10 min read.
Seguridad en la nube: AWS vs. Azure
El tema de ciberseguridad es uno de los más importantes del 2018 y según estadísticas, los...
Dentro de la nube de AWS, uno de los parámetros principales, es asegurar la información de los clientes. La seguridad es un requerimiento primordial, que protege de cualquier tipo de actividad comprometedora, ya sea intencional o accidental, la información que se encuentra dentro de los servicios de AWS.
En este documento vamos a describir las mejores prácticas para gestionar la seguridad de la información dentro de los servidores en la nube de AWS.
Para lograr esto es importante que consideremos lo siguiente.
Definir, un ISMS (Information Security Management System). Es decir una serie de políticas y procedimientos para sistemáticamente y de manera administrada, se tenga acceso a la información sensible del negocio. La manera de lograrlo requiere de los siguientes pasos
La definición y categorización de los activos de información empresariales. Los activos pueden estar en dos categorías.
- Elementos esenciales, aquellos que pueden ser definidos como información pura, que reside en algún lugar, y tiene dependencia de algo físico, y:
- Componentes que soportan los elementos esenciales de operación. Tales como, personas, socios de negocio, hardware etc.
Te dejamos un ejemplo de una matriz de activos.
|
Nombre del activo |
Dueño del activo |
Categoría |
|
Datos de tarjeta de crédito de los clientes |
Equipo de comercio electrónico |
Esencial |
|
Datos del personal |
Recursos Humanos |
Esencial |
|
Enlace MPLS entre sucursales |
Dirección de sistemas |
Soporte |
|
Software ERP |
Dirección de sistemas |
Soporte |
|
Cobranza vencida |
CXC |
Esencial |
La definición de inter relaciones entre los siguientes factores. La seguridad de los servidores en la nube siempre será diferente en cada organización, principalmente porque para un buen funcionamiento de la seguridad es indispensable que se encuentren coordinados los momentos en que interactúan con la información los siguientes factures.
- Necesidades y objetivos del negocio
- Personal que tiene acceso a la información.
- Tamaño y estructura de la organización.
Para cada uno de estos factores se recomienda establecer el siguiente marco normativo
|
Situación |
Marco / Norma |
|
Definición de alcance y barreras |
|
|
Definición de política de acceso a la información |
|
|
Posibles riesgos identificados en este acceso a información |
|
|
Evaluación de riesgos |
|
|
Mecanismos para mitigar el riesgo |
|
|
Elegir la plataforma de control del riesgo |
|
|
Incorporarlo al gobierno de TI |
|
|
Declaración y aplicación |
|
|
Revisión y modificación. |
|
En Amazon Web Services, uno de los principales factores para controlar desde el punto de vista de seguridad en la nube, tiene que ver con la gestión de autenticaciones. Por tal motivo te recomendamos revisar los siguientes elementos, esto puede ayudar a resolver el elemento de mitigación de riesgo y la plataforma para controlarlo.
Gestionar a los usuarios IAM.
Los usuarios son IAM con los niveles adecuados de permisos, pueden crear otros usuarios IAM. De esta manera puedes darles oportunidad a otros usuarios de tener acceso a tu consola y servicios, con los apropiados niveles de acceso, todos gestionados por un súper usuario.
Gestionar grupos de usuarios IAM
De esta manera se podrá utilizar niveles de autenticación segmentado por grupos, cada usuario que se categorice dentro de ese grupo, tendrá esos permisos.
Gestionar Credenciales
Cada uno de los usuarios IAM, tendrá dos posibles tipos de credenciales. 1) Utilizada para tener acceso a la consola de gestión de AWS y los recursos informáticos y 2) utilizada para recursos de programación (API’s) AWS.
Delegación utilizando roles para los usuarios IAM, y credenciales secundarias temporales.
Como su nombre lo establece, es para aquellos supuestos donde requieres dar accesos a ciertos recursos, pero solo por cierto tiempo limitado.
Hay muchos más, pero los abordaremos en otro documento.
