Suche senden
Hochladen
Multi-Customer Security Immersion Day December + Reinvent News (1).pdf
•
0 gefällt mir
•
21 views
R
RicardoDanielGarcaGo
Folgen
AWs reinvent updates
Weniger lesen
Mehr lesen
Technologie
Diashow-Anzeige
Melden
Teilen
Diashow-Anzeige
Melden
Teilen
1 von 254
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
Empezando con AWS [Spanish}
Empezando con AWS [Spanish}
Amazon Web Services
The Importance of Cloud Security [Spanish]
The Importance of Cloud Security [Spanish]
Amazon Web Services
David Victoria - AWS Summit CDMX.pptx
David Victoria - AWS Summit CDMX.pptx
DavidVictoria12
Conformidad y Seguridad en la Nube para industrias reguladas
Conformidad y Seguridad en la Nube para industrias reguladas
Amazon Web Services LATAM
Data Center as a Service
Data Center as a Service
Data Center Consultores
20230511 Seguridad en la nube para Startups: Aprovecha las herramientas de AWS
20230511 Seguridad en la nube para Startups: Aprovecha las herramientas de AWS
Ricardo González
Cbs aws-fundamentals-1
Cbs aws-fundamentals-1
Luis Merino Troncoso
Seguridad en Cloud Computing - Segu-Info
Seguridad en Cloud Computing - Segu-Info
Cristian Borghello
Empfohlen
Empezando con AWS [Spanish}
Empezando con AWS [Spanish}
Amazon Web Services
The Importance of Cloud Security [Spanish]
The Importance of Cloud Security [Spanish]
Amazon Web Services
David Victoria - AWS Summit CDMX.pptx
David Victoria - AWS Summit CDMX.pptx
DavidVictoria12
Conformidad y Seguridad en la Nube para industrias reguladas
Conformidad y Seguridad en la Nube para industrias reguladas
Amazon Web Services LATAM
Data Center as a Service
Data Center as a Service
Data Center Consultores
20230511 Seguridad en la nube para Startups: Aprovecha las herramientas de AWS
20230511 Seguridad en la nube para Startups: Aprovecha las herramientas de AWS
Ricardo González
Cbs aws-fundamentals-1
Cbs aws-fundamentals-1
Luis Merino Troncoso
Seguridad en Cloud Computing - Segu-Info
Seguridad en Cloud Computing - Segu-Info
Cristian Borghello
AWS Innovate 2020 - Cómo mejorar su resiliencia en seguridad con automatizaci...
AWS Innovate 2020 - Cómo mejorar su resiliencia en seguridad con automatizaci...
Amazon Web Services LATAM
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWS
Amazon Web Services LATAM
NubeAzure.pdf
NubeAzure.pdf
hefloca
SOA Cloud Silos
SOA Cloud Silos
Juan Bello
4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...
4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...
ReyesMagosLeon
AWS Innovate 2020 - Aprenda cómo el Data Flywheel puede ayudarle en su estrat...
AWS Innovate 2020 - Aprenda cómo el Data Flywheel puede ayudarle en su estrat...
Amazon Web Services LATAM
Los Anillos de Seguridad - AWS Security Day Chile - 2023
Los Anillos de Seguridad - AWS Security Day Chile - 2023
Alvaro Garcia
Acens Cloud Hosting 2013
Acens Cloud Hosting 2013
Red Auti
Seguridad para Cloud Computing
Seguridad para Cloud Computing
Gabriel Marcos
AWS para organizaciones sin ánimo de lucro
AWS para organizaciones sin ánimo de lucro
Amazon Web Services
Introduction to ThousandEyes and Meraki MX for Partners in Spanish
Introduction to ThousandEyes and Meraki MX for Partners in Spanish
ThousandEyes
Inicie un viaje seguro a la nube
Inicie un viaje seguro a la nube
Amazon Web Services LATAM
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NIST
Fundación YOD YOD
Cloud Security Fundamentals.pptx
Cloud Security Fundamentals.pptx
JuanCarlosBarillas3
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
Amazon Web Services LATAM
Uso de Containers y Serverless para acelerar el desarrollo de aplicaciones mo...
Uso de Containers y Serverless para acelerar el desarrollo de aplicaciones mo...
Amazon Web Services LATAM
Azure intro
Azure intro
Diana Carolina Torres Viasus
Seguridad y Entornos Críticos en Cloud - Cloud Leadership 2013
Seguridad y Entornos Críticos en Cloud - Cloud Leadership 2013
Arsys
Estrategias de Seguridad para Servicios en la Nube
Estrategias de Seguridad para Servicios en la Nube
Software Guru
Identity Management con SSO y SAML 2.0
Identity Management con SSO y SAML 2.0
Pol Jane
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
sgonzalezp1
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
losdiosesmanzaneros
Weitere ähnliche Inhalte
Ähnlich wie Multi-Customer Security Immersion Day December + Reinvent News (1).pdf
AWS Innovate 2020 - Cómo mejorar su resiliencia en seguridad con automatizaci...
AWS Innovate 2020 - Cómo mejorar su resiliencia en seguridad con automatizaci...
Amazon Web Services LATAM
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWS
Amazon Web Services LATAM
NubeAzure.pdf
NubeAzure.pdf
hefloca
SOA Cloud Silos
SOA Cloud Silos
Juan Bello
4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...
4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...
ReyesMagosLeon
AWS Innovate 2020 - Aprenda cómo el Data Flywheel puede ayudarle en su estrat...
AWS Innovate 2020 - Aprenda cómo el Data Flywheel puede ayudarle en su estrat...
Amazon Web Services LATAM
Los Anillos de Seguridad - AWS Security Day Chile - 2023
Los Anillos de Seguridad - AWS Security Day Chile - 2023
Alvaro Garcia
Acens Cloud Hosting 2013
Acens Cloud Hosting 2013
Red Auti
Seguridad para Cloud Computing
Seguridad para Cloud Computing
Gabriel Marcos
AWS para organizaciones sin ánimo de lucro
AWS para organizaciones sin ánimo de lucro
Amazon Web Services
Introduction to ThousandEyes and Meraki MX for Partners in Spanish
Introduction to ThousandEyes and Meraki MX for Partners in Spanish
ThousandEyes
Inicie un viaje seguro a la nube
Inicie un viaje seguro a la nube
Amazon Web Services LATAM
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NIST
Fundación YOD YOD
Cloud Security Fundamentals.pptx
Cloud Security Fundamentals.pptx
JuanCarlosBarillas3
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
Amazon Web Services LATAM
Uso de Containers y Serverless para acelerar el desarrollo de aplicaciones mo...
Uso de Containers y Serverless para acelerar el desarrollo de aplicaciones mo...
Amazon Web Services LATAM
Azure intro
Azure intro
Diana Carolina Torres Viasus
Seguridad y Entornos Críticos en Cloud - Cloud Leadership 2013
Seguridad y Entornos Críticos en Cloud - Cloud Leadership 2013
Arsys
Estrategias de Seguridad para Servicios en la Nube
Estrategias de Seguridad para Servicios en la Nube
Software Guru
Identity Management con SSO y SAML 2.0
Identity Management con SSO y SAML 2.0
Pol Jane
Ähnlich wie Multi-Customer Security Immersion Day December + Reinvent News (1).pdf
(20)
AWS Innovate 2020 - Cómo mejorar su resiliencia en seguridad con automatizaci...
AWS Innovate 2020 - Cómo mejorar su resiliencia en seguridad con automatizaci...
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWS
NubeAzure.pdf
NubeAzure.pdf
SOA Cloud Silos
SOA Cloud Silos
4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...
4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...
AWS Innovate 2020 - Aprenda cómo el Data Flywheel puede ayudarle en su estrat...
AWS Innovate 2020 - Aprenda cómo el Data Flywheel puede ayudarle en su estrat...
Los Anillos de Seguridad - AWS Security Day Chile - 2023
Los Anillos de Seguridad - AWS Security Day Chile - 2023
Acens Cloud Hosting 2013
Acens Cloud Hosting 2013
Seguridad para Cloud Computing
Seguridad para Cloud Computing
AWS para organizaciones sin ánimo de lucro
AWS para organizaciones sin ánimo de lucro
Introduction to ThousandEyes and Meraki MX for Partners in Spanish
Introduction to ThousandEyes and Meraki MX for Partners in Spanish
Inicie un viaje seguro a la nube
Inicie un viaje seguro a la nube
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NIST
Cloud Security Fundamentals.pptx
Cloud Security Fundamentals.pptx
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
Uso de Containers y Serverless para acelerar el desarrollo de aplicaciones mo...
Uso de Containers y Serverless para acelerar el desarrollo de aplicaciones mo...
Azure intro
Azure intro
Seguridad y Entornos Críticos en Cloud - Cloud Leadership 2013
Seguridad y Entornos Críticos en Cloud - Cloud Leadership 2013
Estrategias de Seguridad para Servicios en la Nube
Estrategias de Seguridad para Servicios en la Nube
Identity Management con SSO y SAML 2.0
Identity Management con SSO y SAML 2.0
Kürzlich hochgeladen
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
sgonzalezp1
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
losdiosesmanzaneros
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
ssuserf18419
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
mcerpam
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
JuanGallardo438714
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
MiguelAtencio10
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
BRAYANJOSEPHPEREZGOM
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
Maricarmen Sánchez Ruiz
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
Julian Lamprea
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
vladimiroflores1
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
Alan779941
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Keyla Dolores Méndez
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
Kürzlich hochgeladen
(15)
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
Multi-Customer Security Immersion Day December + Reinvent News (1).pdf
1.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Security Immersion Day Diciembre 2022
2.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Security Immersion Day Preguntas frecuentes / Anuncios - Estarán disponibles tanto las presentaciones como la grabación del evento, se compartirá inicialmente en el Slack de la Comunidad de usuarios de AWS Security LATAM https://bit.ly/aws-sec-com (canal #eventos) - Por favor hagan las preguntas usando el modulo de preguntas y respuestas de Webex (abajo a la derecha), no el Chat.
3.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Oradores y Colaboradores Dario Goldfarb Security Specialist SA Maria Isabel Florez Solutions Architect Giovanni Rodriguez Solutions Architect Pablo Guzmán Solutions Architect Doris Manrique Solutions Architect Mauricio Romero Solutions Architect Mario Navarro Solutions Architect Saul Torres Solutions Architect Juan Fernandez Solutions Architect
4.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Agenda Módulo 1: Modelo de Responsabilidad compartida – Seguridad DE la nube Módulo 2: Estrategias Multi-Cuenta Módulo 3: IAM: Identidades y Accesos Módulo 4: Seguridad de la infraestructura Módulo 5: Gestión de la seguridad Módulo 6: Compliance Continuo Módulo 7: Controles Detectivos Módulo 8: Protección de datos Módulo 9: Respuesta ante incidentes Módulo 10: Cómo seguir aprendiendo Workshop AWS Security Hub o Amazon GuardDuty o Amazon Inspector o AWS WAF
5.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Introducción Módulo 1
6.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Módulo 1 - Tabla de contenidos • Modelo de responsabilidad compartida • Cómo AWS hace su parte Seguridad DE la nube • Cómo ayudamos al cliente a hacer su parte Seguridad EN la nube © 2022, Amazon Web Services, Inc. or its Affiliates. Módulo 1 - Tabla de contenidos • Modelo de responsabilidad compartida • Cómo AWS hace su parte Seguridad DE la nube • Cómo ayudamos al cliente a hacer su parte Seguridad EN la nube
7.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Desafíos de seguridad
8.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Desafíos actuales de seguridad donde la nube puede ayudar Visibilidad • Inventario de IT • Actividad / Auditoría / Compliance Escases de recursos • Humanos / Económicos • En el mercado laboral Infraestructura a proteger • Más grande / Más diversa • Más distribuida Amenazas externas evolucionan • Actores / Malware • “Criminal as a Service” à Servicios nativos de inventario – No más shadow IT à Registro de API calls – Solo ”GAP” en auditorías à El CSP tiene equipos de seguridad 24x7, no estás solo. à Responsabilidad compartida – Tareas pesadas al CSP à Automatización à Gestión a escala de recursos à Servicios de respuesta ante incidentes à Vectores de ataque limitados con hardening.
9.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Modelo de Responsabilidad Compartida AWS Seguridad DE la nube AWS es responsable por proteger la infraestructura donde se ejecutan los servicios Seguridad EN la nube El Cliente es responsable por la seguridad de sus cargas de trabajo en la nube Cliente
10.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Servicios de infraestructura Servicios administrados / encapsulados Servicios abstractos / serverless Tipos de servicios Modelo de responsabilidad compartida
11.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Gestión del SO (parches, hardening, antimalware*) Gestión de la BD (parches, hardening) Escalabilidad Respaldos de BD Alta disponibilidad Instalaciones para BD Cifrado Modelo de responsabilidad compartida Ejemplo: bases de datos Servicios de infraestructura EC2 Seguridad física – Procesos de seguridad Electricidad, enfriamento Montaje en racks - red Mantenimiento de Servidores - Hypervisor Instalación del SO Crecimiento elástico * Requerido Por PCI-DSS Control de acceso
12.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Cifrado Modelo de responsabilidad compartida Ejemplo: bases de datos Seguridad física – Procesos de seguridad Electricidad, enfriamento Montaje en racks - red Mantenimiento de Servidores - Hypervisor Servicios encapsulados RDS Instalación del SO * Requerido Por PCI-DSS Gestión del SO (parches, hardening, antimalware*) Gestión de la BD (parches, hardening) Escalabilidad Respaldos de BD Alta disponibilidad Instalaciones para BD Operaciones Configuración Crecimiento elástico Control de acceso
13.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Modelo de responsabilidad compartida Ejemplo: bases de datos Seguridad física – Procesos de seguridad Electricidad, enfriamento Montaje en racks - red Mantenimiento de Servidores - Hypervisor Instalación del SO Servicios abstractos DynamoDB * Requerido Por PCI-DSS Crecimiento elástico Control de acceso Gestión del SO (parches, hardening, antimalware*) Gestión de la BD (parches, hardening) Respaldos de BD Alta disponibilidad Instalaciones para BD Cifrado Operaciones Configuración Escalabilidad
14.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Arquitecturas basadas en Servicios Abstractos – Serverless • Uso a demanda con pago por uso • 100% elástico • HA en múltiples Zonas de Disponibilidad transparentemente • Infraestructura y ambiente de ejecución gestionado
15.
© 2022, Amazon
Web Services, Inc. or its Affiliates. ¿Cómo AWS hace su parte? AWS Seguridad DE la nube AWS es responsable por proteger la infraestructura donde se ejecutan los servicios Cliente
16.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Infraestructura Global 30 Regiones – 96 Zonas de Disponibilidad – 410+ Puntos de Presencia Zona de Disponibilidad A Zona de Disponibilidad B Zona de Disponibilidad C AZ DataCenter 1 DataCenter 2 DataCenter n https://infrastructure.aws 3 3
17.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Local Zones
18.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Protección del perímetro https://aws.amazon.com/es/compliance/data-center/perimeter-layer
19.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Protección del perímetro https://aws.amazon.com/es/compliance/data-center/perimeter-layer
20.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Protección del acceso a las salas del datacenter https://aws.amazon.com/es/compliance/data-center/data-layer
21.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Protección del acceso a las salas del datacenter https://aws.amazon.com/es/compliance/data-center/data-layer
22.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Informes de auditoría y cumplimiento disponibles para los clientes en el portal de servicios en AWS Artifact https://aws.amazon.com/es/compliance/programs/ CSA Cloud Security Alliance Controls ISO 9001 Global Quality Standard ISO 27001 Security Mgmt Controls ISO 27017 Cloud Specific Controls ISO 27018 Personal Data Protection PCS DSS Level 1 SOC 1 Audit Controls Report SOC 2 Security, Availability & Confidentiality Report SOC 3 General Controls Report C5 (Germany) Operational Security Attestation Cyber Essentials Plus (UK) Cyber Threat Protection ENS High (Spain) Spanish Gov Standards G-Cloud UK Gov Standards IT-Grundschutz (Germany) Baseline Protection Methodology +200 certificaciones y acreditaciones de seguridad y conformidad +2600 controles de seguridad auditados anualmente Programa de cumplimiento regulatorio global de AWS
23.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Ejemplo de políticas de seguridad de datos en AWS Dispositivos de almacenamiento son destruidos DENTRO del datacenter previo a ser decomisionados.
24.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Informes de cumplimiento regulatorio: AWS Artifact FREE
25.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Informes de cumplimiento regulatorio: AWS Artifact FREE
26.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Certificados y reportes de cumplimiento
27.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Servicios certificados https://aws.amazon.com/es/compliance/services-in-scope/
28.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Compliance Center https://aws.amazon.com/financial-services/security-compliance/compliance-center/ Información especifica de cada país para cumplimiento regulatorio en servicios financieros Free
29.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Realiza su parte del modelo eficientemente con automatizaciones • Pipelines de despliegue continuo • Despliegue de parches • Procesos probados a escala • Mínima intervención humana enfocada en la supervisión de los procesos automatizados La inversión en seguridad de AWS es mucho más grande que lo que la mayoría de los clientes pueden hacer individualmente
30.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS refuerza postura de seguridad Automatización con servicios de seguridad profundamente integrados Hereda los controles de seguridad y cumplimiento adoptados globalmente por AWS Los más altos estándares de privacidad y seguridad de datos La mayor red de partners y soluciones de seguridad Permite escalar con visibilidad y control
31.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Subcontratación https://aws.amazon.com/es/compliance/third-party-access/
32.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Boletines de seguridad https://aws.amazon.com/es/security/security-bulletins/
33.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Boletines de seguridad https://aws.amazon.com/es/security/security-bulletins/
34.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Recursos de seguridad y cumplimiento regulatorio CSA Consensus Assessments Initiative Questionnaire (CAIQ) https://d1.awsstatic.com/whitepapers/co mpliance/CSA_Consensus_Assessments_Ini tiative_Questionnaire.pdf Standardized Information Gathering (SIG) Questionnaire AWS Artifact Disponible en https://console.aws.amazon.com/artifact
35.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Cómo ayudamos al Cliente a hacer su parte Seguridad EN la nube El Cliente es responsable por la seguridad de sus cargas en la nube Cliente AWS
36.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Frameworks & Best Practices AWS Well-Architected Tool Well-Architected document NIST Cybersecurity Framework
37.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Identity & Access Management (IAM) AWS Organizations AWS Control Tower AWS Cognito AWS Directory Service AWS Single Sign-On AWS Secrets Manager IAM Access Analyzer AWS Verified Access AWS Verified Permissions AWS CloudTrail AWS Security Hub Amazon GuardDuty AWS Security Lake AWS Config Amazon CloudWatch VPC Flow Logs Traffic Mirroring Trusted Advisor AWS Systems Manager AWS Shield AWS WAF AWS Firewall Manager AWS Network Firewall Amazon Inspector Amazon Virtual Private Cloud (VPC) EC2 Image Builder AWS Key Management Service (KMS) AWS CloudHSM AWS Certificate Manager Amazon Macie Server-Side Encryption S3 Block Public Access AWS Config Rules AWS Lambda Amazon Detective AWS Step Functions AWS CloudEndure DR AWS Backup AWS SSM Automations Identidades y Accesos Controles de Detección Seguridad en Infraestructura Respuesta ante Incidentes Protección de Datos Servicios de seguridad de AWS Free Free Free Tier Free Trial Free Trial Free Free Tier (standard) Free Free Tier Free Trial Free Tier Free Free Free Free Trial Free Tier Free Free Trial Free Tier Free Free Tier Free Tier Free Free Tier Free Trial https://aws.amazon.com/es/products/security/ Free Trial AWS Audit Manager Compliance AWS Artifact Free Free Trial New New New
38.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Marketplace – Socios de negocio Cientos de socios en el AWS Marketplace (2800+ Soluciones/AMIs)
39.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Estrategias Multi-cuenta Módulo 2
40.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Módulo 2 - Tabla de contenidos • Esquemas Multi-Cuenta • AWS Organizations • AWS Control Tower
41.
© 2022, Amazon
Web Services, Inc. or its Affiliates. ¿ Qué es una cuenta ? Es un límite de seguridad Así como un cliente no puede acceder a los datos de otros, una cuenta no tiene por defecto ningún permiso sobre las otras
42.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Una cuenta vs. multi-cuenta Multi-cuenta Hay mayor infraestructura a gestionar Mejor aislación Protección de logs en cuenta aparte Libertad de operación dentro de ciertos limites Separación de costos por unidades organizacionales, cuentas y/o Tags Una cuenta
43.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Organizations – Estrategia Multi-cuenta Centro de datos 1. Orgs: Gestión - SCPs 2. Logging: Log centralizado 3. Security: Servicios de seguridad, GD, Sec.Hub, etc. 4. Shared services: AD, DNS, monitoreo 5. Redes: Entre VPCs / Centro de datos / VPN / Transit Gateway 6. Sandbox: Experimentos 7. Dev: Desarrollo 8. Pre-Prod: Staging - Testing 9. Prod: Producción Cuentas Core Logging Seguridad Auditoría Redes Shared Services Cuentas de desarrollo Developer Sandbox Por BU/producto/carga Prod Pre-Prod Dev 2 3 4 7 9 8 AWS Organizations – Root account (Cuenta maestra) 1 5 6
44.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Organizaciones en AWS – Service Control Policies (SCP) Service Control Policies (SCPs) A1 A2 A4 M Cuenta principal/raíz Unidad organizativa (OU) Cuentas de AWS Recursos de AWS A3 Desarrollo Prueba s Producción © 2020, Amazon Web Services, Inc. or its Affiliates. Organizaciones en AWS – Service Control Policies (SCP) Service Control Policies (SCPs) A1 A2 A4 M Cuenta principal/raíz Unidad organizativa (OU) Cuentas de AWS Recursos de AWS A3 Desarrollo Pruebas Producción
45.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Organizaciones en AWS – SCP + AWS IAM Allow: S3:* Allow: SQS:* Allow: EC2:* Allow: EC2:* SCP IAM permissions
46.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Organizaciones en AWS – SCP + AWS IAM Allow: S3:* Allow: SQS:* Allow: EC2:* SCP IAM permissions
47.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Invariantes de seguridad con AWS Organizations Nube de AWS AWS Organizations Dependencia de Organización Cuenta Región: us-east-1 Región: us-east-2 Región: ap-sutheast-1 Región: eu-west-1 … Service Control Policy: Restricción de región
48.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Muchas más invariantes Librería de ejemplo de SCP para AWS Organizations https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples.html
49.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Ejemplo: Bloqueo de regiones no utilizadas { "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideNorthVirginia", "Effect": "Deny", "NotAction": [... "cloudfront:*", ... "iam:*", ... "route53:*", ... ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ ”us-east-1" ] }, "ArnNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP", "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP" ] } } } ] } https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples.html#examples_general Servicios globales que no quisieramos denegar, ya que no tienen la condición “RequestedRegion”. Bloqueamos los servicios regionals que no estén en esta region (o lista de regiones) Opcionalmente definimos roles privilegiados que podrán saltearse esta regla.
50.
© 2022, Amazon
Web Services, Inc. or its Affiliates. ¿ Cómo armo todo esto ? ¿ Cómo gobierno todo esto ? • ¿ Autenticación en cada cuenta ? • ¿ Logs en cada cuenta ? • ¿ Los recursos fueron creados consistentemente ? • ¿ Las políticas básicas de seguridad están implementadas consistentemente ? • ¿Cómo gobierno un esquema multi-cuenta ? AWS Control Tower
51.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Control Tower AWS Control Tower
52.
© 2022, Amazon
Web Services, Inc. or its Affiliates. — Provisión — Operación AWS Control Tower: La manera mas fácil de configurar y gobernar AWS — Habilitación Agilidad al Negocio + Control y Gobierno
53.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Control Tower Dashboard Landing Zone Guardrails Account factory Gestión de identidad y accesos auditoria pre- configurado Actualizaciones
54.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Configuración de una AWS Landing Zone • Gestión multi-cuenta utilizando AWS Organizations • Gestión de identidad y acceso federado utilizando AWS IAM Identity Center • Archivado automatizado de logs utilizando AWS CloudTrail y AWS Config • Auditoria de acceso entre cuentas utilizando AWS IAM Identity Center e AWS IAM • Aprovisionamiento de cuentas de usuario a través de AWS Service Catalog • Monitoreo centralizado y notificaciones utilizando Amazon CloudWatch y Amazon SNS Master account AWS Control Tower AWS Organizations IAM Identity Center Stack sets AWS Service Catalog Log archive account Aggregate AWS CloudTrail and AWS Config logs Account baseline Audit account Security cross- account roles Account baseline Provisioned accounts Network baseline Account baseline Amazon CloudWatch aggregator Security notifications Core OU Custom OU Identity Center directory
55.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Servicios de seguridad integrados con AWS Organizations Administración delegada AWS Security Hub AWS Firewall Manager Amazon GuardDuty Amazon Macie AWS IAM Access Analyzer Etc. Amazon Inspector Amazon Detective AWS Audit Manager
56.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Ejemplos de GuardRails Goal/category Example IAM security Require MFA for root user Data security Disallow public read access to Amazon S3 buckets Network security Disallow internet connection via Remote Desktop Protocol (RDP) Audit logs Enable AWS CloudTrail and AWS Config Monitoring Enable AWS CloudTrail integration with Amazon CloudWatch Encryption Ensure encryption of Amazon EBS volumes attached to Amazon EC2 instances Drift Disallow changes to AWS Config rules set up by AWS Control Tower
57.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Gestión integral de controles NEW • Aplica controles preventivos, de detección y proactivos administrados a cuentas y unidades organizativas (OU) por servicio, por objetivo de control o marco de cumplimiento • Defina, asigne y administre centralmente los controles necesarios para cumplir con los objetivos de control y regulaciones
58.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Automatiza el aprovisionamiento de cuentas conforme a los requerimientos de seguridad. Account factory Network baseline Network CIDR Network regions OU Account baseline AWS Service Catalog AWS Service Catalog product New AWS account Network baseline Account baseline Guardrails • Account factory provee templates para estandarizar el aprovisionamiento de cuentas • Opciones de Networking configurables.(e.j. subnets, IP addresses) • Ejecución automática de líneas base para cuentas y GuardRails • Publicación en AWS Service Catalog
59.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Dashboard de Control Tower
60.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Control Tower DEMO
61.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Control Tower – Utilizar una organización existente AWS Control Tower permite ahora desplegarse sobre una organización existente e importar una a una las Organizational Units agregándole los guardrails.
62.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Control Tower Workshops: https://controltower.aws-management.tools Control Tower Immersion Day
63.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Identidades y Accesos Módulo 3
64.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Módulo 3 - Tabla de contenidos • AWS IAM • AWS IAM Identity Center (sucesor de AWS Single Sign-On) • IAM Access Analyzer • AWS Secrets Manager • Amazon Cognito • Amazon Verified Permissions
65.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Identity & Access Manager (IAM) Control y segregación del acceso • Puedes controlar quién, cuando y desde dónde puede realizar que acciones en su entorno de AWS • Control de acceso granular en la nube AWS con autenticación de múltiples factores (tokens) • Integre su Active Directory con federación y login único (single sign-on).
66.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Buenas prácticas para cuenta root • Múltiple Factor de Autenticación (MFA): o Hardware o Virtual o Configuración • Eliminar acceso por llaves (keys) • Limitar el uso a actividades administrativas: o Modificación de usuario o Opciones de pago o Plan de soporte o Información de facturación o Solicitud de pruebas de penetración o Información de contactos o En Ambientes multi-cuenta es recomendable no utilizar las cuentas root de las cuentas hijo y denegar toda acción de root accounts con SCPs https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html
67.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS IAM – Acceso de consola o programático Nota: Veremos luego que no se recomienda el uso de IAM Users y Access Keys
68.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS IAM Identity Center (sucesor de AWS Single Sign-On) FREE AWS Organizations AWS IAM Identity Center Repositorio Interno Portal de usuario de AWS IAM Identity Center Directorio de AWS Servicio para Microsoft Active Directory Repositorio de identidades para SSO - IdP externo Beneficios • Portal de acceso a las múltiples cuentas y aplicaciones del usuario • Asignación central de permisos • Permite el uso de Customer Managed Policies NEW • Integrado AWS CLI v2 • Usted elige su fuente de identidad: • Repositorio interno del identity Center •
69.
© 2022, Amazon
Web Services, Inc. or its Affiliates. IAM Identity Center: Customer managed policies A H O R A P U E D E N U T I L I Z A R P O L Í T I C A S A D M I N I S T R A D A S P O R E L C L I E N T E Agregue políticas administradas por el cliente a sus permission sets en IAM Identity Center para aprovisionarlos en una o más cuentas de AWS También puede administrar sus políticas actuales Cree políticas administradas por el cliente en una cuenta y luego importe la política en IAM Identity Center
70.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Diferencias entre IAM e IAM Identity Center AWS IAM Identity Center AWS Idenity and Access Management Access-keys permanentes Permisos para una cuenta única Todas las cuentas en un Organización de AWS Portal para generar credenciales temporales Sin integración nativa con AWS CLI Integración nativa con AWS CLI
71.
© 2022, Amazon
Web Services, Inc. or its Affiliates.
72.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Políticas de IAM
73.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS IAM – Como se evalúan las políticas Decisión final =“Deny” (explícito Deny) SI Decisión Final =“Allow” SI NO ALLOW Explícito 4 Decisión Comienza con DENY 1 Evalúa Políticas Aplicadas 2 DENY Explícito 3 NO Decisión final =“Deny” (default Deny) 5 AWS recupera todas las políticas asociadas con el usuario y el recurso. Sólo se evalúan las políticas que coinciden con la acción y las condiciones. Si una declaración de política tiene un objeto Denegar, pesa más que todas las demás declaraciones de política. El acceso se concede si hay un Permitir explícito y no Denegar. De forma predeterminada, se devuelve una denegación implícita (predeterminada)
74.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS IAM – Personalizar las políticas de acceso Otorgar el mínimo privilegio necesario • Políticas en formato JSON • Componentes: o Principal: Quién o Efecto: Allow / Deny o Action: Qué acciones o Resource: Sobre qué recurso o Condition: Bajo qué condiciones { "Version": "2012-10-17", "Statement": [ { "Sid": “OneStatement", "Effect": "Allow", "Action": ["iam:ChangePassword"], "Resource": "*" }, { "Sid": “AnotherStatement", "Effect": "Allow", "Action": [ "s3:List*", "s3:Get*" ], "Resource": [ "arn:aws:s3:::confidential-data", "arn:aws:s3:::confidential-data/*" ], "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}} }]}
75.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS IAM – Personalizar las políticas de acceso Editor de políticas visual
76.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS IAM – Políticas de acceso: Principal • Entidades a las cuales aplica el statement • Se puede usar el ARN <!-- Everyone (anonymous users) --> "Principal":"AWS":"*.*" <!-- Specific account or accounts --> "Principal":{"AWS":"arn:aws:iam::123456789012:root" } "Principal":{"AWS":"123456789012"} <!-- Individual IAM user --> "Principal":"AWS":"arn:aws:iam::123456789012:user/username" <!-- Federated user (using web identity federation) --> "Principal":{"Federated":"accounts.google.com"} <!-- Specific role --> "Principal":{"AWS":"arn:aws:iam::123456789012:role/rolename"} <!-- Specific service --> "Principal":{"Service":"ec2.amazonaws.com"} Número de cuenta AWS
77.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS IAM – Políticas de acceso: Action <!-- EC2 action --> "Action":"ec2:StartInstances" <!-- IAM action --> "Action":"iam:ChangePassword" <!– Amazon S3 action --> "Action":"s3:GetObject" <!-- Specify multiple values for the Action element--> "Action":["sqs:SendMessage","sqs:ReceiveMessage"] <-- Wildcards (* or ?) in the action name. Below covers create/delete/list/update--> "Action":"iam:*AccessKey*" • Acción que se evalúa • Debe tener un elemento de Action o NotAction
78.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS IAM – Políticas de acceso: NotAction • Permite especificar una excepción para una lista de acciones • Puede resultar en políticas más cortas que usar la acción y eliminar muchas acciones Ejemplo: Supongamos que desea permitir todo, pero no las API de IAM { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Action": "iam:*", "Resource": "*" } ] } Si se quiere realmente bloquear el acceso del usuario para el servicio IAM. El Deny explícito debe ser utilizado { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "NotAction": "iam:*", "Resource": "*" } ] } No es un Deny. El usuario puede tener una política adicional que permita IAM:*
79.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS IAM – Políticas de acceso: Condition ¿Cómo puedo restringir el acceso a un período de tiempo y direcciones IP? “Condition”: { “DateGreaterThan”: {“aws: currentTime”: “2017-01-01T 11:00:00 Z”}, “DateLessThan”: {“aws: currentTime”: “2017-12-31T 15:00:00 Z”}, “IpAddress”: {”aws: SourceIP“: [” 192.0.2.0/24 “,” 203.0.113.0/24 “]} } Permite a un usuario acceso a un recurso en las siguientes condiciones: • La hora es después de las 11:00 el 01/01/2017 • El tiempo es hasta las 3:00 p.m. del 31/12/2017 • La solicitud proviene de una dirección IP en el rango 192.0.2.0/24, 203.0.113.0/24 Todas estas condiciones deben cumplirse para que la instrucción se evalúe como verdadero
80.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Cosas que no me pertenecen Cosas que me pertenecen IAM Conditions: Establece un perímetro de datos VPC Corporate data center VPC RESTO DE INTERNET AWS Cloud Cuentas de la organización Cuentas de terceros
81.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Condiciones en políticas de IAM 85 Perímetro de datos Objetivo de control Implementado mediante Capacidad de IAM principal Identity Only trusted identities can access my resources. Resource-based policies aws:PrincipalOrgID aws:PrincipalIsAWSService Only trusted identities are allowed from my network. VPC endpoint policies aws:PrincipalOrgID Resource My identities can access only trusted resources. SCPs aws:ResourceOrgID Only trusted resources can be accessed from my network. VPC endpoint policies aws:ResourceOrgID Network My identities can access resources only from expected networks. SCPs aws:SourceIp aws:SourceVpc aws:SourceVpce aws:ViaAWSService My resources can only be accessed from expected networks. Resource-based policies aws:SourceIp aws:SourceVpc aws:SourceVpce aws:PrincipalIsAWSService aws:ViaAWSService
82.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Establece un perímetro de datos - Recursos Blogpost: https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws Workshop https://data-perimeter.workshop.aws/ Tech Talk sobre Data Perimeter (Inglés) https://youtu.be/eukTW9xdheQ
83.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Estrategias para gestionar permisos a escala
84.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Llegar hacia los permisos adecuados es un camino evolutivo Refinar Establecer Controlar Perímetro de datos
85.
© 2022, Amazon
Web Services, Inc. or its Affiliates. IAM Access Advisor: Eliminar los permisos no utilizados Paso 1: Identificar Access Keys, Roles y permisos no utilizados -Revisando la fecha de la ultima actividad Paso 2: Eliminar Access Keys, Roles y permisos no utilizados
86.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Eliminar permisos externos configurados por error IAM Access Analyzer Amazon S3 buckets AWS KMS keys Amazon SQS queues AWS IAM roles AWS Lambda functions AWS Secrets Manager secrets Amazon Simple Notification Service topics Amazon Elastic Block Store volume snapshots Amazon RDS DB snapshots Amazon RDS DB cluster snapshots Amazon Elastic Container Registry repositories Amazon Elastic File System file systems Su Organización (o cuenta) Principals Principals Principals Principals Alerta Alerta F R E E
87.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Generación automática de políticas en base a la actividad Escenario: Equipo de Desarrollo crea permisos laxos 1. Configuración (ej: 90 días) 2. Generar políticas JSON a partir de eventos en CloudTrail 3. Revisar y personalizar la política con mínimo privilegio 4. Crear y asociar la política IAM Access AnalyzerF R E E
88.
© 2022, Amazon
Web Services, Inc. or its Affiliates. IAMLive – Generación de policies automática https://github.com/iann0036/iamlive Nota: Herramienta de terceros.
89.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Acceso a recursos usando credenciales temporales Uso de Access Keys vs. Roles: (IAM Instance Profile e IAM Roles Anywhere)
90.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Access Keys • Las Access Keys son: • Credenciales duraderas • Pueden ser usadas desde cualquier lugar (por defecto) • Factor único de autenticación (por defecto no incluyen MFA) Hardcodear Usa AWS IAM Instance Profiles • Si tu código necesita acceder a un recurso de AWS como un Bucket de S3, no embebas Access Keys en el código. Ø Si algún desarrollador las comparte en GitHub u otro repositorio público tendrán acceso a sus credenciales Ø Quien tenga acceso de lectura al código tendrá credenciales. Ø La rotación requiere esfuerzo, control de cambios, una ventana de indisponibilidad y pruebas
91.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS IAM – Controlar acceso a las aplicaciones Recursos AWS Tu código Sistema operativo Ejemplo EC2 Credenciales de AWS entregadas automáticamente y girado periódicamente Detección y uso automáticos de credenciales de AWS Acceso controlado por políticas de IAM (roles) También funciona con AWS Lambda, Amazon ECS y Amazon EKS
92.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS IAM – Controlar acceso a las aplicaciones Instancia Aplicación Rol: s3access { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"Service": "ec2.amazonaws.com"}, "Action": "sts:AssumeRole" } ] } s3access Trust Policy Access Policy { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject" "Resource": "*" } ] } Amazon Simple Storage Service (S3)
93.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Fuera de AWS IAM Roles Anywhere Servidores on-prem Lambda function Bucket Instance Model Container Task Table AWS Cloud Nube híbrida Aplicaciones Data lake Encrypted data Public key infrastructure (PKI) IAM Roles Anywhere E X T I E N D E E L U S O D E R O L E S D E I A M A C A R G A S D E T R A B A J O F U E R A D E A WS N U E V O ü Credenciales temporales ü Utiliza roles existentes ü Mayor seguridad ü Simplifica la migración a la nube
94.
© 2022, Amazon
Web Services, Inc. or its Affiliates. ¿ Cómo hacemos cuando debo otorgar acceso a un recurso que usa credenciales duraderas ? - Bases de Datos / Amazon RDS - Servicios web de terceros que se autentican usando API Keys ¿Cómo rotamos estas credenciales para minimizar el riesgo ? • A medida que pasa el tiempo sin rotar, las credenciales incrementan su riesgo de ser comprometidas. • Tus equipos de seguridad deben poder rotar las contraseñas ante cualquier sospecha de compromiso sin afectar producción
95.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Acceso a recursos que usando credenciales resguardadas en AWS Secrets Manager Gestión de contraseñas, keys y otros secretos
96.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Secrets Manager: Características principales Rotación de credenciales Políticas de acceso refinadas Almacenamiento cifrado Integración extensible con AWS Lambda Registro y vigilancia Rotación con control de vesiones
97.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Secrets Manager: Arquitectura típica Recursos AWS Tu código IAM Rol Ejemplo EC2 Credenciales de AWS entregadas automáticamente Llamada autorizada a Secrets Manager Solución confiable y segura para rotación automática en TODAS las credenciales Credenciales DB Conexión establecida AWS Secrets Manager Amazon RDS
98.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Demostración AWS Secrets Manager - Descripción del escenario Script de bash IAM Rol EC2 Credenciales de AWS entregadas automáticamente Llamada autorizada a AWS Secrets Manager Credenciales DB AWS CloudFormation Template Recursos AWS Conexión establecida AWS Secrets Manager Amazon RDS Workshop: https://bit.ly/aws-secrets-mgr
99.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Secrets Manager DEMO
100.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Customer IAM: Amazon Cognito
101.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Amazon Cognito Customer IAM – IAM para sus aplicaciones Facebook Corporate OIDC Sign in with Identidades federadas Los usuarios pueden iniciar sesión con proveedores de identidad de terceros como Facebook, Google y Amazon, OIDC/SAML, e identificar el riesgos en el acceso para incrementar el desafío con MFA SAML User Pools Puede agregar de forma fácil y segura características de control de sesión a sus aplicaciones móviles y web con un servicio totalmente administrado, escalado para admitir decenas de millones de usuarios. Sign in Username Password Submit ü Integrado con AWS WAF ü Autogestión de contraseñas ü Almacenamiento seguro ü Simple de integrar ü Eficiente en costos
102.
© 2022, Amazon
Web Services, Inc. or its Affiliates. ¿ Qué se recomienda en cada caso ? Autenticación Autenticando máquinas, scripts o procesos desatendidos Autenticando Personas Empleados Clientes (CIAM) Ø Use IAM roles o IAM Roles Anywhere Ø Use IAM Identity Center Ø Evalúe usar Amazon Cognito
103.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Amazon Verified Permissions Consola de administración de AWS Administrar permisos Autorizar Un sistema de autorización y administración de permisos listo para usar, al que los desarrolladores pueden conectar a su aplicación Amazon Verified Permissions NEW re:Invent Session: https://youtu.be/gWoJqnRB3MA
104.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Amazon Verified Permissions NEW • Externaliza la autorización con permisos granulares (fine-grained) • Ayuda a crear aplicaciones más rápido • Ayuda a soportar arquitecturas Zero Trust • con decisiones de autorización dinámicas en tiempo real • Integra su proveedor de identidades actual • Simplifique las auditorías de cumplimiento a escala • Identifique permisos excesivos / amplios Aplicación Aplicación Amazon Verified Permissions Aplicación https://aws.amazon.com/blogs/security/how-to-use-amazon-verified-permissions-for-authorization
105.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Seguridad de la infraestructura Módulo 4
106.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Módulo 4 - Tabla de contenidos • NACLs Security Groups • AWS WAF • AWS Shield • AWS Network Firewall • Amazon Route 53 Resolver DNS Firewall • AWS Firewall Manager
107.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Network Access Control Lists y Security Groups
108.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Private Subnet Public Subnet Security Groups: Reglas de firewall con estado VPC WebServer Database WebServer Security group Database Security group Direction Protocol Port Source Inbound TCP 443,80 0.0.0.0/0 Outbound All All 0.0.0.0/0 Direction Protocol Port Source Inbound TCP 3306 Webserver Security Group
109.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Network ACL (NACL): Reglas de firewall sin estado VPC Public Subnet Private Subnet NACL Instance Instance
110.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Grupos de Seguridad y NACL VPC Public Subnet Private Subnet NACL Instance Instance WebServer Security group Database Security group 1 2 3 4 1. El grupo de seguridad de WebServer permite la salida hacia la base de datos 2. La NACL permite el tráfico de ida entre las subnets 3. El grupo de seguridad de Database permite la entrada desde WebServer 4. La NACL permite el tráfico de regreso entre las subnets
111.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Protección del perímetro – Servicios administrados AWS Shield Standard AWS Shield Advanced Todos los clientes tienen sin costo adicional protección estándar contra ataques de denegación de servicio con AWS Shield Standard AWS WAF AWS Network Firewall Amazon Route 53 Resolver DNS Firewall
112.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Disponible para todos los clientes de AWS sin costo adicional • Protección contra los ataques mas comunes (SYN/UDP Floods, Reflection Attacks, etc. Capa 3/4) • Detección y mitigación automática Standard Advanced Servicio pago que provee protección adicional contra ataques sofisticados ✚ Protección contra ataques avanzados (Capa 7) ✚ Equipo de respuesta DDoS 24x7 (Proactivo / Reactivo) ✚ Protección de costos ✚ Mitigación más rápida / Mejor Visualización ✚ Incluye WAF y Firewall Manager Protección DDoS con AWS Shield
113.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Arquitectura - Protegiendo aplicaciones Web Public subnet Public subnet AWS Cloud Availability Zone 1 Availability Zone 2 Auto Scaling group Instance Instance Application Load Balancer DDoS Mitigation Web Application Firewall Security group Security Groups & Firewall Manager VPC Private subnet Private subnet Virtual Private Cloud Internet Gateway 80 443 80 Security group Network Firewall
114.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS WAF – Protección de capa 7 • WAF Administrado, Elástico e integrado • Pago por uso • Rules Administradas por AWS + Reglas personalizadas. + Provistas por partners Amazon API Gateway Application Load Balancer Amazon CloudFront AWS WAF AWS AppSync Amazon Cognito
115.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS WAF con reglas gestionadas https://aws.amazon.com/blogs/aws/announcing-aws-managed-rules-for-aws-waf/ Reglas provistas por socios +
116.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS con reglas gestionadas por nuestros partners
117.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS WAF Bot Control • Visibilidad sobre Bot Activity • Permite limitar la actividad de bots, bloquear categorías o presentar un Captcha • Aplica tags para usar en otras reglas de AWS WAF • Flexible: Bloqueo/Redirección • Account Takeover Protection
118.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Bot Control Etiquetas Dashboards https://aws.amazon.com/es/blogs/aws-spanish/introduccion-a-bot-control-para-proteccion-de-trafico-de-bots-maliciosos-con-aws-web-application-firewall-waf
119.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Ejemplos de dashboards para AWS WAF https://github.com/aws-samples/aws-waf-ops-dashboards ü Solución basada en OpenSearch ü Se desplega en minutos con un CloudFormation Template
120.
© 2022, Amazon
Web Services, Inc. or its Affiliates. WAF DEMO
121.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Cómo los clientes aseguran su red en la nube Diseño Propio Terceros On-premise Nativo de la nube Complejo, difícil de manejar Desafíos: costosos de integración Latencia, carece de escalabilidad y elasticidad, costoso
122.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Escalas automáticamente, infraestructura administrada de AWS No hay compromisos iniciales y paga solo por lo que usa AWS Network Firewall: Firewall Nativo
123.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Firewall de red de AWS Control central con AWS Firewall Manager Desplegar y enrutar el tráfico al endpoint del firewall Cliente Crear política y reglas de firewall AWS Escala automáticamente con tráfico Gestiona afinidad en AZs y simetría de sesión Rendimiento: 45 Gbps Resiliente con SLA de 99.99%
124.
© 2022, Amazon
Web Services, Inc. or its Affiliates. VPC Instancia 1 Firewall Endpoint Instancia 2 Firewall Endpoint VPC Instancia 3 Firewall Endpoint VPC Inspección de Seguridad Distribuida AWS Network Firewall
125.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Transit Gateway Inspección Norte-Sur (Internet, Conexión directa, VPN de sitio a sitio/cliente) Inspección VPC Instancia 3 VPC Instancia 2 VPC Instancia 1 VPC VPC Inspección de Seguridad Centralizada AWS Network Firewall Inspección Este-Oeste (Tráfico VPC a VPC) Firewall Endpoint
126.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Amazon Route 53 Resolver DNS Firewall Amazon Route 53 Resolver DNS Firewall
127.
© 2022, Amazon
Web Services, Inc. or its Affiliates. No hay compromisos iniciales y paga solo por lo que usa Elija entre las listas administradas de AWS o cargue sus propias listas de dominios DNS Firewall nativo en la nube
128.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Gestión de políticas con AWS Firewall Manager
129.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Firewall Manager DEMO
130.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Verified Access (preview) A C C E S O R E M O T O A A P L I C A C I O N E S C O R P O R A T I V A S AWS Verified Access Acceso sin VPN a aplicaciones corporativas Conéctese con trust providers Use su actual proveedor de identidades y sistema de gestión de dispositivos Asocia tus aplicaciones Crea endpoints públicos para tus aplicaciones corporativas Crea políticas de acceso Crea políticas granulares por aplicación Usuarios Acceden a aplicaciones desde cualquier lugar re:Invent Session: https://youtu.be/Kkxn-bAIlnI
131.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Verified Access (preview) Crear un perímetro de microseguridad en torno a las aplicaciones corporativas Reduce la superficie de ataque • Autorización granular y dinámica Política por aplicación evaluada con cada solicitud • Mejorara la observabilidad Respuesta a incidentes y auditabilidad más rápidas, además de ayudar a cumplir con regulaciones • Utilice sus servicios de seguridad existentes Se integra con proveedores de identidad populares y de confianza de dispositivos • Punto único de aplicación de directivas Operaciones simplificadas de zero trust para administradores de TI IdP (AWS IAM Identity Center / OIDC) Política por aplicación Users app Trust providers EDM Others … AWS Verified Access Registro de accesos app app microperímetros ACCESO REMOTO A APLICACIONES CORPORATIVAS
132.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Gestión de la seguridad Módulo 5
133.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Módulo 5 - Tabla de contenidos • Amazon Inspector • Amazon Elastic Container Registry • AWS Systems Manager • Fleet Manager • Session Manager • Patch Manager
134.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Amazon Inspector Amazon EC2 Amazon ECR AWS Lambda NEW
135.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Gestión simple a escala Automatice los flujos de trabajo y tome acciones Activación con un solo clic para todas las cuentas de la organización Integración con agente de SSM Integración con AWS Organizations Detección de cambios en el ambiente Consolidación de hallazgos en todas las cuentas y recursos Automatice el descubrimiento y el análisis continuo Obtenga visibilidad centralizada Priorice con valoración contextualizada Descubrimiento automatizado de recursos Análisis continuo de vulnerabilidades y accesibilidad en la red Valoración de riesgo contextualizado Hallazgos priorizados Triage y Análisis Automatizado API de administración Hallazgos detallados en Amazon EventBridge Integración con AWS Security Hub Capacidades de Amazon Inspector
136.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Versión contextualizada del CVSS score En este caso, la red era el vector de ataque y como no estaba expuesto bajó el score
137.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Amazon Inspector: Soporte de funciones Lambda Amazon Inspector ahora identifica vulnerabilidades de software (CVE) en las dependencias de paquetes de aplicaciones utilizadas en el código de la función de Lambda y las capas asociadas. • Precios: $0.30 por función por mes (sin costo por rescan) - Más detalle https://aws.amazon.com/inspector/pricing • Soporta Exclusión automática de funciones obsoletas que no se han invocado en 90 días, además de exclusión manual basada en etiquetas Amazon Inspector re:Invent Session: https://youtu.be/gWoJqnRB3MA
138.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Inspector DEMO Multi-Account
139.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Inspector DEMO Vulnerabilities
140.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Amazon Elastic Container Registry (ECR)
141.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Amazon ECR: Análisis de vulnerabilidades en imágenes
142.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Systems Manager - gestión de recursos a escala Automation Inventory Patch manager State manager Parameter Store Run command Session manager Maintenance windows ¡gratis!* ¡gratis! * Para la infraestructura que se encuentre en AWS AWS Systems Manager ¡gratis!
143.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Systems Manager: Patch Management Corporate Data Center Administrador de parches Ventana de mantenimiento Cumplimiento Notificaciones Grupo de parches = Servidores web Instancias individuales no agrupados Grupo de parches = SQLCluster Línea de base de parche predeterminada para el sistema operativo Servidor Web Línea base de parche
144.
© 2022, Amazon
Web Services, Inc. or its Affiliates. “Patch” @Cloud Tradicional Amazon Linux Instance RHEL Instance Ubuntu Instance Windows Instance Patch Manager AWS Systems Manager
145.
© 2022, Amazon
Web Services, Inc. or its Affiliates. “Patch” @Cloud DBs / servicios gestionados Amazon RDS Bases de datos transaccionales Responsabilidad del cloud vendor J Amazon Redshift (Data warehouse) Amazon Neptune Amazon DocumentDB Amazon DynamoDB (NoSQL)
146.
© 2022, Amazon
Web Services, Inc. or its Affiliates. “Patch” @Cloud Ejemplo apps / environments Auto Scaling group (desired: 4 instancias) Linux- App Instance Linux- App Instance Linux- App Instance Linux- App Instance Linux-App- v2 Instance Testers AMI (template) Linux-App-v2 Instance Linux-App-v2 Instance Linux-App-v2 Instance Linux-App-v2 Instance EC2 Image Builder permite generar un pipeline de imágenes con los componentes / hardening requeridos por su organización como imagen dorada
147.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Systems Manager - Acceso interactivo a instancias • Shell interactivo basado en navegador y CLI para instancias de EC2 • No es necesario abrir puertos entrantes (22/3389), administrar claves SSH o certificados • Accesos otorgados desde IAM con restricción de acceso a instancias y MFA • Auditoría y registro de comandos ejecutados y su respuesta en S3 Bucket • Auditoría protegida y cifrada S3 IAM Shell o CLI EC2 Auditoría y registro Control de Acceso VPC
148.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Fleet Manager: Acceso a Linux vía consola
149.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Acceso a la consola remota (RDP) basada en navegador para Windows • Acceso RDP seguro basado en navegador a Windows con unos pocos clics • Elimina la necesidad de bastion hosts, excepciones de firewall entrantes y administración de claves SSH • Inicio de sesión sin problemas a través de AWS IAM Identity Center y proveedores de identidad de terceros https://aws.amazon.com/es/about-aws/whats-new/2021/11/aws-systems-manager-console-windows-instances-security Fleet Manager: Acceso a Windows
150.
© 2022, Amazon
Web Services, Inc. or its Affiliates.
151.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Compliance continuo Módulo 6
152.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Módulo 6 - Tabla de contenidos • AWS CloudTrail • AWS Config • AWS Security Hub • AWS Audit Manager
153.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Llamadas de API - Consola - SDK - Cli AWS CloudTrail Alertas Análisis (ej: OpenSearch) Otras herramientas (OpenSource, Partners) Amazon S3 AWS CloudTrail: Auditoría de acciones realizadas
154.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS CloudTrail: Auditoría de acciones realizadas • Usted puede identificar rápidamente los últimos cambios realizados en los recursos de su entorno incluida la creación, modificación y eliminación de recursos de AWS, como: • Inicio o terminación de Instancias. • Cambios de usuarios y grupos de seguridad entre muchos otros eventos. Se produce una actividad CloudTrail captura y escribe el evento en el registro Puedes ver la actividad y el historial Protege tus logs con un esquema multi-cuenta y guardrails
155.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Config: Inventario de activos Inventario, monitoreo y notificación de cambios de configuración Gestión de Cambios Análisis de Auditoria Análisis de Seguridad Análisis de Problemas Inventario Cambio en recursos AWS Config Normalizado AWS Config rules Alertas Corrección de configuraciones Historial, snapshot
156.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Config: 300+ reglas administradas • Puertos abiertos (configurable, 22, 3389, 1433, etc) • IAM Policy • EBS sin cifrar • Uso de AMIs no aprobadas • MFA no habilitado • ElasticSearch fuera de VPCs
157.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Security Hub
158.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Chequeos automáticos de alineamiento a buenas prácticas
159.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Identificar rápidamente que necesita arreglarse
160.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Security Hub: Flujo de respuesta AWS Security Hub Amazon GuardDuty Amazon Inspector Amazon Macie Solutions from Partners AWS IAM Access Analyzer Lambda Step Functions SNS Solutions from Partners - Antimalware – EDR - Next-Gen Firewalls – IPS – IDS - Vulnerability Scanners & AppSec Testing (Estandarizado usando AWS Security Finding Format) • SIEM • Ticketing • Incident Response Platforms • Instant messaging Notifications Systems Manager Automation Run Command AWS Firewall Manager Amazon Detective Amazon EventBridge
161.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Firewalls Vulnerability MSSP Endpoint Compliance Partners que toman medidas AWS Security Hub Partners que envían hallazgos Amazon GuardDuty Amazon Inspector Amazon Macie SIEM SOAR Notifications / Other AWS Firewall Manager IAM Access Analzer Other Amazon Detective AWS Security Hub: Partners AWS Systems Manager Patch Manager AWS Personal Health Dashboard Amazon EventBridge
162.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Remediación semiautomática o automática O ejecución automática vía Amazon EventBridge
163.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Security Hub Automated Response and Remediation • Alineamiento automático (o semi- automático) a las buenas prácticas de CIS AWS Foundation • Centralización de logs sobre la ejecución de los playbooks con notificaciones
164.
© 2022, Amazon
Web Services, Inc. or its Affiliates. CIS v1.2.0 Playbook Acciones de remediación comunes listas para usar 4.1: Cierro acceso al SSH 4.2: Cierro acceso al RDP
165.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Security Hub Demo Security Hub DEMO
166.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Compliance con PCI-DSS y otras regulaciones como las de industria financiera AWS Seguridad DE la nube AWS es responsable por proteger la infraestructura donde se ejecutan los servicios Seguridad EN la nube El Cliente es responsable por la seguridad de sus cargas de trabajo en la nube Cliente AWS Artifact AWS Audit Manager Gap assessment Descargalo y apoyate en él
167.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Audit Manager
168.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Audit Manager Audita continuamente su uso de AWS para simplificar la forma en que evalúa el riesgo y el cumplimiento
169.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Frameworks de AWS Audit Manager • CIS (Center for Internet Security) Foundations Benchmark • PCI DSS (Payment Card Industry Data Security Standard) • GDPR (General Data Protection Regulation) • GxP (Good Practice Quality guidelines) • HITRUST (Health Information Trust Alliance) • HIPAA (Health Insurance Portability and Accountability Act) • FedRAMP (Federal Risk and Authorization Management Program) • Mejores prácticas para Amazon S3, AWS IAM y Amazon DynamoDB • Licencias de Software Incluye marcos de evaluación preconstruidos de AWS y AWS Partners Además, AWS Audit Manager soporta controles y frameworks definidos a medida
170.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Fuentes de evidencia de AWS Audit Manager Registros de actividad del usuario desde CloudTrail (incluidas snapshots de configuración de las llamadas a las APIs) Evidencias cargadas manualmente (Ej. documentación) Verificaciones de cumplimiento para configuraciones de recursos de AWS Config, AWS Security Hub y AWS License Manager
171.
© 2022, Amazon
Web Services, Inc. or its Affiliates. El viaje de la evidencia AWS CloudTrail AWS Config AWS Security Hub AWS Control Tower AWS License Manager Evidencia cruda 1 Evidencia cruda 2 Evidencia cruda 3 Evidencia cruda 4 Evidencia cruda 5 Evidencia cruda 6 … … Control Interno A Control Interno B Control Interno C Control Interno D Control Interno E Control Interno F … … Evaluación 1 ü Control de Auditoría 1- a ü Control de Auditoría 1- b ü … … Evaluación 2 ü Control de Auditoría 2- a ü Control de Auditoría 2- b ü … … 1. Reúne logs 2. Convierte la evidencia cruda en un formato universal 3. Seleccionar y evaluar evidencia cruda 4. Mapear la evidencias anotada y agregada a los controles de auditoría
172.
© 2022, Amazon
Web Services, Inc. or its Affiliates.
173.
© 2022, Amazon
Web Services, Inc. or its Affiliates.
174.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Controles de Detección Módulo 7
175.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Módulo 7 - Tabla de contenidos • Amazon GuardDuty • AWS Security Lake • Opciones de SIEM en AWS
176.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Detección de amenazas – Amazon GuardDuty Hallazgos Fuentes de datos Threat intelligence Detección de anomalías (ML) Análisis de Malware • Alerta • Remediación • Soluciones de socios tecnológicos • Envío al SIEM Amazon EventBridge Tipos de Hallazgos Minería de Bitcoins Command & Control Conexiones anónimas Reconocimiento Comportamiento inusual del usuario Ejemplo: • Lanzamiento de instancias • Cambios en los permisos de red • Anomalías en el comportamiento de la Red • Patrones anómalos de acceso a los datos en Amazon S3 Amazon GuardDuty Tipos de detección ALTA MEDIA BAJA AWS Security Hub Reconocimiento Compromiso de Instancia Compromiso de Cuenta VPC Flow Logs DNS Logs CloudTrail Events S3 Data Plane Events EKS Control Plane - Un Click - Sin agentes - Free trial Amazon Detective new Nota: No requiere habilitar VPC Flow logs ni Cloudtrail RDS Aurora DB Login events Preview
177.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Reglas especificas para Amazon S3 • Acceso desde: • potenciales herramientas de ataque (Kali, Parrot, Pentoo) • IPs Maliciosas • IPs Anónimas (TOR) • Anomalías: • En el volumen de datos extraídos • En la cantidad de objetos eliminados • Cambios en Políticas para debilitarlas • Apagado de logs • Apertura de Buckets Discovery:S3/BucketEnumeration.Unusual Discovery:S3/MaliciousIPCaller.Custom Discovery:S3/TorIPCaller Exfiltration:S3/ObjectRead.Unusual Impact:S3/PermissionsModification.Unusual Impact:S3/ObjectDelete.Unusual PenTest:S3/KaliLinux PenTest:S3/ParrotLinux PenTest:S3/PentooLinux Policy:S3/AccountBlockPublicAccessDisabled Policy:S3/BucketBlockPublicAccessDisabled Policy:S3/BucketAnonymousAccessGranted Policy:S3/BucketPublicAccessGranted Stealth:S3/ServerAccessLoggingDisabled UnauthorizedAccess:S3/MaliciousIPCaller.Custom UnauthorizedAccess:S3/TorIPCaller https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html
178.
© 2022, Amazon
Web Services, Inc. or its Affiliates. ¿Qué detecta GuardDuty RDS Protection? Amazon Aurora Brute Force Password Spraying / Guessing pgAdmin Misused Credentials Virtual Private Cloud (VPC) r o o t p o s t g r e s a d m i n t e m p l a t e 0 ? Scanning re:Invent Session: https://youtu.be/MnUsEzPNyXE
179.
© 2022, Amazon
Web Services, Inc. or its Affiliates. RDS Protection: Contexto para investigar y responder rápidamente
180.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Detección de amenazas – Amazon GuardDuty
181.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Amazon GuardDuty Malware Protection No hay agentes que instalar, actualizar o mantener Sin impacto en el rendimiento ni costos de EC2 para el escaneo Detección de archivos maliciosos con un solo clic en toda la organización Monitoreo central e inspección automática Hallazgos contextualizados Identificación dentro de los contenedores Ofrece detección sin agentes de malware en cargas de trabajo en AWS
182.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Customer account – Region A Amazon GuardDuty Crear y compartir snapshot Shapshot ID: 0xxxxBBxxxxxxx4321 ! Hallazgo EBS customer KMS key compartido via SLR Scanner compute GuardDuty service account – Region A Amazon GuardDuty Malware finding Borrado de snapshot EBS customer KMS key EBS EBS ¿Cómo funciona?
183.
© 2022, Amazon
Web Services, Inc. or its Affiliates. GuardDuty Malware Protection
184.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Malware Protection no es un reemplazo para soluciones Cloud Workload Protection /Endpoint Protection • No se puede escanear y detectar tan pronto como el archivo llega al sistema • No realiza un seguimiento de los comportamientos del sistema para generar detecciones • No pone en cuarentena/corrige las amenazas GuardDuty Malware Protection todavía puede tener un lugar incluso con EPP / CWP • Puede hacer que las detecciones no sean detectadas por una solución basada en agente • Fuente única de hallazgos basados en red y malware • Cubrir casos en los que EPP/CWP no está instalado • Encuentre malware que está en el sistema de archivos pero diseñado para
185.
© 2022, Amazon
Web Services, Inc. or its Affiliates. GuardDuty Demo GuardDuty DEMO
186.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Security Lake Preview Herramientas de seguridad y analítica de AWS Open Cybersecurity Schema Framework Los clientes pueden usar cualquier herramienta de análisis Fuentes de logs de AWS + hallazgos de 50 soluciones de seguridad S3, Lake Formation, Glue, Lambda… Ingestión y normalización de datos Lago de datos de seguridad del cliente, gestionado, que escala a petabytes Gestión de Suscriptores Soluciones de seguridad empresarial Analíticos de terceros & Platformas XDR re:Invent Session: https://youtu.be/V7XwbPPjXSY
187.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Security Lake Preview - Beneficios • Lago de datos gestionado • Utiliza formato estándar (abierto): Open Cybersecurity Schema Framework à No hay vendor lock-in (tus datos no están captivos en un formato propietario que dificulta migrar) à No hay inconsistencias (formato estructurado) à Puedes consumirlos/consultarlos con múltiples herramientas • Escala a petabytes
188.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Amazon Security Lake Partners
189.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Security Information and Event Manager Es Security Hub un SIEM ? No. - Las soluciones de SIEM agregan eventos (como un login success) y luego se correlaciona para generar hallazgos / ofensas - Security Hub agrega los hallazgos (información relevante para que el equipo de seguridad tome una acción) - Un caso de uso frecuente de Security Hub es centralizar hallazgos nativos y enviarlos al SIEM Hay un SIEM nativo de AWS ? - AWS Security Lake + OpenSearch (OPENSEARCH SERVERLESS EN PREVIEW) - AWS Security Lake + Athena + Quicksight - Solución AWS SIEM basada en OpenSearch (CloudFormation template) - SIEM de partners
190.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Opciones de SIEM de Partners Todos los principales proveedores de SIEM soportan la colección de registros de AWS Algunos SIEM recopilarán más registros que otros, todos recopilarán CloudTrails, la mayoría recopilará los hallazgos de GuardDuty. ü Splunk ü IBM Security QRadar ü Sumo Logic ü Securonix ü Exabeam ü Rapid7 ü Logrhythm ü Microfocus (arcsight) ü Gurucul ü Microsoft Azure Sentinel ü Elastic ü RSA, FortiSIEM, etc.
191.
© 2022, Amazon
Web Services, Inc. or its Affiliates. SIEM en OpenSearch (ElasticSearch fork) Repositorio: https://github.com/aws-samples/siem-on-amazon-opensearch-service Workshop: https://security-log-analysis-platform.workshop.aws/en - Rápido de implementar - Eficiente en costos - Actualizada para usar AWS Security Lake
192.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Protección de Datos Módulo 8
193.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Módulo 8 - Tabla de contenidos • Seguridad y Privacidad de los datos en la nube de AWS • Amazon S3 Block Public Access • Cifrado en Reposo • Cifrado en Tránsito • Descubrimiento y clasificación de datos con Amazon Macie
194.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Acceso Trazabilidad Propiedad Usted conserva la propiedad y el control de su contenido, y elige en qué región reside el contenido. El Cliente es el dueño del los datos, controla el acceso y ubicación
195.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Amazon S3 • 99.999999999% (11 9’s) • Dato replicado a 3 zonas de disponibilidad • Permite versionado • MFA on delete • Cifrado • Amazon S3 Glacier Vault Lock / lifecycle rules • Amazon S3 fue diseñado seguro por defecto, aunque permite flexibilidad para hacer el acceso publico por casos de uso como el alojar un sitio web estático
196.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Usa S3 Block Public Access • Si no requieres acceso público en ningún bucket en tu cuenta, mantenlo bloqueado a nivel cuenta. • Si no requieres acceso público en un bucket, mantenlo bloqueado. • Todas las nuevas cuentas y buckets vienen con el acceso publico bloqueado por default.
197.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Block Public Access – Activado por defecto
198.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Cifrado de extremo a extremo: En Reposo AWS Key Management Service (KMS) EBS Volúmenes Encriptados Discos Encriptados Archivos Socio Soluciones/ Marketplace Objectos Encriptados Cifrado del lado del servidor S3 (SSE-S3) S3 SSE con claves del cliente (KMS) Criptografía del lado del cliente Bases de Datos Encriptadas Redshift PostgreSQL MYSQL Oracle MSSQL AWS KMS EC2 S3 Redshift RDS
199.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS KMS: Control de acceso a las llaves de cifrado Plaintext data Hardware/ software Encrypted data Encrypted data in storage Encrypted data key Symmetric data key Master key Symmetric data key ? ? Las claves deben almacenarse en algún lugar
200.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Donde pueden almacenarse las llaves de cifrado • AWS Marketplace • SaaS • Integración limitada con servicios de AWS • Warning: Latencia • Cliente responsable por Disponibilidad, durabilidad, escalabilidad • Single-tenant • FIPS 140-2 Level 3 • Soportado por HSMs • Tamper proof • Sin API para extracción de llaves • Integración con servicios de AWS / estándares PKCS/JCE • HA configurable (cluster) • Multi-tenant • FIPS 140-2 Level 2 • Soportado por HSMs • Tamper proof • Sin API para extracción de llaves • Integración con servicios de AWS • HA gestionada por AWS KMS AWS CloudHSM Soluciones de terceros On-prem HSM o KMS XKS (NEW)
201.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS KMS nueva opción External Key Store (XKS) NEW Los beneficios de la integración que tiene KMS utilizando su própio HSM on prem Multi-tenant AWS KMS HSMs Single-tenant CloudHSM XKS External key Manager “BYOK” (Import Key) AWS Key Management Service (AWS KMS) NEW
202.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Llaves del servicio vs. llaves privadas Llaves del servicio (AWS Managed) KMS Customer Managed Keys Llaves compartidas Llaves privadas Rotación anual Rotación configurable Control sobre las llaves - Deshabilitación - Eliminación Control de acceso Permite compartir entre cuentas
203.
© 2022, Amazon
Web Services, Inc. or its Affiliates. KMS DEMO
204.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Cifrado en Tránsito • AWS Certificate Manager: • Public Certificates ¡Gratis! • Private Certificates • AWS VPN • Site to site VPN • Client VPN • Todos los servicios que transfieren datos soportan cifrado en tránsito. ü AWS Elastic Disaster Recovery ü CloudEndure, DataSync, AWS Storage Gateway ü Database Migration Services, Schema Convertion Tool ü Workspaces, Workdocs ü AWS Backups
205.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Certificate Manager: Cifrado en transito • Certificados públicos solicitados con ACM, o privados (CA generada con ACM) • Desplegada en Elastic Load Balancer • ACM administra la renovación y la implementación Servidor TLS público certificado usuarios dispositivos Conexión TLS/SSL segura Elastic Load Balancing Certificado TLS público certificado Instancias AWS Certificate Manager Amazon CA pública
206.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Certificate Manager: CA Privada • ACM Private CA es una CA privada totalmente administrada • Evita la complejidad de administrar una CA usted mismo • Funciona como una CA independiente o junto con ACM para el certificado root • Los certificados son de confianza dentro de su organización Empleados Dispositivos Conexión TLS/SSL segura Elastic Load Balancing Certificado TLS privado certificado Instancias CA Privada Corporate data center Traditional server Client Mobile Client AWS Certificate Manager
207.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Ganar visibilidad y evaluación de políticas Gobierno a escala centralizado Automatizar y tomar acciones Descubrir Datos sensibles • Inventario de Buckets • Políticas de Buckets • Trabajos de inspección flexibles en alcance • Integración con AWS Organizations con “auto-enable” • Patrones de detección gestionados por AWS y Custom • Hallazgos detallados • Gestión via APIs • Integración con AWS Security Hub Amazon Macie
208.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Amazon Macie: Visibilidad – Inventario de S3 Buckets • ¿Que porcentaje de mis Buckets están públicos ? • ¿Que porcentaje de mis datos están cifrados ? • ¿Cuantos usando mis claves en KMS? • ¿Cuantos Buckets están siendo usados por cuentas fuera de mi organización?
209.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Amazon Macie: Descubrimiento de datos sensibles Configuración flexible de opciones de escaneo • Planificación • Profundidad del Muestreo (o 100%) • Criterios para Exclusiones por tipo de archivo, tamaño o tags
210.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Amazon Macie Seguridad y privacidad de datos escalable para Amazon S3 Ejecuta trabajos de descubrimiento de información sensible Descubre datos sensibles • .txt .json .xml .csv .tsv • .docx .xls .xlsx .pdf • Parquet, Avro • .tar .zip .gzip Formatos de archivo Tipos de datos • Financieros (tarjetas de crédito, número de cuenta bancaria, etc.) • Información Personal (nombre, dirección, datos de contacto, etc.) • Documentación Nacional (pasaporte, documento de identidad, licencia de conducir, etc.) • Datos Médicos • Credenciales y secretos • Personalizados (regex)
211.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Permite una visibilidad amplia y eficiente en costos sobre los datos sensibles almacenados en Amazon S3 Macie muestrea y analiza automáticamente los objetos de sus buckets de S3, los inspecciona en busca de datos confidenciales (como PII) y crea un mapa de datos interactivo Amazon Macie: Descubrimiento de datos sensibles Descubrimiento automatizado NEW re:Invent Session: https://youtu.be/mRUVeyVF3jM
212.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Macie DEMO
213.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Producto único con un conjunto completo de capacidades de colaboración Acceso multidispositivo (móvil, de escritorio) con capacidad para funcionar en entornos de bajo ancho de banda Integrado a infraestructura de IT y gestión central Admite el archivado y la protección de la privacidad de los datos Opciones de implementación SaaS federadas, auto-hospedadas y aisladas Cifrado avanzado de extremo a extremo (E2EE) Seguridad reforzada en dispositivos personales sin necesidad de VPN o software especial AWS Wickr NEW Ideal para War Rooms y Comunicaciones sobre información top secret
214.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Errores frecuentes de que pueden generar incidentes y cómo responder Módulo 9
215.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Módulo 9 - Tabla de contenidos Cómo evitar y responder ante los siguientes tipos de incidentes: • Compromiso de credenciales • Errores de configuración • Compromiso de instancias Amazon Detective
216.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Realiza su parte del modelo de responsabilidad compartida eficientemente con automatizaciones • Pipelines de despliegue continuo • Despliegue de parches • Procesos probados a escala • Mínima intervención humana enfocada en la supervisión de los procesos automatizados • Los mas altos niveles en hardening • Auditoría • La inversión en seguridad de AWS es mucho más grande que lo que la mayoría de los clientes pueden hacer individualmente Siempre que sea posible transfieran responsabilidades de seguridad a AWS eligiendo servicios abstractos o gestionados
217.
© 2022, Amazon
Web Services, Inc. or its Affiliates. ¿Cuáles son los errores comunes en las responsabilidades del cliente ? Seguridad EN la nube El Cliente es responsable por la seguridad de sus cargas en la nube Cliente AWS
218.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Compromiso de credenciales ü No guardes secretos en Código y rota las contraseñas - EC2 Instance Profiles - IAM Roles Anywhere - AWS Secrets Manager Ø NO se recomienda el uso de Access Keys ü Usa credenciales temporales - IAM Identity Center Ø NO se recomienda el uso de IAM Users ni usar root
219.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Contactos de seguridad AWS Monitorea repositorios públicos en busca de credenciales, alerta a los usuarios y las bloquea Actualiza los contactos de seguridad Utiliza un servidor de correos Seguro Controla el acceso al telefono de recupero en root accounts
220.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Evitando credenciales duraderas para el acceso de los empleados • Prefiere el acceso a la consola de AWS o al AWS Cli usando servicios que otorgan credenciales temporales. Ø IAM users cuyas credenciales no se rotan, con el tiempo van incrementando su riesgo. Usa AWS IAM Identity Center Nota: Si no tienes control de la cuenta de administración de una AWS Organizations, configura en IAM la federación de usuarios desde un Identity Provider (OpenID Connect o SAML)
221.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Cómo reaccionar ante credenciales de AWS comprometidas • Abrir un caso de soporte sev2 • Rotar credenciales • Habilitar MFA (idealmente para todos los usuarios) • Identificar Roles y usuarios que no hayan sido creados por ustedes • Analizar el impacto que pudieron haber tenido los adversarios en base a los permisos de las credenciales comprometidas. • Utilizar IAM Access Analyzer para identificar accesos externos y remediarlos
222.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Errores de configuración ü Desvíos de configuración / Buenas prácticas (AWS Config y AWS Security Hub) ü Bloqueo de acceso público a los Buckets de Amazon S3 ü Descubrimiento y clasificación de datos sensibles (Amazon Macie) ü Detección de potenciales fugas de información (Amazon GuardDuty S3 Protection)
223.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Security Hub y AWS Config • Revisa el alineamiento de tus configuraciones con las buenas prácticas de seguridad Ø Empleados maliciosos o usuarios comprometidos podrían alterarlas. Ø Los equipos de seguridad no tienen el tiempo para hacer assessments manuales. • Detecta configuraciones indeseables personalizadas con AWS Config Ø Identificar si un puerto de un servicio crítico ej: 1433 o 3389 está escuchando conexiones desde cualquier IP en Internet (abierto podría recibir ataques de fuerza bruta).
224.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Cómo reaccionar ante cambios anómalos en la configuración • Abrir un caso de soporte sev2 si sospechan que fue un adversario. • Revisar en AWS Config cual fue el cambio y en que momento fue realizado • Revisar CloudTrail para entender quien hizo el cambio (Athena permite consultarlo como SQL) • Corregir el desvío • Revisar otros desvíos con AWS Security Hub y AWS Config
225.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Compromiso de Instancias ü Patching (AWS Systems Manager Patch Manager – EC2 Image Builder) ü Protege tus aplicaciones con WAF (en particular OS Command Injection) ü Administra las instancias con AWS Systems Manager Fleet Manager (evitando la necesidad de abrir puertos) ü Uso de credenciales temporales
226.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Patching • Asegurate de ser riguroso con el programa de parchado Ø Vulnerabilidades en los sistemas operativos, middleware o aplicaciones pueden permitir a los adversarios tomar control sobre su infraestructura • AWS Systems Manager patch manager no tiene costo para instancias en la nube • EC2 Image Builder no tiene costo adicional a los recursos generados. • Establece procedimientos con expectativas y difúndelas entre los equipos de desarrollo, que se espera y cómo se va a medir.
227.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Cómo reaccionar ante instancias comprometidas • Abrir un caso de soporte sev2 • Tomar snapshot para forense • Aislar la instancia quitando su security group / bloqueando con una Network ACL • Recolectar información de la instancia (describe-instances, runCommand) • Cambiar los permisos en IAM para evitar que alguien fuera del equipo de respuesta a incidentes pueda alterarla Notas: • Según la organización se bloqueará antes de recolectar evidencia o primero recolectarán la evidencia y luego bloquearán, según su programa de seguridad. • El Playbook de cada organización puede variar incluyendo pasos adicionales.
228.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Workshop - Automated Response to threats Lambda 1 Get instance Info Win/Linux Instance Malicious Hosts GuardDuty TOR Client / C&C / Cryptomining (Issue: high, confirmed) Security group 2 → The security group changes to isolate traffic from anywhere except the Incident forensics workstation minutes Amazon EventBridge EBS Snapshot Isolate instance with SG Allow Access only to Incident Forensics team on SG Tag Instance: → IAM deny policy denys termination of the instance to users → Close all connections 3 4 5 Snapshot
229.
© 2022, Amazon
Web Services, Inc. or its Affiliates. import boto3, json import time from datetime import date from botocore.exceptions import ClientError import os def lambda_handler(event, context): response = 'Error remediating the security finding.' try: # Gather Instance ID from CloudWatch event instanceID = event['detail']['resource']['instanceDetails']['instanceId'] # Get instance details client = boto3.client('ec2') ec2 = boto3.resource('ec2') instance = ec2.Instance(instanceID) instance_description = client.describe_instances(InstanceIds=[instanceID]) print('## INSTANCE DESCRIPTION: %s' % (instance_description)) ## Isolate Instance - Change instance Security Group attribute to Forensics SG for Root Cause Analysis instance.modify_attribute(Groups=[os.environ['ForensicsSG']]) ## Create snapshots of EBS volumes description= 'Isolated Instance:' + instance.id + ' on account: ' + event['detail']['accountId'] + ' on ' + date.today().strftime("%Y-%m-%d %H:%M:%S") SnapShotDetails = client.create_snapshots( Description=description, InstanceSpecification = { 'InstanceId': instanceID, 'ExcludeBootVolume': False } ) print('Snapshot Created -- %s' % (SnapShotDetails)) response = 'Instance ' + instance.id + ' auto-remediated' except ClientError as e: print(e) return response Ejemplo Lambda para aislar instancias
230.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Amazon Detective
231.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Incident Response Amazon Detective: Casos de uso Hunting Análisis de hallazgos de seguridad (Triage) Acelera el diagnóstico inicial para evitar escalamiento de incidentes cuando no sea necesario. Alert Analysis Investigue los problemas más rápido y con menos esfuerzo Investigación de un incidente Mejora el contexto para las investigaciones Threat Hunting Simplifica la colección de datos, agregación y haciendo pivot
232.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Investigación de hallazgos
233.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Análisis de Amazon VPC Flow Logs
234.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Búsqueda de entidades de IP
235.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Encadenamiento de roles E L E N C A D E N A M I E N T O D E R O L E S E S R E A L I Z A R U N A S S U M E R O L A O T R O S R O L E S P A R A E S C A L A R P R I V I L E G I O S 1) Primer assume role 2) Segundo assume role
236.
© 2022, Amazon
Web Services, Inc. or its Affiliates. ¿ Dónde sigo aprendiendo de seguridad en AWS ? Módulo 10
237.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Módulo 10 - Tabla de contenidos • Modelo de Madurez en Seguridad de AWS • Trainings • Workshops • Libro
238.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Modelo de madurez en seguridad de AWS
239.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Identity & Access Management (IAM) AWS Organizations AWS Control Tower AWS Cognito AWS Directory Service AWS Single Sign-On AWS Secrets Manager IAM Access Analyzer AWS Verified Access AWS Verified Permissions AWS CloudTrail AWS Security Hub Amazon GuardDuty AWS Security Lake AWS Config Amazon CloudWatch VPC Flow Logs Traffic Mirroring Trusted Advisor AWS Systems Manager AWS Shield AWS WAF AWS Firewall Manager AWS Network Firewall Amazon Inspector Amazon Virtual Private Cloud (VPC) EC2 Image Builder AWS Key Management Service (KMS) AWS CloudHSM AWS Certificate Manager Amazon Macie Server-Side Encryption S3 Block Public Access AWS Config Rules AWS Lambda Amazon Detective AWS Step Functions AWS CloudEndure DR AWS Backup AWS SSM Automations Identidades y Accesos Controles de Detección Seguridad en Infraestructura Respuesta ante Incidentes Protección de Datos Servicios de seguridad de AWS Free Free Free Tier Free Trial Free Trial Free Free Tier (standard) Free Free Tier Free Trial Free Tier Free Free Free Free Trial Free Tier Free Free Trial Free Tier Free Free Tier Free Tier Free Free Tier Free Trial https://aws.amazon.com/es/products/security/ Free Trial AWS Audit Manager Compliance AWS Artifact Free Free Trial New New New
240.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Frameworks y Best Practices AWS Well-Architected Tool Well-Architected document NIST Cybersecurity Framework
241.
© 2022, Amazon
Web Services, Inc. or its Affiliates. ¿ Cómo priorizar las recomendaciones ? ¿ Por dónde empiezo ?
242.
© 2022, Amazon
Web Services, Inc. or its Affiliates. ¿ Cómo priorizar las recomendaciones ? Beneficio en el refuerzo de la postura de seguridad Facilidad de implementación Más Fácil Más Difícil Mayor Beneficio Menor Beneficio Beneficio = Mitigación de riesgos críticos y/o de gran probabilidad de ocurrencia Fácil= 1. Rápido / Sencillo de implementar 2. Baja Carga Op. 3. Costo Quick Wins • Todos en una semana • Gran Beneficio
243.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Es un camino evolutivo
244.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Modelo de Madurez en seguridad de AWS Mejorar tu postura es un camino evolutivo Evolució n Tiempo Fase 1: Quick Wins Fase 2: Fundacional Fase 3: Eficiente Fase 4: Optimizado Servicios y configuraciones que podemos implementar en menos de una semana y tener importantes beneficios Servicios y configuraciones importantes, que forman la base de su postura de seguridad Recomendaciones que nos permiten un gobierno eficiente de la seguridad en la nube Pipelines, automatizaciones, Capacidades de gobierno para grandes infraestructuras Ø Videos cortos, explicaciones concisas Ø En Español, Inglés y Portugués Ø Ordenados y categorizados + Workshops + Mindmaps + Webinars https://maturitymodel.security.aws.dev
245.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Modelo de Madurez en seguridad de AWS: Recomendaciones categorizadas y priorizadas
246.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Siguientes Pasos https://d1.awsstatic.com/training-and-certification/ramp-up_guides/Ramp-Up_Guide_Security.pdf
247.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Skills Builder https://explore.skillbuilder.aws/learn/public/learning_plan/view/91/security-learning-plan
248.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Siguientes Pasos • Practicar https://awssecworkshops.com https://workshops.aws
249.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Para quienes prefieren la lectura • Guía con los contenidos para cubrir todos los temas de la certificación • Ejercicios prácticos • Preguntas de práctica para el examen • 100 Flashcards para memorizar
250.
© 2022, Amazon
Web Services, Inc. or its Affiliates. AWS Security Community LATAM (User Group) Eventos de la comunidad • Temáticas varias • Profundización sobre los temas • Charlas de especialistas de AWS y de miembros de la comunidad Redes Sociales - https://www.youtube.com/c/AWSSecurityLATAM - https://www.linkedin.com/company/awssecuritylatam - https://www.twitch.tv/awssecuritylatam - https://www.meetup.com/es/awssecuritylatam Slack - https://bit.ly/aws-sec-com (canal #eventos)
251.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Para mirar a demanda re:Invent / re:Inforce • Sesiones de seguridad en re:Invent Ø https://youtube.com/playlist?list=PLB3flZ7qA4xuyPXE2yvBEutvR6h5 oPZzs • Sesiones de seguridad en re:Invent Ø https://www.youtube.com/@AWSEventsChannel/playlists?view=50&s helf_id=8
252.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Workshop
253.
© 2022, Amazon
Web Services, Inc. or its Affiliates. Workshop Nombre Hash Guía AWS Security Hub e7b4-17cef73b84-54 https://catalog.workshops.aws/security-hub Amazon GuardDuty 371b-17419c1ee4-d5 https://catalog.workshops.aws/guardduty Amazon Inspector 633a-1b6ee55e04-22 https://catalog.workshops.aws/inspector AWS WAF 971f-0cacc9-c5 https://bit.ly/aws-waf-workshop Ambientes para Security Hub, GuardDuty o Inspector: https://dashboard.eventengine.run/login?hash=<HASH> Ambiente para WAF https://catalog.us-east-1.prod.workshops.aws/join?access-code=<HASH> Links directos en el Chat (abajo a la derecha en Webex)
254.
© 2022, Amazon
Web Services, Inc. or its Affiliates. ¡ Gracias ! ¿ Preguntas ?
Jetzt herunterladen