Simplifica la Seguridad de tus servicios en AWS

Simplifica la Seguridad de tus servicios en AWS

En este post, te mostraremos cómo simplificar la seguridad para tus servicios y servidores en la nube de Amazon.

En los últimos dos años han incrementado considerablemente el número de ataques informáticos (ciberataques), lo cual ha provocado también que cada vez más empresas centren sus esfuerzos en temas de Seguridad Informática.

Para muchas empresas, la seguridad es una idea de último momento, y no hacen nada sino hasta que se ven afectados por algún ataque, pero otros toman mejores decisiones y optan por la prevención.

Si bien, la Seguridad Informática no tiene una receta, ya que es un proceso que lleva tiempo, debemos estar conscientes de que hacer las cosas más rápido puede interferir con nuestra tarea principal de mantener y liberar aplicaciones/entornos seguros, ya que no se tiene suficiente tiempo para inspeccionar minuciosamente las aplicaciones/entornos antes de que se las entreguen a los usuarios finales. El desafío aquí es encontrar la combinación correcta de procesos que permita a los desarrolladores de software seguir liberando a un ritmo rápido, dejando suficiente tiempo para que los equipos de seguridad completen sus evaluaciones de seguridad.

Como sabes, Amazon se encarga de una parte de la Seguridad de los servicios que provee debido al Modelo de Seguridad Compartida, y el resto de la seguridad corre por cuenta del propio usuario, que en ocasiones puede sentirse abrumado ante tantas opciones y configuraciones disponibles.

A continuación te compartimos algunas de las mejores prácticas sobre cómo ir más allá de las opciones de seguridad predeterminadas y realmente proteger tu cuenta de AWS.

  1. Eliminar cuentas de usuario.- En la medida de lo posible, trata de evitar cuentas de usuario siempre que sea posible. Normalmente, las credenciales de un solo usuario son más que suficientes para hacerse cargo de todo el sistema. Hay varias API dentro de AWS que se pueden usar para el aprovisionamiento y es mejor usarlas para trabajar con instancias en lugar de simplemente crear nuevas cuentas. Además, procura que tus aplicaciones accedan al sistema a través de cuentas especiales que únicamente cuenten con privilegios muy bajos/limitados.
  2. Utilizar ambientes separados y controlados para desarrollo.- Lo más importante para los desarrolladores es la velocidad… Velocidad para probar las aplicaciones que realizan ya que se encuentran bajo constante presión para crear nuevas versiones y liberarlas en ambientes productivos, pero esta velocidad de desarrollo y liberación puede poner la seguridad al final de su lista de pendientes, o incluso pueden llegar a desecharla. El verdadero problema ocurre cuando los desarrolladores toman atajos que pueden dejar puertos abiertos o cuentas de usuario con derechos de administrador. Una buena práctica sería configurar cuentas de AWS separadas para cada entorno, además de limitar la cantidad de puertos abiertos de los servidores donde se esté trabajando, buscando siempre utilizar puertos que trabajen con tráfico cifrado.
  3. Copias de Seguridad/Backups.- Debemos convertir las copias de seguridad/backups en un hábito. Esto permitirá que los datos puedan recuperarse en caso de ataque o acceso comprometido. Todos los usuarios de AWS pueden hacer una copia de seguridad de sus datos o moverlos de S3 a Amazon Glacier para mantenerlos archivados. Tener una copia de seguridad fuera de línea garantiza que las empresas tengan una copia de sus datos a la que los atacantes no tienen acceso inmediato.
  4. Utilizar las herramientas de seguridad integradas de AWS.- Como ya se había mencionado en un post anterior, AWS tiene una amplia variedad de herramientas de seguridad propias, además de scripts y herramientas hechos por la comunidad y compartidos en el Marketplace Network, como herramientas de cifrado, HSM para claves privadas, firewalls y más. Los administradores pueden dividir las instancias por su tipo y asignarlas a diferentes grupos. Yendo más allá, los administradores pueden definir reglas de acceso o restringir ciertos puertos para evitar que los atacantes consigan acceso al servidor o a la base de datos. Utilizar una lista blanca (whitelist) de direcciones IP es otro paso que se puede hacer para restringir el acceso a ciertos sistemas, pero esto requiere inspecciones regulares de listas para garantizar que la lista esté actualizada y que no se hayan realizado cambios. Todo lo anterior son solo una descripción general de alto nivel de los diferentes procedimientos que las empresas deben seguir para proteger sus datos en la nube de Amazon.La amplia gama de servicios de Amazon y sus herramientas de seguridad agregan una gran complejidad que puede ser demasiado para los desarrolladores que ya están bajo una gran presión. Si bien la mayoría de ellos hacen un gran trabajo una vez configurados correctamente, no harán nada cuando se enfrenten a un atacante que tenga en sus manos las credenciales de usuario válidas o un interno que busque causar estragos en su empresa.La seguridad en la nube debe ser simple. Cuanto más complicado se vuelve, más oportunidades se crean para que los atacantes logren su cometido.

Si tienes dudas sobre la seguridad de tu cuenta de AWS con Itera, no dudes en contactarnos.