Académique Documents
Professionnel Documents
Culture Documents
basado en NIST
Para entornos Cloud (IAAS/PAAS) Gonzalo Gómez Abad
Ivette Castrillón
Alexis Espinosa R.
Jordi Colet
MASTER CIBERSEGURIDAD
Proyecto Fin de Master - Grupo 5
Confidential Version 1.0
Indice
Contexto
Objetivo
Conclusiones
Contexto
Contexto
La computación en la nube o Cloud Computing, es un paradigma que actualmente está de moda ya
que permite ofrecer servicios de computación a través de una red, que usualmente es Internet.
Las empresas no tienen que hacer con los costes de aprovisionamiento de hardware y la gestión
respectiva, porque ya se encargará el proveedor de cloud.
Tipos y modalidades de Nube
Objetivo
Objetivo
El objetivo de este trabajo es proveer de una guía o recomendaciones para implementar un
marco de control basado el NIST CSF en entornos Cloud de una empresa.
De manera específica nos centraremos en el proveedor líder de entornos Cloud, como es Amazon
AWS.
Aplicando NIST a
entornos Cloud
Aplicando NIST a entornos Cloud
● Gobernanza (ID.GV).
La empresa define los procesos y los actores de gobernanza, sin embargo Amazon Web Services
(AWS) permite diseñar y crear soluciones completas. Para abordar a la gobernanza de TI se lo
puede construir con un enfoque definido por grupos que son::
Identificar
Evaluación de riesgos (ID.RA).
AWS
AWS Identity and Access Management (IAM) es una característica de Amazon que permite administrar el acceso a los
servicios y recursos de AWS de manera segura. Con IAM, podemos crear y administrar usuarios y grupos de AWS, así
como utilizar permisos para conceder o denegar el acceso de estos a los recursos de AWS.
Para tal gestión disponemos de las siguientes herramientas : AWS IAM, AWS Cognito, AWS Single Sign-On(SSO), AWS
Cloud Directory y AWS Directory Service
La empresa implementa políticas y procedimientos formales y formación para entender los roles, las responsablidlades, los
compromisos, la coordinación y el cumplimiento. La política se difunde a través del portal interno a todos los
trabajadores,proveedores y clientes antes de recibir acceso autorizado a ningún producto.
Proteger
Seguridad de datos (PR.DS)
AWS se encarga de la seguridad en su parte ofreciendo a los clientes la posibilidad de agregar una capa adicional de
seguridad a los datos en reposo en la nube, proporcionando funciones de cifrado escalables y eficientes como AWS
CloudHSM.
La empresa desarrolla, implementa y tiene bajo control una configuración de línea base para realizar un proceso de control
de los cambios y analizar los impactos antes de pasarlos a explotación. AWS ayuda con herramientas y procedimientos.
Proteger
Mantenimiento (PR.MA)
Es una tareas 100% dependiente de AWS aunque la empresa controla la puntualidad y la frecuencia así como la afectación
de la política de cambios con el fin de poder garantizar el correcto funcionamiento de las herramientas y controles
desplegados.
Llevar a cabo prácticas como : Activar todas las auditorías y logs, implementaciones de capacidades mínimas pero
incrementales (IAM), configurar el sistema para proporcionar solo las capacidades esenciales y para prohibir o restringir el
uso de funciones, puertos, protocolos y / o servicios según lo definido en su política de administración de configuración,
correcto flujo de información, restricciones de uso antes de conexión externa a AWS, segmentación de redes
internas/externas, conexión a redes externas solo desde hardware permitido e identificado previamente, etc
Proteger (Conclusión)
Amazon permite el respaldo de los datos y las copias de seguridad disponibles desde los servicios cloud.
Dispone de funciones de cifrado de datos disponibles en los servicios de almacenamiento y base de datos de AWS,
opciones flexibles de administración de claves, como AWS Key Management Service (KMS) y todo un conjunto de controles
y herramientas para poder aportar seguridad al acceso.
Además implementa controles técnicos y físicos responsables y sofisticados diseñados para evitar el acceso no autorizado
al contenido del cliente.
AWS controla continuamente el panorama reglamentario y legislativo en constante evolución para identificar los cambios y
determinar las herramientas que la empresa o nuestros clientes pueden necesitar para cumplir con las necesidades de
conformidad según nuestras aplicaciones.
Detectar
La función Detectar cuenta con 3 categorías:
En arquitecturas de Cloud con AWS las soluciones ID2 / IPS de instancia de EC2 ofrecen características clave para ayudar
a proteger sus instancias de EC2.
El sistema de información y los activos son monitoreados para identificar eventos de ciberseguridad y verificar la
efectividad de las medidas de protección.
Detectar
Detectar
Procesos de detección (DE.DP).
Los procesos y procedimientos de detección se mantienen y se prueban para garantizar el conocimiento de eventos
anómalos.
Al tratar de procesos de detección podemos hablar de tema con antivirus, en este caso la seguridad para los servicios web
de Amazon es Bitdefender y es una solución de seguridad diseñada para infraestructuras en la nube e integrada con
Bitdefender GravityZone Cloud Console.
Detectar
Amazon CloudWatch
Detectar (conclusión)
Amazon ofrecen características clave para ayudar a proteger sus instancias, alerta a los
administradores de actividades maliciosas y violaciones de políticas, así como identificar y tomar
medidas contra los ataques.
Permite implementar un servicio de monitoreo y administración para la tomar acciones, optimizar el uso de
recursos y lograr una vista unificada del estado de las operaciones.
Responder
La función Responder cuenta con 5 categorías:
En arquitecturas de Cloud con AWS, se utilizan instancias como EC2, la base de datos RDS y el almacenamiento de
Amazon S3 que utilizan redundancia a través de múltiples Zonas de disponibilidad (AZ) de AWS.
Esta arquitectura nos proporciona la capacidad de usar dinámicamente la transferencia y la reanudación de las
operaciones del sistema.
Comunicaciones (RS.CO)
Este área de control es puramente procedimental y, el hecho de tener infraestructura en Cloud no debería cambiar estos
procesos aunque sí deberemos adaptarlos.
No obstante, si hay un responsable de la administración (como un proveedor) y hay un incidente que ha tenido origen en
una infraestructura en Cloud, habría que incluir a dicho responsable en las comunicaciones cuando esto implique hacer
alguna actuación sobre algún tipo de instancia, máquina y servicio.
Responder
Análisis (RS.AN)
se puede emplear servicios como AWS CloudTrail, el registro de depósitos S3, el registro de
Elastic Load Balancer (ELB) y el registro de errores RDS MySQL
Esta actividad irá ligado al proceso de Respuesta Ante Incidentes definido en la organización. Para mejorar la agilidad de la
respuesta, este proceso de respuesta debe tener acceso a la contratación de servicios de seguridad existente en el
proveedor Cloud para poder desplegar servicios de manera ágil e inmediata.
Mejoras (RS.IM)
Aunque los servicios de AWS no proporcionan análisis de incidentes directos, sí brindan servicios
para ayudar con ejecutar un proceso formalizado y evaluar la amplitud del impacto.
Por tanto, deberemos adaptar nuestros procedimientos de Respuesta ante incidentes para
aprovecharnos de las ventajas que nos permiten Amazon.
Recuperar
La función Recuperar cuenta con 3 categorías:
● Mejoras (RC.IM).
● Comunicaciones (RC.CO).
Recuperar
Planificación de la recuperación (RC.RP).
Mejoras (RC.IM).
La planificación y los procesos de recuperación se mejoran al incorporar las lecciones aprendidas en las actividades futuras.
Las actividades de recuperación organizativa se mejoran incorporando las lecciones aprendidas de las actividades de
detección y respuesta actuales y anteriores.
Además de replicar aplicaciones y datos en varios centros de datos de la misma región de las zonas de disponibilidad, puede
optar también por aumentar la redundancia y la tolerancia a fallos mediante la replicación de los datos entre regiones
geográficas.
Recuperar
Otras soluciones para AWS.
Es la solución de recuperación de desastres de AWS elegida por miles de clientes en todo el mundo. Al combinar la agilidad
de la nube con la robustez y la riqueza de funciones requeridas por las organizaciones actuales.
Recuperar
Comunicaciones (RC.CO).
Redundancia y la tolerancia a fallos mediante la replicación de los datos entre regiones geográficas.
Proveedores como Amazon AWS han hecho grandes esfuerzos para que la seguridad sea una de sus mayores
prioridades, desplegando una una arquitectura de red y un centro de datos diseñados para satisfacer los requisitos de
seguridad de las organizaciones más exigentes.
De cara a desplegar el marco de control basado en NIST CSF debemos tener en cuenta los siguientes pilares: