Skip to content
¡LO LOGRAMOS!, somos parte del cambio. Ahora iNBest está certificado bajo la norma NMX 025.

    Seguridad en la nube: AWS vs. Azure

    Seguridad en la nube: AWS vs. Azure

    El tema de ciberseguridad es uno de los más importantes del 2018 y según estadísticas, los principales ataques a la infraestructura ocurren en nubes públicas debido a fallas en la configuración.

     Los incidentes que causan más daño son por Ransomware que secuestra la información a cambio de una recompensa. Este tipo de ataques siempre llega a través de usuarios finales, es decir por medio de dispositivos personales y al momento que los usuarios se conectan a las nubes públicas es que se comprometen los datos. Enlaces falsos, redirecciones y trojanos son otros softwares maliciosos que pueden llegar algunos de los siguientes datos en las empresas:

    Escrutinio público por el hecho de mostrarse vulnerables.

    • Pérdida de oportunidades de negocio por generar desconfianza.
    • Pérdida significativa de ingresos.
    • Pérdida de clientes.
    • Pérdida de datos que no se vuelven a recuperar.

     

    Amazon Web Services y Azure son los principales proveedores de servicios de cloud por lo que me he dado a la tarea de analizar los aspectos de seguridad en cada una de ellas: 

     Comparativo AWS contra Azure iNBest AWS México

     

     

    Cuenta con varias certificaciones tales como ISO 27001, ISO 27018, HIPAA, FedRAMP, SOC1 y SOC, CSA/CCM, ITAR, CJIS, IRS 1075, aunque no están claras todas las certificaciones en su sitio web, presume de ser el proveedor de nube que más certificaciones tiene, algo que no estoy muy segura que se cumpla.

    Te invito a revisar este punto en: https://azure.microsoft.com/es-es/overview/trusted-cloud/

     Además de un centro de seguridad que supervisa constantemente el mantenimiento del entorno en el centro de datos local los siguientes aspectos para mejorar sus defensas y reducir los riesgos en:

    • Detección de intrusiones
    • Prevención frente a ataques por denegación de servicio distribuido (DDoS).
    • Pruebas de penetración
    • Análisis de comportamiento
    • Detección de anomalías
    • Machine learning

    Para controlar los accesos que es parte vital de la seguridad, está disponible Azure Active Directory que ofrece una autenticación multifactor para garantizar inicios de sesión inlcuido un acceso administrativo especializado con Azure Active Directory Privileged Identity Management.

    El directorio implementa la autenticación, autorización y control de acceso a través de protocolos estándar de la industria como SAML 2.0 Y funciona como un directorio activo independiente en la nube o con el local y admite aplicaciones federadas para admitir el aprovisionamiento de usuarios y almacenamiento de contraseñas.

    Azure usa protocolos para el cifrado de los datos en tránsito con la capacidad de usar Bitlocker, además que para que soporte técnico entre a los datos es necesario un permiso expreso, una vez que se soluciona el reporte, se elimina el acceso.

    Pero, como todas las nubes públicas, la responsabilidad es totalmente compartida, es decir todas estas herramientas no salvan a los usuarios de un ataque ya que la configuración de su información en Azure es privada, para esto es posible comprar en la tienda aplicaciones como:

    • Cisco
    • Fortigate
    • Barracuda
    • Check point

     Entre otros, sus usos varían y se podrá utilizarlo dependiendo del tipo de instancia con la que se cuente, por lo que es importante realizar primero un estudio profundo del cómo se utilizarán estas herramientas, ya que también el costo del mismo varía de acuerdo a esto.

     Principalmente estas aplicaciones permiten ampliar el perímetro de seguridad además de controlar de manera óptima ambientes híbridos ya que las herramientas con las que se cuente en modelos on-premise no cubren los datos en la nube de AZURE.

    solicita consultoría gratuita cloud computing

    Otro aspecto importante en el tema de seguridad es que, si la información se pierde, debe de existir una manera de recuperarla para esto los snapshots y backups son la ÚNICA opción.

    ¿Qué es un snapshot?

    Un snapshot es una imagen completa del storage en un periodo en el tiempo y que sirve para recuperar la operación en un corto periodo de tiempo en caso de contingencia o incidentes ya sea de seguridad o humanos. Los snapshots no son modificables ya que son de solo lectura hasta cuando se restauran ya sea en el mismo servidor o uno nuevo.

    Microsoft cuenta con el servicio de Azure Backup and Recovery Service que está diseñado para respaldar y recuperar los datos puede utilizarse en equipos, servidores o nube y que hace snapshots de manera sencilla:

    • Hace el respaldo automático.
    • Escalabilidad sin límite.
    • Diferentes tipos de storage.
    • Transferencia ilimitada.
    • Encriptación de datos.
    • Aplicación de respaldos consistentes.
    • Retención a largo plazo.

     

     

    Azure en caso de que no se utilice el mencionado anteriormente, cuenta con varias herramientas para las necesidades de cada empresa como:

    • Copy Blob
    • Snapshots blob
    • Azcopy

     

     Cifrado de datos AWS VS. AZURE AWS México

    Por último, algo que es importante realizar cuando se trata de seguridad en la nube es la encripción de datos y del canal por donde viajan los mismos que son dos cosas distintas, para esto Azure cuenta con las siguientes posibilidades:

    Encriptación en tránsito:

    Es un mecanismo para proteger los datos mientras se transmiten en canales que puede hacerse usando:

    Transport- Level  encrypcion: tales como HTTPS cuando transfieres datos fuera o dentro del storage.

    Wire encripcion: tal como SMB 3.0 para para Azure Share file.

    Client-side encripcion: para encriptar los datos antes de que sean transferidos al storage y para desencriptarla una vez que ha sido transferida fuera del storage.

    Encriptación en reposo:

    Un paso mandatorio cuando se trata de privacidad y se refiere a cuando los datos no están siendo transferidos y se encuentran en el storage:

     

    Storage service encripcion: te permite solicitar que automáticamente se encripten los datos cuando se están escribiendo en el storage de Azure.

    • Client-side encripcion: también es posible aplicarlo para los datos en reposo.
    • Azure Disk encripcion: te permite encriptar los discos OS usados por cualquier máquina virtual en modelos IaaS.

     

    Azure vs AWS comparativo iNBest AWS México

     

    AWS también cuenta con varias certificaciones que cubren las regulaciones a nivel mundial para poder proporcionar el servicio de nube y son ISO9001, ISO 27001, ISO 27017, ISO 27018, SOC1, SOC 2, SOC 3, PCI DDS Nivel 1, DoDSRG, CISPE, FERPA, GLBA, HIPAA, HITECH, IRS 1075, CIS, CJIS, FFIEC, FISC, FISMA, ICREA, MPAA, si cuenta con un desglose total de las que cuenta, sin decir que es el que más tiene sin embargo al ser tan específico es probable que este proveedor sea el ganador.

    Puedes revisarlas aquí: https://aws.amazon.com/es/compliance/

     

    • AWS cuenta con controles desde donde ubica sus centros de datos, considerando que no sea una zona de alto riesgo para inundaciones, clima extremo o actividad sísmica, siendo cada zona construida de manera independiente y físicamente separada una de las otras.
    • Todos sus centros son redundantes y en caso de falla automáticamente toda la información se va hacia otro centro, con la seguridad de que el tráfico será optimo y con balance de cargas optimizado. además de eso, tiene opción de arquitectarse algo en más zonas de disponibilidad dando como resultado Alta Disponibilidad de servicios.
    •  Cuenta con su propio BCP y Respuesta a PANDEMIAS en caso de que hubiera una infección masiva que incluye modelos alternativos para transferir los datos sin correr el riesgo de infección.
    • Tiene centros de operación de seguridad que son responsables del monitoreo, triaje y ejecución de programas de seguridad. Proveen soporte 24/7 para accesos y equipando organizaciones locales para responder a incidentes de riesgo consultando, analizando y atendiendo solicitudes.
    • Al ser expertos en la parte de AWS sabemos que manda alertas constantes cuando detecta intrusiones, cambios en la demanda o peticiones, escaneo de puertos, distribución de malware y también es posible reportar alguno de estos puntos dentro del storage.
    • En la parte de control de accesos está Identity Access Management (IAM) que permite definir cuentas de usuarios individuales con permisos en los recursos de esta nube algo totalmente independiente a un Active Directory.
    • Tiene también Directory Service que permite integrarse y federarse con directorios corporativos (AD) para reducir la sobre carga administrativa y así mejorar la experiencia de los usuarios finales.
    • Y por último tiene Multi- factor Authentication es para cuentas con privilegios e incluye opciones para autenticadores basados en hardware.
    • Para la seguridad de la infraestructura como tal cuenta con Firewalls integrados en Amazon VPC de igual manera existe AWS WAF para aplicaciones web y controlar el acceso a las instancias y aplicaciones.  
    • También cuenta con AWS Market place, donde es posible comprar licenciamiento de redes, seguridad, business intelligence, storage como, por ejemplo:
    • Cisco
    • Fortinet
    • Palo alto
    • Sophos

     

    Todos con free trials y su precio parte de .10 centavos de dólar la hora dependiendo de la solución, esto nos ayuda a mantener mayor control y seguridad en nubes híbridas y por supuesto en modelos totalmente en la nube.

     

    • Para el cifrado de datos en reposo cuenta con las siguientes opciones:
    1. Capacidades de cifrados de Bases de datos y almacenamiento como en volúmenes EBS, S3, Glacier, Oracle RDS, SQL Server RDS y Redshift.
    2. Opciones flexibles de administración de claves como AWS Key Management Services, para ver si AWS será el que administre las claves o si tú quieres tener el control total.
    3. Almacenamiento de claves criptográficas dedicado y basado.
    4. APIS para que se pueda integrar el cifrado y protección de los datos con cualquiera de los servicios que desarrolle o implemente en un entorno de AWS.

     

    • Cifrado en tránsito con TLS en todos los servicios y conexiones privadas o dedicadas desde la oficina o entornos on-premise.

    Hablando de ete ultimo punto es posible protegerlos con SSL o cifrado del lado del cliente y aunque no he logrado descubrir las mismas herramientas que Azure tiene, si quiero hablar de cómo funciona el cifrado de datos que básicamente hace lo mismo, proteger archivos antes de ser transferidos a la nube y antes de ser guardados en las instancias una vez que se hayan recibido:

     

    En Amazon S3 se cifran los datos en automático y se descifran cuando se validan los permisos de acceso previamente establecidos por nosotros, además es posible cifrar la clave con la clave maestra de la que platicábamos anteriormente, utiliza además Advanced Encryption Standard de 256 bits (AES-256) uno de los más seguros del mercado.

     

    También existe AWS KMS que es una aplicación derivada de IAM que genera, cifra y descifra las claves que se pueden utilizar para cifrar los datos en un servicio de AWS compatible que proporciona información adicional sobre el acceso de objetos no autorizados y permite administrar las claves de cifrado pudiendo revisar quien acceso y en que momento a las claves.

     

    Admite incluye dos tipos de claves maestras y claves de datos, las primeras se utilizan para cifrar y descifrar directamente hasta 4 KB de datos y para proteger las claves de datos también. Las claves de datos se utilizan para cifrar y descifrar datos de clientes.

     

    No es posible exportar claves maestras y las claves de datos si se pueden exportar siempre y cuando sean protegidas mediante una clave maestra.

     

     Comparativo de seguridad aws vs. azure iNBest AWS México

     

    En cuanto a respaldo de información Amazon también cuenta con Snapshots y con algo único que se llama AMI ya hemos explicado que son los snapshots y funcionan igual que en todas las nubes públicas, es decir una copia de lo que se concentra en los discos contratados.

     

    Sin embargo, AMI tiene la capacidad de copiar toda la arquitectura, es decir se lleva información de los discos, licencias, permisos, directorios es tal cual un espejo, pero del modelo completo, por lo que este tipo de respaldo está enfocado totalmente para contingencias, pero contrario a lo que se pensaría es fácil de hacer y no toma más tiempo que un snapshot.

     

    En lo que si se requiere un poco más de tiempo es en restaurarlo en otro servidor o dentro del mismo, por lo que si tu operación necesita rapidez y solo los datos del disco entonces un snapshot para ti.

     

    Por otro lado, un snapshot puede usarse sin problema en otro servidor, sin embargo, un AMI no ya que podría haber duplicado de IPS, entradas, salidas, licencias, ambos servicios son incrementales y de lectura hasta que se restauren.

     

    Un respaldo AMI te da la confianza de que podrás recuperar el modelo que tengas montado en Amazon Web Services sin perderte de nada, te asegura que la estrategia de nube, dimensionamiento y expertise que se ha utilizado se postergue sin problema.

    .

    Ya vimos que básicamente en cuestión de seguridad cuentan con lo mismo a simple vista, pero esto no significa que sean igualmente capaces de soportar las intrusiones, lo importante aquí es que sus herramientas sean amigables, que facilite la configuración adecuada para mitigar riesgos y que sean tan profundas para cubrir todas las capas como los usuarios necesiten. Ya que recuerda que la seguridad en nubes públicas es de responsabilidad compartida, es por esto que es de vital importancia este comparativo.

     

    Algo que ejemplifica muy bien esto es que para la prevención y mitigación de DDos, ambos cuentan con software dedicado para esto sin embargo, es importante destacar que:

     

    AWS Shield es una app que protege contra ataques de DDos, la capa gratuita cubre:

    • Protección contra los ataques más comunes que ocurren en la capa de red y transporte
    • Proteccion contra ataques dirigidos a sitio web o aplicación web.
    • Si se usa con Cloud Front y AWS Route 53 se recibe protección de disponibilidad integral contra los ataques a las capas 3 y 4.

     

    AWS Shield Advanced (Con costo) que otorga un nivel de protección superior a ataques más sofisticados, visibilidad de los ataques en tiempo real con AWS waf, acceso al equipo de respuesta de DDos y protección contra incrementos en los cargos en EC2,, ELB, cloudfront, o Route 53 relacionados con Ataques DDos.

    Azure cuenta también con protección básica que no tiene costo protegiendo a nivel de red solamente protegiendo las Ips públicas.

    La supervisión y mitigación de Azure contra DDos siempre está esta activa.

     

    La versión con costo de Azure No está activa en México y protege:

    • Protege aplicaciones web y sitios.
    • Integración con Azure monitor para realizar análisis.
    • Protección contra costos imprevistos.
    • Proporciona alertas.

    Ya vimos que básicamente en cuestión de seguridad cuentan con lo mismo a simple vista, pero esto no significa que sean igualmente capaces de soportar las intrusiones, lo importante aquí es que sus herramientas sean amigables, que facilite la configuración adecuada para mitigar riesgos y que sean tan profundas para cubrir todas las capas como los usuarios necesiten. Ya que recuerda que la seguridad en nubes públicas es de responsabilidad compartida, es por esto que es de vital importancia este comparativo.

     

     

    A continuación hacemos un resumen de todo lo analizado para que tomes la mejor decisión.

     Azure vs AWS comparativo AWS MéxicoComparativo AWS contra Azure AWS México

     

    • Azure dice que es la que cuenta con más certificaciones, pero no especifica cuáles y tiene varias si, pero que no son significativas.
    • AWS es muy específico en sus certificaciones y contiene muchas importantes para la protección de datos que Azure no tiene.
    • Azure cuenta con sistema de monitoreo que revisa los aspectos de seguridad DDos, pen test, entre otros pero no funciona como un sistema de alertas y reportes sino como una plataforma para controlar la seguridad.
    • AWS cuenta con un sistema de monitoreo que revisa aspectos de seguridad DDos, pen test, entre otros y además notifica constantemente al usuario a su vez que este también puede hacer un reporte sobre actividad inusual.
    •  Ambas nubes cuentan con las mismas capacidades para el control de accesos y directorios activos.
    • Azure cuenta con diversas aplicaciones para snapshots solamente, es decir copias de los discos.
    • AWS cuenta con aplicaciones para snapshots y para AMI que genera imágenes de toda la arquitectura algo que le da una gran ventaja.
    • Azure cuenta con market place pero no están visibles sus precios, contando con las herramientas actuales del mercado.
    • AWS cuenta con market place contando con las herramientas actuales del mercado, si están visibles su precios y van desde .10 centavos de dólar en aplicaciones de firewall y UTMs.
    • Azure cuenta con aplicaciones para el cifrado de datos en reposo y en tránsito.
    • AWS cuenta con aplicaciones para el cifrado de datos en reposo más no es muy claro en sus opciones para tránsito.
    • AWS cuenta con un sistema de claves maestras para controlar y administrar el cifrado de los datos algo que Azure no cuenta por el momento.
    • Ambos ofrecen la posibilidad de solicitar pen test.
    • AWS es la única nube que cuenta con un sistema de alertas de dos vías es decir tanto como para recibir como para enviar alertas sobre posibles ataques.

     

     Seguridad en la nube iNBest AWS México

     

     Nuestras conclusiones..

    El tema de seguridad en nubes públicas es compartido siendo obligación del proveedor contar con las herramientas necesarias para que el usuario tenga una capa de seguridad robusta que mitigue los riesgos y sea capaz de configurar de manera adecuada en base a sus necesidades, siendo Amazon Web Services una plataforma más amigable que Azure ya que esta última requiere de un expertise mayor en el tema de arquitecturas.

     

    Amazon cuenta con aplicaciones que ya por default proporcionan cierto nivel de seguridad que no pone en riesgo los datos si no se cuenta con los conocimientos necesarios, mientras azure a pesar de cuenta con herramientas similares todos requirieren una configuración especializada hecha por el usuario y que eleva el costo para lograr algo eficiente.

     

    Sin embargo, no podemos dejar de mencionar que cualesquiera de las dos pueden llegar a ser inseguras si el usuario no tiene los conocimientos para la configuración de una arquitectura en la nube

     

    Por lo que sea cual sea la que se elija será necesario contar con apoyo de un partner especializado para que sus datos e infraestructura quede protegida.

     Si quieres ver un comparativo general de las dos nubes haz clic aquí: AWS vs. Azure Comparativo general.

     Nuevo llamado a la acción