican usando API Keys
¿Cómo rotamos estas credenciales para minimizar el riesgo ?
• A medida que pasa el tiempo sin rotar, las credenciales
incrementan su riesgo de ser comprometidas.
• Tus equipos de seguridad deben poder rotar las contraseñas ante
cualquier sospecha de compromiso sin afectar producción

Acceso a recursos que usando
credenciales resguardadas en
AWS Secrets Manager
Gestión de contraseñas, keys y otros secretos

AWS Secrets Manager: Características principales
Rotación de
credenciales
Políticas de acceso
refinadas
Almacenamiento
cifrado
Integración
extensible con
AWS Lambda
Registro y
vigilancia
Rotación con
control de
vesiones

AWS Secrets Manager: Arquitectura típica
Recursos AWS
Tu código
IAM Rol
Ejemplo
EC2 Credenciales de AWS
entregadas
automáticamente
Llamada autorizada a Secrets Manager
Solución confiable y segura para rotación automática en TODAS las credenciales
Credenciales DB
Conexión establecida
AWS Secrets
Manager
Amazon RDS

Demostración AWS Secrets Manager - Descripción del escenario
Script de
bash
IAM Rol
EC2
Credenciales de AWS
entregadas
automáticamente
Llamada autorizada a AWS Secrets Manager
Credenciales DB AWS
CloudFormation
Template
Recursos AWS
Conexión establecida
AWS Secrets
Manager
Amazon RDS
Workshop: https://bit.ly/aws-secrets-mgr

Secrets Manager
DEMO

Customer IAM:
Amazon Cognito

Amazon Cognito
Customer IAM – IAM para sus aplicaciones
Facebook
Corporate
OIDC
Sign in with
Identidades federadas
Los usuarios pueden iniciar sesión con
proveedores de identidad de terceros como
Facebook, Google y Amazon, OIDC/SAML, e
identificar el riesgos en el acceso para
incrementar el desafío con MFA
SAML
User Pools
Puede agregar de forma fácil y segura
características de control de sesión a sus
aplicaciones móviles y web con un servicio
totalmente administrado, escalado para
admitir decenas de millones de usuarios.
Sign in
Username
Password
Submit
ü Integrado con AWS WAF
ü Autogestión de
contraseñas
ü Almacenamiento seguro
ü Simple de integrar
ü Eficiente en costos

¿ Qué se recomienda en cada caso ?
Autenticación
Autenticando máquinas,
scripts o procesos
desatendidos
Autenticando Personas
Empleados Clientes (CIAM)
Ø Use IAM roles
o IAM Roles Anywhere
Ø Use IAM Identity Center Ø Evalúe usar
Amazon Cognito

Amazon Verified
Permissions
Consola de administración de AWS
Administrar
permisos
Autorizar
Un sistema de autorización y
administración de permisos
listo para usar, al que los
desarrolladores pueden
conectar a su aplicación
Amazon Verified Permissions NEW
re:Invent Session: https://youtu.be/gWoJqnRB3MA

Amazon Verified Permissions NEW
• Externaliza la autorización con permisos granulares
(fine-grained)
• Ayuda a crear aplicaciones más rápido
• Ayuda a soportar arquitecturas Zero Trust
• con decisiones de autorización dinámicas en
tiempo real
• Integra su proveedor de identidades actual
• Simplifique las auditorías de cumplimiento a escala
• Identifique permisos excesivos / amplios
Aplicación
Aplicación
Amazon Verified
Permissions
Aplicación
https://aws.amazon.com/blogs/security/how-to-use-amazon-verified-permissions-for-authorization

Seguridad de la infraestructura
Módulo 4

• NACLs Security Groups
• AWS WAF
• AWS Shield
• AWS Network Firewall
• Amazon Route 53 Resolver DNS Firewall
• AWS Firewall Manager

Network Access Control Lists
y Security Groups

Private Subnet
Public Subnet
Security Groups: Reglas de firewall con estado
VPC
WebServer Database
WebServer Security group Database Security group
Direction Protocol Port Source
Inbound TCP 443,80 0.0.0.0/0
Outbound All All 0.0.0.0/0
Direction Protocol Port Source
Inbound TCP 3306 Webserver Security Group

Network ACL (NACL): Reglas de firewall sin estado
VPC
Public Subnet Private Subnet
NACL
Instance Instance

Grupos de Seguridad y NACL
VPC
Public Subnet Private Subnet
NACL
Instance Instance
WebServer Security group Database Security group
1 2 3
4
1. El grupo de seguridad de WebServer permite la salida hacia la base de datos
2. La NACL permite el tráfico de ida entre las subnets
3. El grupo de seguridad de Database permite la entrada desde WebServer
4. La NACL permite el tráfico de regreso entre las subnets

Protección del perímetro – Servicios administrados
AWS Shield
Standard
AWS Shield
Advanced
Todos los clientes tienen sin costo adicional protección estándar contra ataques de denegación de
servicio con AWS Shield Standard
AWS WAF AWS Network
Firewall
Amazon Route 53
Resolver DNS Firewall

Disponible para todos los
clientes de AWS sin costo
adicional
• Protección contra los ataques mas
comunes (SYN/UDP Floods,
Reflection Attacks, etc. Capa 3/4)
• Detección y mitigación automática
Standard Advanced
Servicio pago que provee protección
adicional contra ataques sofisticados
✚ Protección contra ataques avanzados (Capa 7)
✚ Equipo de respuesta DDoS 24x7
(Proactivo / Reactivo)
✚ Protección de costos
✚ Mitigación más rápida / Mejor Visualización
✚ Incluye WAF y Firewall Manager
Protección DDoS con AWS Shield

Arquitectura - Protegiendo aplicaciones Web
Public subnet Public subnet
AWS Cloud
Availability Zone 1 Availability Zone 2
Auto Scaling group
Instance Instance
Application
Load Balancer
DDoS Mitigation
Web Application
Firewall
Security group
Security Groups &
Firewall Manager
VPC
Private subnet Private subnet
Virtual Private Cloud
Internet
Gateway
80
443
80
Security group
Network Firewall

AWS WAF – Protección de capa 7
• WAF Administrado, Elástico e
integrado
• Pago por uso
• Rules Administradas por AWS
+ Reglas personalizadas.
+ Provistas por partners
Amazon API
Gateway
Application Load
Balancer
Amazon
CloudFront
AWS WAF
AWS AppSync
Amazon
Cognito

AWS WAF con reglas gestionadas
https://aws.amazon.com/blogs/aws/announcing-aws-managed-rules-for-aws-waf/
Reglas
provistas por
socios
+

AWS con reglas gestionadas por nuestros partners

AWS WAF Bot Control
• Visibilidad sobre Bot Activity
• Permite limitar la actividad
de bots, bloquear categorías
o presentar un Captcha
• Aplica tags para usar en otras
reglas de AWS WAF
• Flexible:
Bloqueo/Redirección
• Account Takeover Protection

Bot Control
Etiquetas
Dashboards
https://aws.amazon.com/es/blogs/aws-spanish/introduccion-a-bot-control-para-proteccion-de-trafico-de-bots-maliciosos-con-aws-web-application-firewall-waf

Ejemplos de dashboards
para AWS WAF
https://github.com/aws-samples/aws-waf-ops-dashboards
ü Solución basada en
OpenSearch
ü Se desplega en minutos
con un CloudFormation
Template

WAF DEMO

Cómo los clientes aseguran su red en la nube
Diseño Propio Terceros On-premise Nativo de la nube
Complejo, difícil de
manejar
Desafíos: costosos
de integración
Latencia, carece de
escalabilidad y
elasticidad,
costoso

Escalas
automáticamente,
infraestructura
administrada de
AWS
No hay compromisos iniciales y paga solo por lo que usa
AWS Network Firewall: Firewall Nativo

Firewall de red de AWS
Control central con
AWS Firewall
Manager
Desplegar y enrutar el
tráfico al endpoint del
firewall
Cliente Crear política y
reglas de
firewall
AWS
Escala
automáticamente con
tráfico
Gestiona afinidad en AZs y
simetría de sesión
Rendimiento: 45 Gbps Resiliente con SLA de
99.99%

VPC
Instancia 1 Firewall
Endpoint
Endpoint
VPC
Endpoint
VPC
Inspección de Seguridad Distribuida

AWS Transit
Gateway
Inspección Norte-Sur
(Internet, Conexión
directa, VPN de sitio a
sitio/cliente)
Inspección VPC
Instancia 3
VPC
Instancia 2
VPC
Instancia 1
VPC
VPC
Inspección de Seguridad Centralizada
Inspección Este-Oeste
(Tráfico VPC a VPC)
Firewall Endpoint

Amazon Route 53 Resolver DNS Firewall
Amazon Route 53 Resolver DNS Firewall

No hay compromisos iniciales y paga solo por lo que usa
Elija entre las listas
administradas de
AWS o cargue sus
propias listas de
dominios
DNS Firewall nativo en la nube

Gestión de políticas con AWS Firewall Manager

AWS Firewall
Manager DEMO

AWS Verified Access (preview)
A C C E S O R E M O T O A A P L I C A C I O N E S C O R P O R A T I V A S
AWS Verified
Access
Acceso sin VPN a
aplicaciones corporativas
Conéctese con
trust providers
Use su actual proveedor de
identidades y sistema de
gestión de dispositivos
Asocia tus
aplicaciones
Crea endpoints públicos para
tus aplicaciones corporativas
Crea políticas
de acceso
Crea políticas granulares
por aplicación
Usuarios
Acceden a aplicaciones
desde cualquier lugar
re:Invent Session: https://youtu.be/Kkxn-bAIlnI

AWS Verified Access (preview)
Crear un perímetro de microseguridad
en torno a las aplicaciones corporativas
Reduce la superficie de ataque
• Autorización granular y dinámica
Política por aplicación evaluada con cada solicitud
• Mejorara la observabilidad
Respuesta a incidentes y auditabilidad más rápidas,
además de ayudar a cumplir con regulaciones
• Utilice sus servicios de seguridad existentes
Se integra con proveedores de identidad populares y de
confianza de dispositivos
• Punto único de aplicación de directivas
Operaciones simplificadas de zero trust para
administradores de TI
IdP (AWS IAM Identity
Center / OIDC)
Política por
aplicación
Users
app
Trust providers
EDM Others
…
AWS
Verified Access
Registro
de accesos
app
app
microperímetros
ACCESO REMOTO A APLICACIONES CORPORATIVAS

Gestión de la seguridad
Módulo 5

• Amazon Inspector
• Amazon Elastic Container Registry
• AWS Systems Manager
• Fleet Manager
• Session Manager
• Patch Manager

Amazon Inspector
Amazon
EC2
Amazon
ECR
AWS
Lambda
NEW

Gestión
simple a escala
Automatice los
flujos de trabajo
y tome acciones
Activación con un
solo clic para todas
las cuentas de la
organización
Integración con
agente de SSM
Integración con
AWS Organizations
Detección de cambios en
el ambiente
Consolidación de
hallazgos en todas las
cuentas y recursos
Automatice el
descubrimiento y el
análisis continuo
Obtenga
visibilidad
centralizada
Priorice con
valoración
contextualizada
Descubrimiento
automatizado de recursos
Análisis continuo de
vulnerabilidades y
accesibilidad en la red
Valoración de riesgo
contextualizado
Hallazgos priorizados
Triage y Análisis
Automatizado
API de administración
Hallazgos detallados en
Amazon EventBridge
Integración con
AWS Security Hub
Capacidades de Amazon Inspector

Versión contextualizada del CVSS score
En este caso, la red era el
vector de ataque y como no
estaba expuesto bajó el
score

Amazon Inspector: Soporte de funciones Lambda
Amazon Inspector ahora identifica vulnerabilidades de software (CVE) en las dependencias
de paquetes de aplicaciones utilizadas en el código de la función de Lambda y las capas
asociadas.
• Precios: $0.30 por función por mes (sin costo por rescan)
- Más detalle https://aws.amazon.com/inspector/pricing
• Soporta Exclusión automática de funciones obsoletas que no se han invocado en 90 días,
además de exclusión manual basada en etiquetas
Amazon
Inspector
re:Invent Session: https://youtu.be/gWoJqnRB3MA

Inspector DEMO
Multi-Account

Inspector DEMO
Vulnerabilities

Amazon Elastic Container Registry (ECR)

Amazon ECR: Análisis de vulnerabilidades en imágenes

AWS Systems Manager - gestión de recursos a escala
Automation
Inventory
Patch manager
State manager
Parameter
Store
Run command
Session
manager
Maintenance
windows
¡gratis!*
¡gratis!
* Para la infraestructura que se encuentre en AWS
AWS Systems Manager
¡gratis!

AWS Systems Manager: Patch Management
Corporate Data Center
Administrador de parches
Ventana de
mantenimiento
Cumplimiento Notificaciones
Grupo de parches = Servidores
web
Instancias individuales
no agrupados
Grupo de parches =
SQLCluster
Línea de base de parche
predeterminada para el
sistema operativo
Servidor Web
Línea base de
parche

“Patch” @Cloud
Tradicional
Amazon Linux
Instance
RHEL
Instance
Ubuntu
Instance
Windows
Instance
Patch Manager
AWS Systems Manager

“Patch” @Cloud
DBs / servicios gestionados
Amazon RDS
Bases de datos transaccionales
Responsabilidad del cloud vendor J
Amazon Redshift
(Data warehouse)
Amazon Neptune
Amazon DocumentDB
Amazon DynamoDB
(NoSQL)

“Patch” @Cloud
Ejemplo apps / environments
Auto Scaling group (desired: 4 instancias)
Linux-
App
Instance
Linux-
App
Instance
Linux-
App
Instance
Linux-
App
Instance
Linux-App-
v2
Instance
Testers
AMI
(template)
Linux-App-v2
Instance
Linux-App-v2
Instance
Linux-App-v2
Instance
Linux-App-v2
Instance
EC2 Image Builder permite generar un pipeline de imágenes
con los componentes / hardening requeridos por su
organización como imagen dorada

AWS Systems Manager - Acceso interactivo a instancias
• Shell interactivo basado en navegador y
CLI para instancias de EC2
• No es necesario abrir puertos entrantes
(22/3389), administrar claves SSH o
certificados
• Accesos otorgados desde IAM con
restricción de acceso a instancias y MFA
• Auditoría y registro de comandos
ejecutados y su respuesta en S3 Bucket
• Auditoría protegida y cifrada
S3
IAM
Shell o CLI
EC2
Auditoría y
registro
Control de
Acceso
VPC

Fleet Manager: Acceso a Linux vía consola

Acceso a la consola remota (RDP)
basada en navegador para Windows
• Acceso RDP seguro basado en navegador
a Windows con unos pocos clics
• Elimina la necesidad de bastion hosts,
excepciones de firewall entrantes y
administración de claves SSH
• Inicio de sesión sin problemas a través de
AWS IAM Identity Center y proveedores
de identidad de terceros
https://aws.amazon.com/es/about-aws/whats-new/2021/11/aws-systems-manager-console-windows-instances-security
Fleet Manager: Acceso a Windows

Compliance continuo
Módulo 6

• AWS CloudTrail
• AWS Config
• AWS Security Hub
• AWS Audit Manager

Llamadas de API
- Consola
- SDK
- Cli
AWS CloudTrail
Alertas
Análisis
(ej: OpenSearch)
Otras herramientas
(OpenSource, Partners)
Amazon S3
AWS CloudTrail: Auditoría de acciones realizadas

AWS CloudTrail: Auditoría de acciones realizadas
• Usted puede identificar rápidamente
los últimos cambios realizados en
los recursos de su entorno incluida
la creación, modificación y
eliminación de recursos de AWS,
como:
• Inicio o terminación de
Instancias.
• Cambios de usuarios y grupos de
seguridad entre muchos otros
eventos.
Se produce
una actividad
CloudTrail
captura y
escribe el evento
en el registro
Puedes ver la
actividad y el
historial
Protege tus logs con un esquema
multi-cuenta y guardrails

AWS Config: Inventario de activos
Inventario, monitoreo y notificación de cambios de configuración
Gestión de
Cambios
Análisis de
Auditoria
Análisis de
Seguridad
Análisis de
Problemas
Inventario
Cambio en recursos AWS Config
Normalizado
AWS Config rules
Alertas
Corrección de
configuraciones
Historial, snapshot

AWS Config: 300+ reglas administradas
• Puertos abiertos
(configurable,
22, 3389, 1433,
etc)
• IAM Policy
• EBS sin cifrar
• Uso de AMIs no
aprobadas
• MFA no
habilitado
• ElasticSearch
fuera de VPCs

AWS Security Hub

Chequeos automáticos de alineamiento a buenas prácticas

Identificar rápidamente que necesita arreglarse

AWS Security Hub: Flujo de respuesta
AWS Security Hub
Amazon
GuardDuty
Amazon
Inspector
Amazon
Macie
Solutions from
Partners
AWS IAM
Access
Analyzer
Lambda Step
Functions
SNS
Solutions from
Partners
- Antimalware – EDR
- Next-Gen Firewalls – IPS – IDS
- Vulnerability Scanners & AppSec Testing
(Estandarizado usando AWS Security Finding Format)
• SIEM
• Ticketing
• Incident
Response
Platforms
• Instant
messaging
Notifications
Systems
Manager Automation
Run Command
AWS Firewall
Manager
Amazon Detective
Amazon EventBridge

Firewalls
Vulnerability
MSSP
Endpoint
Compliance
Partners que toman medidas
AWS
Security Hub
Partners que envían hallazgos
Amazon
GuardDuty
Amazon
Inspector
Amazon
Macie
SIEM
SOAR
Notifications / Other
AWS Firewall
Manager
IAM
Access Analzer
Other
Amazon
Detective
AWS Security Hub: Partners
AWS Systems Manager
Patch Manager
AWS Personal
Health Dashboard
Amazon
EventBridge

Remediación semiautomática o automática
O ejecución automática vía
Amazon
EventBridge

AWS Security Hub Automated Response and Remediation
• Alineamiento
automático (o semi-
automático) a las
buenas prácticas de
CIS AWS Foundation
• Centralización de logs
sobre la ejecución de
los playbooks con
notificaciones

CIS v1.2.0 Playbook
Acciones de
remediación
comunes listas para
usar
4.1: Cierro acceso al
SSH
4.2: Cierro acceso al
RDP

Security Hub Demo
Security Hub
DEMO

Compliance con PCI-DSS y otras regulaciones como las de
industria financiera
AWS
Seguridad
DE la nube
proteger la
infraestructura donde se
ejecutan los servicios
Seguridad
EN la nube
El Cliente es responsable
por la seguridad de sus
cargas de trabajo en la
nube
Cliente
AWS Artifact
AWS Audit Manager
Gap
assessment
Descargalo y
apoyate en él

AWS Audit Manager

AWS Audit Manager
Audita continuamente su uso de AWS para simplificar la forma en que evalúa el
riesgo y el cumplimiento

Frameworks de AWS Audit Manager
• CIS (Center for Internet Security) Foundations Benchmark
• PCI DSS (Payment Card Industry Data Security Standard)
• GDPR (General Data Protection Regulation)
• GxP (Good Practice Quality guidelines)
• HITRUST (Health Information Trust Alliance)
• HIPAA (Health Insurance Portability and Accountability Act)
• FedRAMP (Federal Risk and Authorization Management Program)
• Mejores prácticas para Amazon S3, AWS IAM y Amazon DynamoDB
• Licencias de Software
Incluye marcos de evaluación preconstruidos de AWS y AWS Partners
Además, AWS Audit Manager soporta controles y frameworks definidos a medida

Fuentes de evidencia de AWS Audit Manager
Registros de
actividad del usuario
desde CloudTrail
(incluidas snapshots
de configuración de
las llamadas a las
APIs)
Evidencias cargadas
manualmente
(Ej. documentación)
Verificaciones de cumplimiento para configuraciones de recursos
de AWS Config, AWS Security Hub y AWS License Manager

El viaje de la evidencia
AWS CloudTrail
AWS Config
AWS Security Hub
AWS Control Tower
AWS License Manager
Evidencia cruda
1
Evidencia cruda
2
Evidencia cruda
3
Evidencia cruda
4
Evidencia cruda
5
Evidencia cruda
6
…
…
Control Interno A
Control Interno B
Control Interno C
Control Interno D
Control Interno E
Control Interno F
…
…
Evaluación 1
ü Control de Auditoría 1-
a
b
ü … …
Evaluación 2
a
b
ü … …
1. Reúne logs
2. Convierte la
evidencia cruda en
un formato
universal
3. Seleccionar y
evaluar evidencia
cruda
4. Mapear la evidencias
anotada y agregada a los
controles de auditoría

Controles de Detección
Módulo 7

• Amazon GuardDuty
• AWS Security Lake
• Opciones de SIEM en AWS

Detección de amenazas – Amazon GuardDuty
Hallazgos
Fuentes de
datos
Threat
intelligence
Detección de
anomalías
(ML)
Análisis de Malware
• Alerta
• Remediación
• Soluciones de
socios tecnológicos
• Envío al SIEM
Amazon EventBridge
Tipos de Hallazgos
Minería de Bitcoins
Command & Control
Conexiones anónimas
Reconocimiento
Comportamiento inusual del
usuario
Ejemplo:
• Lanzamiento de instancias
• Cambios en los permisos de red
• Anomalías en el comportamiento
de la Red
• Patrones anómalos de acceso a los
datos en Amazon S3
Amazon GuardDuty
Tipos de
detección
ALTA
MEDIA
BAJA
AWS Security Hub
Reconocimiento
Compromiso de
Instancia
Compromiso de
Cuenta
VPC Flow
Logs
DNS
Logs
CloudTrail
Events
S3 Data Plane
Events
EKS
Control Plane
- Un Click
- Sin agentes
- Free trial
Amazon Detective
new
Nota: No requiere habilitar VPC Flow logs ni Cloudtrail
RDS Aurora
DB Login events
Preview

Reglas especificas para Amazon S3
• Acceso desde:
• potenciales herramientas de
ataque (Kali, Parrot, Pentoo)
• IPs Maliciosas
• IPs Anónimas (TOR)
• Anomalías:
• En el volumen de datos extraídos
• En la cantidad de objetos
eliminados
• Cambios en Políticas para debilitarlas
• Apagado de logs
• Apertura de Buckets
Discovery:S3/BucketEnumeration.Unusual
Discovery:S3/MaliciousIPCaller.Custom
Discovery:S3/TorIPCaller
Exfiltration:S3/ObjectRead.Unusual
Impact:S3/PermissionsModification.Unusual
Impact:S3/ObjectDelete.Unusual
PenTest:S3/KaliLinux
PenTest:S3/ParrotLinux
PenTest:S3/PentooLinux
Policy:S3/AccountBlockPublicAccessDisabled
Policy:S3/BucketBlockPublicAccessDisabled
Policy:S3/BucketAnonymousAccessGranted
Policy:S3/BucketPublicAccessGranted
Stealth:S3/ServerAccessLoggingDisabled
UnauthorizedAccess:S3/MaliciousIPCaller.Custom
UnauthorizedAccess:S3/TorIPCaller
https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html

¿Qué detecta GuardDuty RDS Protection?
Amazon Aurora
Brute Force
Password Spraying
/ Guessing
pgAdmin
Misused
Credentials
Virtual Private Cloud (VPC)
r
o
o
t
p
o
s
t
g
r
e
s
a
d
m
i
n
t
e
m
p
l
a
t
e
0
?
Scanning
re:Invent Session: https://youtu.be/MnUsEzPNyXE

RDS Protection: Contexto para investigar y responder rápidamente

Detección de amenazas – Amazon GuardDuty

Amazon GuardDuty Malware Protection
No hay agentes que instalar,
actualizar o mantener
Sin impacto en el rendimiento
ni costos de EC2 para el
escaneo
Detección de archivos
maliciosos con un solo clic
en toda la organización
Monitoreo central e
inspección automática
Hallazgos
contextualizados
Identificación dentro de
los contenedores
Ofrece detección sin agentes de malware en cargas de trabajo en AWS

Customer account – Region A
Amazon
GuardDuty
Crear y compartir snapshot
Shapshot ID:
0xxxxBBxxxxxxx4321
!
Hallazgo
EBS customer KMS
key compartido via
SLR
Scanner
compute
GuardDuty service account – Region A
Amazon
GuardDuty
Malware
finding
Borrado de
snapshot
EBS
customer
KMS key
EBS
EBS
¿Cómo funciona?

GuardDuty Malware Protection

Malware Protection no es un reemplazo para soluciones
Cloud Workload Protection /Endpoint Protection
• No se puede escanear y detectar tan pronto como el archivo llega al
sistema
• No realiza un seguimiento de los comportamientos del sistema para
generar detecciones
• No pone en cuarentena/corrige las amenazas
GuardDuty Malware Protection todavía puede tener un lugar incluso con EPP
/ CWP
• Puede hacer que las detecciones no sean detectadas por una solución
basada en agente
• Fuente única de hallazgos basados en red y malware
• Cubrir casos en los que EPP/CWP no está instalado
• Encuentre malware que está en el sistema de archivos pero diseñado para

GuardDuty Demo
GuardDuty DEMO

AWS Security Lake Preview
Herramientas de
seguridad y
analítica de AWS
Open Cybersecurity Schema
Framework
Los clientes
pueden usar
cualquier
herramienta de
análisis
Fuentes de logs de AWS +
hallazgos de 50 soluciones
de seguridad
S3, Lake Formation,
Glue, Lambda…
Ingestión
y
normalización
de
datos
Lago de datos de
seguridad del cliente,
gestionado, que escala a
petabytes
Gestión
de
Suscriptores
Soluciones de seguridad
empresarial
Analíticos de terceros &
Platformas XDR
re:Invent Session: https://youtu.be/V7XwbPPjXSY

AWS Security Lake Preview - Beneficios
• Lago de datos gestionado
• Utiliza formato estándar (abierto): Open Cybersecurity Schema
Framework
à No hay vendor lock-in
(tus datos no están captivos en un formato propietario que dificulta
migrar)
à No hay inconsistencias
(formato estructurado)
à Puedes consumirlos/consultarlos con múltiples herramientas
• Escala a petabytes

Amazon Security Lake Partners

Security Information and Event Manager
Es Security Hub un SIEM ? No.
- Las soluciones de SIEM agregan eventos (como un login success) y
luego se correlaciona para generar hallazgos / ofensas
- Security Hub agrega los hallazgos (información relevante para que
el equipo de seguridad tome una acción)
- Un caso de uso frecuente de Security Hub es centralizar hallazgos
nativos y enviarlos al SIEM
Hay un SIEM nativo de AWS ?
- AWS Security Lake + OpenSearch (OPENSEARCH SERVERLESS EN PREVIEW)
- AWS Security Lake + Athena + Quicksight
- Solución AWS SIEM basada en OpenSearch
(CloudFormation template)
- SIEM de partners

Opciones de SIEM de Partners
Todos los principales proveedores
de SIEM soportan la colección de
registros de AWS
Algunos SIEM recopilarán más
registros que otros, todos
recopilarán CloudTrails, la mayoría
recopilará los hallazgos de
GuardDuty.
ü Splunk
ü IBM Security QRadar
ü Sumo Logic
ü Securonix
ü Exabeam
ü Rapid7
ü Logrhythm
ü Microfocus (arcsight)
ü Gurucul
ü Microsoft Azure Sentinel
ü Elastic
ü RSA, FortiSIEM, etc.

SIEM en OpenSearch
(ElasticSearch fork)
Repositorio:
https://github.com/aws-samples/siem-on-amazon-opensearch-service
Workshop:
https://security-log-analysis-platform.workshop.aws/en
- Rápido de implementar
- Eficiente en costos
- Actualizada para usar
AWS Security Lake

Protección de Datos
Módulo 8

• Seguridad y Privacidad de los datos en la nube de AWS
• Amazon S3 Block Public Access
• Cifrado en Reposo
• Cifrado en Tránsito
• Descubrimiento y clasificación de datos con Amazon Macie

Acceso Trazabilidad
Propiedad
Usted conserva la propiedad y el control de su contenido, y elige en qué
región reside el contenido.
El Cliente es el dueño del los datos,
controla el acceso y ubicación

Amazon S3
• 99.999999999% (11 9’s)
• Dato replicado a 3 zonas de disponibilidad
• Permite versionado
• MFA on delete
• Cifrado
• Amazon S3 Glacier Vault Lock / lifecycle rules
• Amazon S3 fue diseñado seguro por defecto, aunque permite
flexibilidad para hacer el acceso publico por casos de uso como el
alojar un sitio web estático

Usa S3 Block Public Access
• Si no requieres acceso público en ningún bucket en tu cuenta,
mantenlo bloqueado a nivel cuenta.
• Si no requieres acceso público en un bucket, mantenlo bloqueado.
• Todas las nuevas cuentas y buckets vienen con el acceso publico
bloqueado por default.

Block Public Access – Activado por defecto

Cifrado de extremo a extremo: En Reposo
AWS Key Management Service (KMS)
EBS
Volúmenes Encriptados
Discos
Encriptados
Archivos
Socio Soluciones/
Marketplace
Objectos Encriptados
Cifrado del lado del
servidor S3 (SSE-S3)
S3 SSE con claves del
cliente (KMS)
Criptografía del lado del
cliente
Bases de Datos Encriptadas
Redshift
PostgreSQL
MYSQL
Oracle
MSSQL
AWS
KMS
EC2
S3
Redshift
RDS

AWS KMS: Control de acceso a las llaves de cifrado
Plaintext
data
Hardware/
software
Encrypted
data
Encrypted
data in storage
Encrypted
data key
Symmetric
data key
Master key
Symmetric
data key
?
?
Las claves deben almacenarse en algún lugar

Donde pueden almacenarse las llaves de cifrado
• AWS Marketplace
• SaaS
• Integración limitada con
servicios de AWS
• Warning: Latencia
• Cliente responsable por
Disponibilidad, durabilidad,
escalabilidad
• Single-tenant
• FIPS 140-2 Level 3
• Soportado por HSMs
• Tamper proof
• Sin API para extracción de
llaves
• Integración con servicios de
AWS / estándares PKCS/JCE
• HA configurable (cluster)
• Multi-tenant
• FIPS 140-2 Level 2
• Soportado por HSMs
• Tamper proof
• Sin API para extracción de
llaves
• Integración con servicios de
AWS
• HA gestionada por AWS
KMS AWS
CloudHSM
Soluciones
de
terceros
On-prem
HSM o
KMS XKS
(NEW)

AWS KMS nueva opción External Key Store (XKS) NEW
Los beneficios de la integración que tiene KMS utilizando su própio HSM on prem
Multi-tenant
AWS KMS
HSMs
Single-tenant
CloudHSM
XKS
External key
Manager
“BYOK”
(Import Key)
AWS Key Management Service
(AWS KMS)
NEW

Llaves del servicio vs. llaves privadas
Llaves del servicio
(AWS Managed)
KMS
Customer Managed Keys
Llaves compartidas Llaves privadas
Rotación anual Rotación configurable
Control sobre las llaves
- Deshabilitación
- Eliminación
Control de acceso
Permite compartir entre cuentas

KMS DEMO

Cifrado en Tránsito
• AWS Certificate Manager:
• Public Certificates ¡Gratis!
• Private Certificates
• AWS VPN
• Site to site VPN
• Client VPN
• Todos los servicios que transfieren datos soportan cifrado en tránsito.
ü AWS Elastic Disaster Recovery
ü CloudEndure, DataSync, AWS Storage Gateway
ü Database Migration Services, Schema Convertion Tool
ü Workspaces, Workdocs
ü AWS Backups

AWS Certificate Manager: Cifrado en transito
• Certificados públicos solicitados con ACM, o privados (CA generada con ACM)
• Desplegada en Elastic Load Balancer
• ACM administra la renovación y la implementación
Servidor
TLS público
certificado
usuarios
dispositivos
Conexión
TLS/SSL segura
Elastic Load
Balancing
Certificado TLS público
certificado
Instancias
AWS Certificate
Manager
Amazon
CA pública

AWS Certificate Manager: CA Privada
• ACM Private CA es una CA privada totalmente administrada
• Evita la complejidad de administrar una CA usted mismo
• Funciona como una CA independiente o junto con ACM para el certificado root
• Los certificados son de confianza dentro de su organización
Empleados
Dispositivos
Conexión
TLS/SSL segura
Elastic Load
Balancing
Certificado TLS privado
certificado
Instancias CA Privada
Corporate
data center Traditional
server
Client
Mobile
Client
AWS Certificate
Manager

Ganar
visibilidad y
evaluación de
políticas
Gobierno a escala
centralizado
Automatizar y
tomar acciones
Descubrir
Datos
sensibles
• Inventario de
Buckets
• Políticas de
Buckets
• Trabajos de
inspección
flexibles en
alcance
• Integración con AWS
Organizations con
“auto-enable”
• Patrones de detección
gestionados por AWS
y Custom
• Hallazgos
detallados
• Gestión via APIs
• Integración con
AWS Security
Hub
Amazon Macie

Amazon Macie: Visibilidad – Inventario de S3 Buckets
• ¿Que porcentaje de mis Buckets están públicos ?
• ¿Que porcentaje de mis datos están cifrados ?
• ¿Cuantos usando mis claves en KMS?
• ¿Cuantos Buckets están siendo usados por cuentas fuera de mi organización?

Amazon Macie: Descubrimiento de datos sensibles
Configuración flexible
de opciones de escaneo
• Planificación
• Profundidad del
Muestreo (o 100%)
• Criterios para
Exclusiones por tipo
de archivo, tamaño
o tags

Amazon Macie
Seguridad y privacidad de datos escalable para Amazon S3
Ejecuta trabajos de descubrimiento de
información sensible
Descubre datos sensibles
• .txt .json .xml .csv .tsv
• .docx .xls .xlsx .pdf
• Parquet, Avro
• .tar .zip .gzip
Formatos de archivo
Tipos de datos
• Financieros (tarjetas de crédito,
número de cuenta bancaria, etc.)
• Información Personal (nombre,
dirección, datos de contacto, etc.)
• Documentación Nacional (pasaporte,
documento de identidad, licencia de
conducir, etc.)
• Datos Médicos
• Credenciales y secretos
• Personalizados (regex)

Permite una visibilidad
amplia y eficiente en costos
sobre los datos sensibles
almacenados en Amazon S3
Macie muestrea y analiza automáticamente los
objetos de sus buckets de S3, los inspecciona en
busca de datos confidenciales (como PII) y crea
un mapa de datos interactivo
Amazon Macie: Descubrimiento de datos sensibles
Descubrimiento automatizado NEW
re:Invent Session: https://youtu.be/mRUVeyVF3jM

Macie DEMO

Producto único con un conjunto completo
de capacidades de colaboración
Acceso multidispositivo (móvil, de escritorio) con
capacidad para funcionar en entornos de bajo
ancho de banda
Integrado a infraestructura de IT y gestión
central
Admite el archivado y la protección de la
privacidad de los datos
Opciones de implementación SaaS
federadas, auto-hospedadas y aisladas
Cifrado avanzado de extremo a extremo
(E2EE)
Seguridad reforzada en dispositivos personales
sin necesidad de VPN o software especial
AWS Wickr NEW
Ideal para War Rooms y
Comunicaciones sobre
información top secret

Errores frecuentes de que
pueden generar incidentes y
cómo responder
Módulo 9

Cómo evitar y responder ante los siguientes tipos de
incidentes:
• Compromiso de credenciales
• Errores de configuración
• Compromiso de instancias
Amazon Detective

AWS Realiza su parte del modelo de responsabilidad
compartida eficientemente con automatizaciones
• Pipelines de despliegue continuo
• Despliegue de parches
• Procesos probados a escala
• Mínima intervención humana
enfocada en la supervisión de los
procesos automatizados
• Los mas altos niveles en
hardening
• Auditoría
• La inversión en seguridad de
AWS es mucho más grande que
lo que la mayoría de los clientes
pueden hacer individualmente
Siempre que sea posible transfieran responsabilidades de
seguridad a AWS eligiendo servicios abstractos o gestionados

¿Cuáles son los errores comunes
en las responsabilidades del
cliente ?
Seguridad EN
la nube
El Cliente es responsable por la
seguridad de sus cargas en la
nube
Cliente
AWS

Compromiso de credenciales
ü No guardes secretos en Código y rota las contraseñas
- EC2 Instance Profiles
- IAM Roles Anywhere
- AWS Secrets Manager
Ø NO se recomienda el uso de Access Keys
ü Usa credenciales temporales
- IAM Identity Center
Ø NO se recomienda el uso de IAM Users ni usar root

Contactos de seguridad
AWS Monitorea repositorios públicos en busca de
credenciales, alerta a los usuarios y las bloquea
Actualiza los
contactos de
seguridad
Utiliza un servidor
de correos Seguro
Controla el
acceso al telefono
de recupero en
root accounts

Evitando credenciales duraderas para el acceso de los empleados
• Prefiere el acceso a la consola de AWS o al AWS Cli usando
servicios que otorgan credenciales temporales.
Ø IAM users cuyas credenciales no se rotan, con el tiempo van
incrementando su riesgo.
Usa AWS IAM Identity Center
Nota: Si no tienes control de la cuenta de administración de una AWS
Organizations, configura en IAM la federación de usuarios desde un Identity
Provider (OpenID Connect o SAML)

Cómo reaccionar ante credenciales de AWS
comprometidas
• Abrir un caso de soporte sev2
• Rotar credenciales
• Habilitar MFA (idealmente para todos los usuarios)
• Identificar Roles y usuarios que no hayan sido creados por ustedes
• Analizar el impacto que pudieron haber tenido los adversarios en
base a los permisos de las credenciales comprometidas.
• Utilizar IAM Access Analyzer para identificar accesos externos y
remediarlos

Errores de configuración
ü Desvíos de configuración / Buenas prácticas
(AWS Config y AWS Security Hub)
ü Bloqueo de acceso público a los Buckets de Amazon S3
ü Descubrimiento y clasificación de datos sensibles
(Amazon Macie)
ü Detección de potenciales fugas de información
(Amazon GuardDuty S3 Protection)

AWS Security Hub y AWS Config
• Revisa el alineamiento de tus configuraciones con las buenas prácticas
de seguridad
Ø Empleados maliciosos o usuarios comprometidos podrían alterarlas.
Ø Los equipos de seguridad no tienen el tiempo para hacer assessments
manuales.
• Detecta configuraciones indeseables personalizadas con AWS Config
Ø Identificar si un puerto de un servicio crítico ej: 1433 o 3389 está
escuchando conexiones desde cualquier IP en Internet (abierto podría
recibir ataques de fuerza bruta).

Cómo reaccionar ante cambios anómalos en la
configuración
• Abrir un caso de soporte sev2 si sospechan que fue un adversario.
• Revisar en AWS Config cual fue el cambio y en que momento fue
realizado
• Revisar CloudTrail para entender quien hizo el cambio
(Athena permite consultarlo como SQL)
• Corregir el desvío
• Revisar otros desvíos con AWS Security Hub y AWS Config

Compromiso de Instancias
ü Patching
(AWS Systems Manager Patch Manager – EC2 Image Builder)
ü Protege tus aplicaciones con WAF
(en particular OS Command Injection)
ü Administra las instancias con
AWS Systems Manager Fleet Manager
(evitando la necesidad de abrir puertos)
ü Uso de credenciales temporales

Patching
• Asegurate de ser riguroso con el programa de parchado
Ø Vulnerabilidades en los sistemas operativos, middleware o
aplicaciones pueden permitir a los adversarios tomar control sobre
su infraestructura
• AWS Systems Manager patch manager no tiene costo para instancias en la
nube
• EC2 Image Builder no tiene costo adicional a los recursos generados.
• Establece procedimientos con expectativas y difúndelas entre los equipos
de desarrollo, que se espera y cómo se va a medir.

Cómo reaccionar ante instancias comprometidas
• Abrir un caso de soporte sev2
• Tomar snapshot para forense
• Aislar la instancia quitando su security group / bloqueando con una
Network ACL
• Recolectar información de la instancia
(describe-instances, runCommand)
• Cambiar los permisos en IAM para evitar que alguien fuera del equipo
de respuesta a incidentes pueda alterarla
Notas:
• Según la organización se bloqueará antes de recolectar evidencia o primero
recolectarán la evidencia y luego bloquearán, según su programa de seguridad.
• El Playbook de cada organización puede variar incluyendo pasos adicionales.

Workshop - Automated Response to threats
Lambda 1 Get instance Info
Win/Linux
Instance
Malicious
Hosts
GuardDuty
TOR Client / C&C
/ Cryptomining
(Issue: high, confirmed)
Security group
2
→ The security group changes to isolate traffic from
anywhere except the Incident forensics workstation
minutes
Amazon EventBridge
EBS Snapshot
Isolate instance with SG
Allow Access only to Incident Forensics team on SG
Tag Instance: → IAM deny policy denys termination of the instance to users
→ Close all connections
3
4
5
Snapshot

import boto3, json
import time
from datetime import date
from botocore.exceptions import ClientError
import os
def lambda_handler(event, context):
response = 'Error remediating the security finding.'
try:
# Gather Instance ID from CloudWatch event
instanceID = event['detail']['resource']['instanceDetails']['instanceId']
# Get instance details
client = boto3.client('ec2')
ec2 = boto3.resource('ec2')
instance = ec2.Instance(instanceID)
instance_description = client.describe_instances(InstanceIds=[instanceID])
print('## INSTANCE DESCRIPTION: %s' % (instance_description))
## Isolate Instance - Change instance Security Group attribute to Forensics SG for Root Cause Analysis
instance.modify_attribute(Groups=[os.environ['ForensicsSG']])
## Create snapshots of EBS volumes
description= 'Isolated Instance:' + instance.id + ' on account: ' + event['detail']['accountId'] + ' on ' + date.today().strftime("%Y-%m-%d
%H:%M:%S")
SnapShotDetails = client.create_snapshots(
Description=description,
InstanceSpecification = {
'InstanceId': instanceID,
'ExcludeBootVolume': False
}
)
print('Snapshot Created -- %s' % (SnapShotDetails))
response = 'Instance ' + instance.id + ' auto-remediated'
except ClientError as e:
print(e)
return response
Ejemplo Lambda para aislar instancias

Amazon Detective

Incident
Response
Amazon Detective: Casos de uso
Hunting
Análisis de hallazgos de
seguridad (Triage)
Acelera el diagnóstico inicial para evitar
escalamiento de incidentes cuando no sea
necesario.
Alert
Analysis
Investigue los problemas más rápido y con menos esfuerzo
Investigación
de un incidente
Mejora el contexto para las
investigaciones
Threat Hunting
Simplifica la colección de datos,
agregación y haciendo pivot

Investigación de
hallazgos

Análisis de Amazon VPC Flow Logs

Búsqueda de entidades de IP

Encadenamiento de roles
E L E N C A D E N A M I E N T O D E R O L E S E S R E A L I Z A R U N A S S U M E R O L
A O T R O S R O L E S P A R A E S C A L A R P R I V I L E G I O S
1) Primer
assume role
2) Segundo
assume role

¿ Dónde sigo aprendiendo de
seguridad en AWS ?
Módulo 10

• Modelo de Madurez en Seguridad de AWS
• Trainings
• Workshops
• Libro

Modelo de madurez en
seguridad de AWS

Frameworks y Best Practices
AWS Well-Architected Tool
Well-Architected document
NIST
Cybersecurity
Framework

¿ Cómo priorizar las recomendaciones ?
¿ Por dónde empiezo ?

¿ Cómo priorizar las recomendaciones ?
Beneficio en el refuerzo de la postura de seguridad
Facilidad
de
implementación
Más
Fácil
Más
Difícil
Mayor
Beneficio
Menor
Beneficio
Beneficio =
Mitigación de riesgos
críticos y/o de gran
probabilidad de
ocurrencia
Fácil=
1. Rápido / Sencillo
de implementar
2. Baja Carga Op.
3. Costo
Quick Wins
• Todos en una
semana
• Gran Beneficio

Es un camino evolutivo

Modelo de Madurez en seguridad de AWS
Mejorar tu postura es un
camino evolutivo
Evolució
n
Tiempo
Fase 1:
Quick Wins
Fase 2:
Fundacional
Fase 3:
Eficiente
Fase 4:
Optimizado
Servicios y
configuraciones
que podemos
implementar en
menos de una
semana y tener
importantes
beneficios
Servicios y
configuraciones
importantes, que
forman la base de
su postura de
seguridad
Recomendaciones
que nos permiten
un gobierno
eficiente de la
seguridad en la
nube
Pipelines,
automatizaciones,
Capacidades de
gobierno para
grandes
infraestructuras
Ø Videos cortos, explicaciones
concisas
Ø En Español, Inglés y Portugués
Ø Ordenados y categorizados
+ Workshops + Mindmaps + Webinars
https://maturitymodel.security.aws.dev

Modelo de Madurez en seguridad de AWS:
Recomendaciones categorizadas y priorizadas

Siguientes Pasos
https://d1.awsstatic.com/training-and-certification/ramp-up_guides/Ramp-Up_Guide_Security.pdf

Skills Builder
https://explore.skillbuilder.aws/learn/public/learning_plan/view/91/security-learning-plan

Siguientes Pasos
• Practicar
https://awssecworkshops.com
https://workshops.aws

Para quienes prefieren la lectura
• Guía con los contenidos para cubrir
todos los temas de la certificación
• Ejercicios prácticos
• Preguntas de práctica para el examen
• 100 Flashcards para memorizar

AWS Security Community
LATAM (User Group)
Eventos de la comunidad
• Temáticas varias
• Profundización sobre los temas
• Charlas de especialistas de AWS
y de miembros de la comunidad
Redes Sociales
- https://www.youtube.com/c/AWSSecurityLATAM
- https://www.linkedin.com/company/awssecuritylatam
- https://www.twitch.tv/awssecuritylatam
- https://www.meetup.com/es/awssecuritylatam
Slack
- https://bit.ly/aws-sec-com (canal #eventos)

Para mirar a demanda re:Invent / re:Inforce
• Sesiones de seguridad en re:Invent
Ø https://youtube.com/playlist?list=PLB3flZ7qA4xuyPXE2yvBEutvR6h5
oPZzs
• Sesiones de seguridad en re:Invent
Ø https://www.youtube.com/@AWSEventsChannel/playlists?view=50&s
helf_id=8

Workshop

Workshop
Nombre Hash Guía
AWS Security Hub e7b4-17cef73b84-54 https://catalog.workshops.aws/security-hub
Amazon GuardDuty 371b-17419c1ee4-d5 https://catalog.workshops.aws/guardduty
Amazon Inspector 633a-1b6ee55e04-22 https://catalog.workshops.aws/inspector
AWS WAF 971f-0cacc9-c5 https://bit.ly/aws-waf-workshop
Ambientes para Security Hub, GuardDuty o Inspector:
https://dashboard.eventengine.run/login?hash=<HASH>
Ambiente para WAF
https://catalog.us-east-1.prod.workshops.aws/join?access-code=<HASH>
Links directos en el Chat (abajo a la derecha en Webex)

¡ Gracias !
¿ Preguntas ?

Multi-Customer Security Immersion Day December + Reinvent News (1).pdf

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Ähnlich wie Multi-Customer Security Immersion Day December + Reinvent News (1).pdf

Ähnlich wie Multi-Customer Security Immersion Day December + Reinvent News (1).pdf (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (15)

Multi-Customer Security Immersion Day December + Reinvent News (1).pdf