Marco de Control

basado en NIST
Para entornos Cloud (IAAS/PAAS)
Gonzalo Gómez Abad
Ivette Castrillón
Alexis Espinosa R.
Jordi Colet

MASTER CIBERSEGURIDAD
 Proyecto Fin de Master - Grupo 5
Confidential Version 1.0

Indice

Contexto

Objetivo

Aplicando NIST a entornos Cloud

Conclusiones
Contexto
Contexto
La computación en la nube o Cloud Computing, es un paradigma que actualmente está de moda ya
que permite ofrecer servicios de computación a través de una red, que usualmente es Internet.

La gracia de este tipo de paradigma es que todo se ofrece como servicio

Las empresas no tienen que hacer con los costes de aprovisionamiento de hardware y la gestión
respectiva, porque ya se encargará el proveedor de cloud.
Tipos y modalidades de Nube
Objetivo
Objetivo
El objetivo de este trabajo es proveer de una guía o recomendaciones para implementar un
marco de control basado el NIST CSF en entornos Cloud de una empresa.

De manera específica nos centraremos en el proveedor líder de entornos Cloud, como es Amazon
AWS.
Aplicando NIST a
entornos Cloud
Aplicando NIST a entornos Cloud

A continuación vamos a pasar por cada una de las

funciones y categorías del NIST CSF
identificando los controles o aspectos que
puedan aplicar al entorno Cloud.

Intentaremos identificar qué capacidades nos da

un proveedor de Cloud como puede ser Amazon
AWS para implementar o desarrollar esos controles
de manera específica.
Aplicando NIST a entornos Cloud

Los controles podrán aplicar a procesos, políticas y

procedimientos, y controles técnicos. Por tanto no
todos los controles del NIST CSF serán de interés
para este trabajo.
Identificar
La función identificar cuenta con 6 categorías

● Gestión de activos (ID.AM).

● Entorno del Negocio (ID.BE).

● Gobernanza (ID.GV).

● Evaluación de riesgos (ID.RA).

● Estrategia de gestión de riesgos (ID.RM).

● Gestión de riesgos de la cadena de suministro.(ID.SC).

Identificar
Gestión de activos (ID.AM)

La aplicación Systems Manager Inventory permite

recopilación de metadatos del sistema operativo (SO),
aplicaciones y servidores locales o máquinas virtuales (VM)
de su entorno híbrido.
Identificar
Gobernaza (ID.GV).

La empresa define los procesos y los actores de gobernanza, sin embargo Amazon Web Services
(AWS) permite diseñar y crear soluciones completas. Para abordar a la gobernanza de TI se lo
puede construir con un enfoque definido por grupos que son::
Identificar
Evaluación de riesgos (ID.RA).

La AWS define procedimientos que son aplicados con niveles

de responsabilidad tanto de cliente como de AWS (Amazon
Web Services)..

AWS

Diseño seguro, Continuidad del negocio y recuperación de

desastres, Acceso físico,, Monitoreo y registro, Vigilancia y
detección, Administración de dispositivos, Sistemas de ayuda
a las operaciones gobernanza y riesgo
Identificar
Para el resto de categorías de la función Identificar, no
aplicarían medidas específicas aportadas por Amazon
AWS. No obstante, toda la parte de asignación de roles,
gobernanza y gestión de riesgos, sí tendrá que incorporarse
la situación de las aplicaciones o infraestructura que esté
en la nube
 Identificar
Conclusiones

Es importante definir los recursos (por ejemplo, hardware,

dispositivos, datos y software) para priorizar según su
clasificación, criticidad y valor comercial.

Para el resto de categorías de la función Identificar, debe

incorporarse a los procesos de seguridad existentes.

Por ejemplo, el nivel de amenaza y exposición de un sistema

en cloud será distinto al de una aplicación que esté disponible
únicamente desde la organización.
Proteger
La función Proteger cuenta con 6 categorías:

● Administración de identidad, autenticación y control de acceso (PR.AC).

● Concienciación y formación (PR.AT).
● Seguridad de datos (PR.DS).
● Procesos y procedimientos de protección de la información (PR.IP).
● Mantenimiento (PR.MA).
● Tecnología de protección (PR.PT).
Proteger
Administración de identidad, autenticación y control de acceso (PR.AC)

AWS Identity and Access Management (IAM) es una característica de Amazon que permite administrar el acceso a los
servicios y recursos de AWS de manera segura. Con IAM, podemos crear y administrar usuarios y grupos de AWS, así
como utilizar permisos para conceder o denegar el acceso de estos a los recursos de AWS.

Para tal gestión disponemos de las siguientes herramientas : AWS IAM, AWS Cognito, AWS Single Sign-On(SSO), AWS
Cloud Directory y AWS Directory Service

Concienciación y formación (PR.AT)

La empresa implementa políticas y procedimientos formales y formación para entender los roles, las responsablidlades, los
compromisos, la coordinación y el cumplimiento. La política se difunde a través del portal interno a todos los
trabajadores,proveedores y clientes antes de recibir acceso autorizado a ningún producto.
Proteger
Seguridad de datos (PR.DS)

Basado en la implementación de mecanismos y tecnologías de seguridad, integridad y confidencialidad en las

comunicaciones. Ello implica comunicaciones basadas en SSL y la utilización de almacenamiento de claves criptográficas
basadas en hardware dedicado así como se la configuración de sistemas para proteger o limitar los efectos de los tipos de
ataques de denegación de servicio y implementar mecanismos para proteger su entorno de la fuga de datos.

AWS se encarga de la seguridad en su parte ofreciendo a los clientes la posibilidad de agregar una capa adicional de
seguridad a los datos en reposo en la nube, proporcionando funciones de cifrado escalables y eficientes como AWS
CloudHSM.

Procesos y procedimientos de protección de la información (PR.IP)

La empresa desarrolla, implementa y tiene bajo control una configuración de línea base para realizar un proceso de control
de los cambios y analizar los impactos antes de pasarlos a explotación. AWS ayuda con herramientas y procedimientos.
Proteger
Mantenimiento (PR.MA)

Es una tareas 100% dependiente de AWS aunque la empresa controla la puntualidad y la frecuencia así como la afectación
de la política de cambios con el fin de poder garantizar el correcto funcionamiento de las herramientas y controles
desplegados.

Tecnología de protección (PR.PT)

Llevar a cabo prácticas como : Activar todas las auditorías y logs, implementaciones de capacidades mínimas pero
incrementales (IAM), configurar el sistema para proporcionar solo las capacidades esenciales y para prohibir o restringir el
uso de funciones, puertos, protocolos y / o servicios según lo definido en su política de administración de configuración,
correcto flujo de información, restricciones de uso antes de conexión externa a AWS, segmentación de redes
internas/externas, conexión a redes externas solo desde hardware permitido e identificado previamente, etc
Proteger (Conclusión)
Amazon permite el respaldo de los datos y las copias de seguridad disponibles desde los servicios cloud.

Dispone de funciones de cifrado de datos disponibles en los servicios de almacenamiento y base de datos de AWS,
opciones flexibles de administración de claves, como AWS Key Management Service (KMS) y todo un conjunto de controles
y herramientas para poder aportar seguridad al acceso.

Además implementa controles técnicos y físicos responsables y sofisticados diseñados para evitar el acceso no autorizado
al contenido del cliente.

AWS controla continuamente el panorama reglamentario y legislativo en constante evolución para identificar los cambios y
determinar las herramientas que la empresa o nuestros clientes pueden necesitar para cumplir con las necesidades de
conformidad según nuestras aplicaciones.
Detectar
La función Detectar cuenta con 3 categorías:

● Anomalías y eventos (DE.AE).

● Monitoreo continuo de seguridad (DE.CM).

● Procesos de detección (DE.DP).

Detectar
Anomalías y eventos (DE.AE).

En arquitecturas de Cloud con AWS las soluciones ID2 / IPS de instancia de EC2 ofrecen características clave para ayudar
a proteger sus instancias de EC2.

Monitoreo continuo de seguridad (DE.CM).

El sistema de información y los activos son monitoreados para identificar eventos de ciberseguridad y verificar la
efectividad de las medidas de protección.
Detectar
Detectar
Procesos de detección (DE.DP).

Los procesos y procedimientos de detección se mantienen y se prueban para garantizar el conocimiento de eventos
anómalos.

Al tratar de procesos de detección podemos hablar de tema con antivirus, en este caso la seguridad para los servicios web
de Amazon es Bitdefender y es una solución de seguridad diseñada para infraestructuras en la nube e integrada con
Bitdefender GravityZone Cloud Console.
Detectar
Amazon CloudWatch
Detectar (conclusión)
Amazon ofrecen características clave para ayudar a proteger sus instancias, alerta a los
administradores de actividades maliciosas y violaciones de políticas, así como identificar y tomar
medidas contra los ataques.

Permite implementar un servicio de monitoreo y administración para la tomar acciones, optimizar el uso de
recursos y lograr una vista unificada del estado de las operaciones.
Responder
La función Responder cuenta con 5 categorías:

● Planificación de respuesta (RS.RP).

● Mitigación (RS.MI).
● Comunicaciones (RS.CO).
● Análisis (RS.AN).
● Mejoras (RS.IM).
Responder
Planificación de respuesta (RS.RP)

En arquitecturas de Cloud con AWS, se utilizan instancias como EC2, la base de datos RDS y el almacenamiento de
Amazon S3 que utilizan redundancia a través de múltiples Zonas de disponibilidad (AZ) de AWS.

Esta arquitectura nos proporciona la capacidad de usar dinámicamente la transferencia y la reanudación de las
operaciones del sistema.

Comunicaciones (RS.CO)

Este área de control es puramente procedimental y, el hecho de tener infraestructura en Cloud no debería cambiar estos
procesos aunque sí deberemos adaptarlos.

No obstante, si hay un responsable de la administración (como un proveedor) y hay un incidente que ha tenido origen en
una infraestructura en Cloud, habría que incluir a dicho responsable en las comunicaciones cuando esto implique hacer
alguna actuación sobre algún tipo de instancia, máquina y servicio.
Responder
Análisis (RS.AN)

se puede emplear servicios como AWS CloudTrail, el registro de depósitos S3, el registro de
Elastic Load Balancer (ELB) y el registro de errores RDS MySQL

AWS CloudTrail permite realizar un seguimiento y responder automáticamente ante la

actividad de la cuenta que represente una amenaza para la seguridad de sus recursos de
AWS. Mediante la integración con Amazon CloudWatch Events, puede definir flujos de trabajo
que se ejecuten cuando se detecten eventos que pudieran resultar en vulnerabilidades de
seguridad
Responder
Mitigación (RS.MI)

Esta actividad irá ligado al proceso de Respuesta Ante Incidentes definido en la organización. Para mejorar la agilidad de la
respuesta, este proceso de respuesta debe tener acceso a la contratación de servicios de seguridad existente en el
proveedor Cloud para poder desplegar servicios de manera ágil e inmediata.

Mejoras (RS.IM)

Este proceso debe realizarse al margen de tener infraestructura en Cloud..

Responder (conclusión)
Amazon permite implementar planes de respuesta repetibles y bien ejecutados minimizando
exposición y recuperación.

Aunque los servicios de AWS no proporcionan análisis de incidentes directos, sí brindan servicios
para ayudar con ejecutar un proceso formalizado y evaluar la amplitud del impacto.

Si bien la nube ofrece capacidades para agilizar y acelerar la recopilación y difusión de en la

información, siempre hay un elemento humano involucrado en la coordinación de la respuesta.

Por tanto, deberemos adaptar nuestros procedimientos de Respuesta ante incidentes para
aprovecharnos de las ventajas que nos permiten Amazon.
Recuperar
La función Recuperar cuenta con 3 categorías:

● Planificación de la recuperación (RC.RP).

● Mejoras (RC.IM).

● Comunicaciones (RC.CO).
Recuperar
Planificación de la recuperación (RC.RP).

Los procesos y procedimientos de recuperación se ejecutan y

mantienen para garantizar la restauración de los sistemas o
activos afectados por incidentes de ciberseguridad.

Las empresas utilizan la nube de AWS para poder realizar una

recuperación de desastres más rápida de sus sistemas de TI
fundamentales sin incurrir en gastos adicionales de
infraestructuras de un segundo sitio físico.
Recuperar

Mejoras (RC.IM).

La planificación y los procesos de recuperación se mejoran al incorporar las lecciones aprendidas en las actividades futuras.

Las actividades de recuperación organizativa se mejoran incorporando las lecciones aprendidas de las actividades de
detección y respuesta actuales y anteriores.

Mejora de la continuidad con replicación entre regiones

Además de replicar aplicaciones y datos en varios centros de datos de la misma región de las zonas de disponibilidad, puede
optar también por aumentar la redundancia y la tolerancia a fallos mediante la replicación de los datos entre regiones
geográficas.
Recuperar
Otras soluciones para AWS.

N2WS Backup y Recovery.

Es la solución de recuperación de desastres de AWS elegida por miles de clientes en todo el mundo. Al combinar la agilidad
de la nube con la robustez y la riqueza de funciones requeridas por las organizaciones actuales.
Recuperar
Comunicaciones (RC.CO).

La comunicación de AWS se realiza de varias formas:

 Recuperar (conclusión)
AWS tiene centros de datos con los que cuenta en regiones de todo el mundo por lo tal ofrece una serie de servicios de
recuperación de desastres basados en la nube para rápida recuperación de los datos y de la infraestructura de TI.

Redundancia y la tolerancia a fallos mediante la replicación de los datos entre regiones geográficas.

Dispone de soluciones de respaldos en la tienda de AWS.

Conclusiones
 Conclusiones
El entorno en el cloud permite ahorrar tanto en costo y tener mayor capacidad tecnológica además es posible crear e
implementar aplicaciones empresariales rápidamente.

Proveedores como Amazon AWS han hecho grandes esfuerzos para que la seguridad sea una de sus mayores
prioridades, desplegando una una arquitectura de red y un centro de datos diseñados para satisfacer los requisitos de
seguridad de las organizaciones más exigentes.

De cara a desplegar el marco de control basado en NIST CSF debemos tener en cuenta los siguientes pilares:

Adaptación procesos Capacidades que aporte Marketplace

Los procesos de seguridad
deberán adaptarse a la nueva
realidad de negocio y operativa IT
implementados en la nube. Esto
afecta sobre todo a la función de
Identificar y Responder.
Amazon
Existe un gran número de
Existen muchas capacidades y soluciones de seguridad en
controles que aporta Amazon en Merket, con lo que podremos
relación a la Protección, replicar controles ya existentes en
Detección y Respuesta. nuestra organización..
Muchas gracias