Prácticas recomendadas para proteger datos confidenciales en AWS

pixabay

Amazon Web Services (AWS) es una de las mayores plataformas en la nube disponibles y se utiliza para almacenar información, procesar datos y crear aplicaciones. Ha estado en funcionamiento durante más de 12 años y está disponible en 66 zonas de disponibilidad (AZ) en 21 regiones geográficas.

La nube de AWS le permite ejecutar una operación escalable sin los altos costos o los requisitos de experiencia de comprar, mantener o almacenar servidores. Tiene los beneficios adicionales de soporte y servicios incorporados, incluidas funciones de seguridad integradas, aunque depende de usted utilizarlas de manera efectiva.

Modelo de responsabilidad de seguridad compartida

AWS opera mediante un modelo de responsabilidad de seguridad compartida en el que Amazon es responsable de proteger sus infraestructuras, como las operaciones de alojamiento y el hardware, y usted es responsable de proteger el acceso y la autenticación de los usuarios, los datos, los sistemas operativos, las redes y las aplicaciones.

AWS proporciona:

  • Firewalls integrados para aplicaciones web de Amazon VPC para permitir la creación de redes privadas
  • Cifrado integrado que puede personalizar y seguridad de la capa de transporte (TLS) en todos los servicios
  • Capacidad para crear conexiones privadas o dedicadas desde entornos locales
  • Herramientas para la creación y gestión de políticas de seguridad

Tu provees:

  • Monitorización de configuraciones de seguridad
  • Implementaciones de red apropiadas y configuraciones de firewall
  • Gestión de privilegios de usuario y acceso, incluido el acceso de proveedores externos

Mejores prácticas

Proteger sus datos de manera efectiva requiere comprender las vulnerabilidades de seguridad generales y específicas y aplicar este conocimiento a las herramientas y políticas que decida utilizar. Debe crear un plan de seguridad procesable que se evalúe y mejore de manera rutinaria con los comentarios de sus sistemas existentes y cualquier incidente que ocurra.

Crear una estrategia funcional puede ser difícil, pero usar las mejores prácticas, en combinación con Instantáneas de AWS en caso de pérdida, lo llevará por el camino correcto.

#1. Clasifique sus datos

Clasificar los datos lo ayudará a establecer medidas de seguridad de manera adecuada al priorizar según su importancia y responsabilidad. Las clasificaciones se pueden usar para informar políticas y umbrales para herramientas preventivas y de detección, disminuyendo su riesgo y dictando estrategias de respuesta en caso de pérdida o incumplimiento, minimizando los efectos negativos.

Puede clasificar sus datos manualmente o con la ayuda de soluciones de aprendizaje automático como Análisis de comportamiento del usuario (UBA) que pueden proporcionar información sobre la frecuencia de acceso, quién accede a los datos y cómo.

#2. Crear políticas seguras

AWS Identity and Access Management (IAM) se puede utilizar para crear y administrar permisos y políticas de acceso al mismo tiempo que permite una autenticación flexible al separar el flujo de administración y las tareas de administración de la base de datos del flujo de la aplicación. A través de IAM, puede crear políticas administradas e independientes que se pueden conectar a usuarios, grupos o roles.

Las políticas en línea se pueden usar caso por caso si es necesario, pero se prefieren las políticas administradas ya que son más fáciles de adaptar y asignar a nuevos casos. Las políticas de privilegios y acceso deben otorgar la menor cantidad de libertad posible sin obstaculizar el flujo de trabajo para limitar las oportunidades de pérdida o violación de datos. Esto es cierto para todos los usuarios, incluidos los miembros del equipo de seguridad.

Crear usuarios y roles restringidos según sea necesario y evitar el uso de permisos generales o usuarios raíz ayudará a garantizar que, si las credenciales se ven comprometidas, el daño causado se minimice. Al asignar credenciales, debe crearlas con fechas de vencimiento para limitar aún más el daño causado por las cuentas comprometidas y ayudar a asegurarse de que no está dejando cuentas “fantasmas” por situaciones de acceso con tiempo limitado o usuarios inactivos.

Debe limitar el acceso a los datos minimizando los puertos abiertos por instancia, particularmente aquellos abiertos a Internet. Las Listas de control de acceso (ACL) también se pueden usar para restringir el tráfico de la red, así como los derechos de tráfico permitidos con respecto a un recurso determinado. Cuando sea posible, utilice ACL o IAM para la microsegmentación, a fin de limitar la propagación lateral y vertical de las infracciones.

Puedes hacer esto con aislamiento de carril de natación estrategias, restringiendo el acceso entre microservicios. Si la microsegmentación no es posible, puede aumentar la seguridad superponiendo las zonas de seguridad de menos a más restrictivas, lo que requiere varios niveles de autenticación para los datos de mayor prioridad.

#3. Supervise su configuración

Las políticas que crea solo son útiles si sabe que funcionan según lo diseñado. Puede verificar que sean efectivos monitoreando activamente su configuración y auditando periódicamente el acceso y los permisos de los usuarios.

AWS ofrece notificaciones integradas para depósitos de S3 que le alertan cuando se accede a los depósitos o su contenido o se modifican. También puede configurar notificaciones para cambios en los permisos y el acceso de los usuarios. Estas funciones de alerta integradas se pueden enviar a soluciones de terceros como Monitoreo de eventos e información de seguridad (SIEM) sistemas que simplifican el monitoreo con un tablero centralizado y la capacidad de evaluar los datos y el acceso al sistema a mayor escala.

Puede hacer uso de registros de actividad, de SIEM o generados por Virtual Private Cloud (VPC), para auditar la red y el flujo de datos, analizar incidentes e informar modificaciones de políticas.

#4. Elija herramientas efectivas

Cualquier herramienta que seleccione para usar debe ser fácil de integrar en los sistemas existentes. Deben mejorar la visibilidad de la información de seguridad y aumentar la accesibilidad a través de tableros centralizados o alguna otra consolidación de información.

Las mejores herramientas podrán analizar los riesgos de seguridad en el contexto del sistema y el usuario, responder automáticamente a amenazas predefinidas y brindar funcionalidad que abarque redes externas y sistemas en la nube. Estas herramientas suelen utilizar aprendizaje automático para mejorar el análisis de seguridad y la cobertura a lo largo del tiempo.

Al seleccionar herramientas, tenga en cuenta qué vulnerabilidades adicionales pueden introducir en su sistema y planee ajustar sus políticas y estándares de manera adecuada.

Envolver

AWS se quita parte de la responsabilidad de asegurar el uso de la nube, pero la seguridad de los datos sigue siendo en gran medida su responsabilidad, y es su organización la que se verá perjudicada por su pérdida o robo. Al utilizar las herramientas que ofrece AWS en su mayor potencial, en combinación con una sólida estrategia de seguridad y soluciones internas o de terceros, puede asegurarse de que sus datos se mantengan seguros y sus responsabilidades se minimicen.

En teoría, el uso de un entorno de nube pública puede aumentar sus riesgos de seguridad, pero a menudo el beneficio supera con creces las desventajas. Es posible que tenga que pensar en la seguridad de manera un poco diferente, pero probablemente esté en mejores manos que si tuviera que hacerlo solo.

Similar Posts

Leave a Reply

Your email address will not be published.