Introducción a Cloud Computing: seguridad y cumplimiento en la nube de Duocuc

CONTENIDO

01 Identity and Access Management (Gestor de Identidad y Acceso)

03 Seguridad de las aplicaciones

02 Programa de conformidad

Objetivos de Aprendizaje

En este módulo, aprenderá a hacer lo siguiente:

1. Administrar accesos a los servicios y recursos e
2. Conocer el significado de la Conformidad y Cumplimiento
3. Comprender los principios de la Seguridad aplicativa

Identity and Access Management

AWS Identity and Access Management (IAM)

Gestor de Identidad y Acceso = AWS Identity and Access Management (IAM) le permite administrar el acceso a los servicios y los recursos de AWS.

Defina los derechos de acceso detallados:

1. Quién puede obtener acceso al recurso
2. A qué recursos se puede obtener acceso y qué puede hacer el usuario con el recurso
3. Cómo se puede obtener acceso a los recursos

Características de IAM;

• Usuario de IAM
• Política de IAM
• Grupo de IAM
• Rol de IAM
• MFA Multi-Factor Authentication

Usuario raíz de la cuenta

Inicie sesión como nuevo usuario de IAM y continúe creando otros usuarios.

Cree una cuenta de AWS. Se establece su identidad de usuario raíz.

Cree su primer usuario de IAM y concédale permisos para crear otros usuarios.

Solo acceda al usuario raíz para un número limitado de tareas.

IAM: Componentes esenciales

Usuario de IAM

Persona o aplicación que se puede autenticar con una cuenta de AWS

Grupo de Política de IAM

Colección de usuarios de IAM a los que se concede una autorización idéntica

El documento que define a qué recursos se puede obtener acceso y el nivel de acceso a cada recurso

Rol de IAM

Mecanismo útil para conceder un conjunto de permisos a fin de realizar solicitudes de servicios de AWS

¿ Los usuarios IAM ?

Usuarios de IAM

Un usuario de IAM es una identidad que representa a una persona o aplicación que interactúa con los servicios y recursos de AWS.

Práctica recomendada: se deben crear usuarios individuales de IAM para cada persona que

Cuando se define un usuario de IAM, se puede seleccionar que tipos de acceso puede utilizar el usuario.

Acceso mediante programación Se autentica con lo siguiente: ID de clave de acceso Clave de acceso secreta Proporciona acceso a la CLI de AWS y al SDK de AWS.

Acceso a la consola de administración de AWS Se autentica con lo siguiente: ID de cuenta o alias de 12 dígitos Nombre de usuario de IAM Contraseña de IAM

Si está habilitada, Multi-Factor Authentication (MFA) solicita un código de autenticación.

¿ Los Grupos IAM ?

Grupos de IAM

Un grupo de IAM es un conjunto de usuarios de IAM.

Práctica recomendada: asociar políticas de IAM a grupos de IAM, en lugar de a usuarios individuales de IAM.

Los miembros heredan las directivas asignadas al grupo.

Grupo de IAM "Cajeros"

Cajero 1 Cajero 2 Cajero 3

¿ Los Roles IAM ?

Roles de IAM

Un rol de IAM es una identidad que puede asumir para obtener acceso temporal a los permisos.

Rol de "Cajero" Rol de "Cajero" Rol de "Inventario"

El empleado asume la función "Inventario".

El propietario otorga al empleado permisos para cambiar a roles específicos.

El empleado asume el papel de "Cajero".

De ese modo, puede acceder al sistema de la caja registradora.

De esta manera, se le otorga acceso al sistema de inventario y se revoca su acceso al sistema de la caja registradora.

Los Politicas de IAM ?

Políticas de IAM

Una política de IAM es un documento que habilita o deniega los permisos a los servicios y recursos de AWS,

Política de IAM

Esta política de IAM de ejemplo permite obtener permiso para acceder a los objetos del bucket de Amazon S3 con ID: awsdoc-example-bucket

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "s3 : ListObject", "Resource": "arn : aws : s3 : : : awsdoc-example-bucket" } }

Programa de conformidad

Programas de conformidad

Los clientes están sujetos a diferentes reglamentos y requisitos de seguridad y conformidad. Los cloud providers colaboran con organismos de certificación y auditores independientes para ofrecer a los clientes información detallada sobre las políticas, los procesos y los controles que establece y aplican los proveedores cloud.

Los programas de conformidad pueden clasificarse en las siguientes categorías generales:

Certificaciones y acreditaciones Evaluadas por un auditor de terceros independiente Ejemplos: ISO 27001, 27017, 27018 e ISO/IEC 9001

Leyes, regulaciones y privacidad AWS ofrece características de seguridad y acuerdos legales para respaldar la conformidad Ejemplos: Reglamento General de Protección de Datos (GDPR) de la UE, HIPAA

Alineaciones y marcos de trabajo Requisitos de conformidad o seguridad específicos de cada sector o función Ejemplos: Centro de seguridad en Internet (CIS), certificado por el Escudo de la privacidad UE-EE. UU.

Programas de control

9001 27001 27017 27018 CSA ISO ISO ISO ISO Pci Security Standards Council AICPA SOC aicpo.cep/500450 Service Organization AICPA SOC sicoa.om/500490 Service dogminder AICPA SOC International Organization for Standardization International Organization for Standardization International Organization for Standardization International Organization for Standardization PARTICIPATING ORGANIZATION" OF ED PART ISNELA CUIS MAJINA AMERICA STATES OF FR DEPAR CATION *FFIEC Fadela Financial Intitunoen Examination Council FIPS 140 FIPS CRYPTOGRAPH FISMA FEDERAL INTODRUGION JEC\\LETY MANAGEMENT.ACT X P HIPAA HITRUST® CSF Certified Interna ons ITAR C5 CYBER ESSENTIALS PLUS CERTIFICACIÓN DE CONFORMIDAD CON EL ens Seguridad Cantewis ALTA RD 3/2010 irap 호 관 리 제 계 TŪV AUSTRIA TISAX ENX ASSOCIATION ISMS ¡DA SINGAPORE RITI GE COMMI raffic U.S. SECU MCMXXXL NOISS ic in Arms Regu Complia FedRAMP TED STATES OF AMERI G cloud security alliancesM

Seguridad de las aplicaciones

¿ Que es WAF ?

WAF

Solicitud de un cliente Quisiera acceder a la aplicación.

Viene de una dirección IP que NO se ha bloqueado.

Puede entrar.

Paquete AWS WAF

Solicitud malintencionada de un pirata informático Quisiera acceder a la aplicación.

Viene de una dirección IP que ESTÁ bloqueada. No puede entrar.

Paquete AWS WAF

Ataque Dos y DDoS

Ataque de denegación de servicio

Pirata informático

Objetivo

El ataque se origina en un origen único.

Ataques de denegación de servicio distribuidos

Pirata informático

Destino

Bots

El ataque se origina en varias fuentes.

¿ Cómo protegernos ante los ataques ?

AWS Shield

AWS Shield proporciona protección contra ataques de denegación de servicio distribuidos (DDOS).

Proteja las aplicaciones contra ataques DDOS

Integre AWS Shield Advanced a otros servicios de AWS

Escriba reglas de ACL web personalizadas con AWS WAF para mitigar aquellas complejas Ataques DDOS

¿ Cifrado de los datos en Tránsito y en Reposo?

Cifrado de datos en reposo

El cifrado codifica los datos con una clave secreta, lo que hace que sean ilegibles.

• Solo aquellos que tienen la clave secreta pueden descodificar los datos.
• AWS KMS puede administrar sus claves secretas.

AWS admite el cifrado de datos en reposo.

• Datos en reposo = datos almacenados físicamente (en disco o en cinta)
• Puede cifrar los datos almacenados en cualquier servicio compatible con AWS KMS, como los siguientes:

Amazon S3 Amazon EBS Amazon Elastic File System (Amazon EFS) Bases de datos administradas de Amazon RDS

Cifrado de datos en tránsito

• Cifrado de datos en tránsito (datos que migran a través de una red) Transport Layer Security (TLS), anteriormente SSL, es un protocolo estándar abierto. AWS Certificate Manager ofrece una forma de administrar, implementar y renovar certificados TLS o SSL
• HTTP seguro (HTTPS) crea un túnel seguro. Utiliza TLS o SSL para el intercambio bidireccional de datos.

Los servicios de nube admiten el cifrado de datos en tránsito.

Dos ejemplos:

Nube de AWS

cifrado con TLS tráfico de datos

Amazon EC2 Amazon EFS

Centro de datos corporativo

Nube de AWS

cifrado con TLS o SSL

AWS Storage Gateway Amazon S3

Fin