aws_security

8 Recomendaciones básicas para mejorar la seguridad de tu cuenta AWS

/en , , , /por

En el día a día de mi trabajo dentro del equipo de Cloud Security de Accenture Security, una de las tareas principales es la de promover e implantar la mejor solución de seguridad dentro de los entornos cloud de nuestros clientes.

Lo hacemos con Azure, con Google Cloud Platform y con (mi favorita :D) AWS. Como Security Lead dentro del grupo de trabajo AABG (Accenture & AWS Business Group), trato de estar al día de las recomendaciones de seguridad y buenas prácticas del proveedor para poder ofrecerlas a los clientes en los diferentes proyectos en los que participo.

Como podrás entender, hay muchas opciones de configuración, controles y recomendaciones que, sumados a la automatización que permiten los proveedores, hacen de la gestión de la Seguridad Cloud algo fascinante.

Sin embargo, en un nivel más «de andar por casa», tengo cantidad de amigos que tienen sus cuentas AWS para aprender, probar cosas e incluso mantener algún proyecto personal (este blog que lees está 100% sobre mi cuenta de AWS). Si eres una de esas personas que arrancan con AWS, te dejo un listado con las recomendaciones básicas y habituales que debes tener en cuenta para que la primera experiencia cloud no se te vaya de las manos.

Ten actualizada tu información de contacto

No pierdas el acceso a tu cuenta, asegúrate de usar un mail de contacto válido al que tengas acceso y que revises de forma habitual. Presta atención a las notificaciones de seguridad de los correos electrónicos de Amazon (como abuse@amazon.com).

Validar Roles IAM

Con el tiempo, puedes descubrir que los usuarios y roles de IAM ya no son necesarios, o que sus permisos se han ampliado más allá de lo que deberían. Revisa el acceso a tus recursos internos de AWS y determina dónde tienes acceso compartido fuera de tus cuentas de AWS. También recuerda no utilizar usuario root, crea con él un primer usuario administrador y usa ese para continuar a partir de ahí.

Utilizar la autenticación (MFA)

Configura siempre el MFA en tu usuario raíz y en los usuarios de AWS Identity and Access Management (IAM) para proporcionar una capa adicional de protección contra el acceso inapropiado.

Rota tus claves

Evita utilizar claves de acceso a AWS a largo plazo. En su lugar, utiliza roles IAM y la federación. Si necesitas utilizar claves de acceso en lugar de roles, rótalas regularmente. Puede utilizar AWS Security Hub para buscar usuarios de IAM con claves de acceso de larga duración.

No hay que codificar secretos

Utilice las funciones de IAM para proporcionar credenciales temporales para utilizar los servicios de AWS. Cuando necesite credenciales de larga duración, no codifique estos secretos en la aplicación ni los almacene en el código fuente. En su lugar, utilice AWS Secrets Manager para rotar, administrar y recuperar credenciales de base de datos, claves de API y otros secretos a lo largo de su ciclo de vida.

Limitar AWS grupos de seguridad

Puede utilizar los grupos de seguridad de AWS para limitar las comunicaciones entre sus recursos de AWS y con Internet. Esto puede lograrse permitiendo sólo los puertos mínimamente necesarios, y con fuentes y destinos de confianza. Puede utilizar servicios como AWS Firewall Manager y AWS Config para implementar y monitorizar las configuraciones de de seguridad de AWS.
También puede utilizar AWS Firewall Manager para proteger los recursos los recursos de cara a Internet aplicando aplicando las reglas de AWS WAF y implementando AWS Shield Advanced.

Centraliza los registros de AWS CloudTrail

Los registros y la monitorización son partes importantes de un plan de seguridad sólido. Poder investigar cambios inesperados en su entorno o iterar sobre su postura de seguridad se basa en tener acceso a los datos. Le recomendamos que escriba los registros en un cubo de Amazon Simple Storage Service (Amazon S3) en una cuenta de AWS designada para el registro. Los permisos del cubo deben impedir que se borren los registros, y estos registros deben estar encriptados en reposo.

Toma medidas sobre los resultados

AWS Security Hub, Amazon GuardDuty, Amazon Macie, Amazon Inspector y AWS IAM Access Analyzer le proporcionan hallazgos procesables en sus cuentas de AWS. Actúe sobre estos hallazgos basándose en su política de respuesta a incidentes. Y para mitigar mejor el alcance y el impacto de un evento, puede automatizar respuestas para contener más rápidamente la actividad sospechosa y notificar a los humanos para que tomen conciencia.

Si quieres saber más, no te pierdas el resto de entradas relacionadas con Cloud Security!

SecurityInside Live: CISO Day 2020

/en , , , , , , , , , , , , , , , , , , , , /por

Todos sabemos la importancia del flujo de información dentro de una industria tan cambiante y retadora como la de la ciberseguridad. Si eres CISO, CIO, responsable de ciberseguridad, experto en la materia, investigador o hacker… serás bienvenido a CISO Day 2020, un evento centrado en el responsable de la ciberseguridad corporativa.

Si recuerdas, ya hemos hablado en este blog otras veces de la importancia del CISO, en este evento se profundiza en su importancia desde varios puntos de vista.

CISO DAY 2020 basa su agenda en 6 niveles fundamentales de la ciberseguridad: Estratégico (CISO), Analítico (Ciberinteligencia), Institucional (INCIBE), Innovador (CyberStartup), Security (Proveedores) y Técnico (Hacking).

En este enlace tienes toda la información que necesitas sobre la agenda y en este sobre los ponentes que van a dar las charlas.

Y no olvides que, si no puedes ir y lo quieres ver, tienes acceso al streaming. Si no lo ves es porque no quieres 😀

Leer más

Software Defined Perimeter

SDP – Software Defined Perimeter: 10 motivos por los que es interesante

/en , , , , , /por

Hoy os traigo el resultado de mi actualización en relación a las soluciones SDP (Software Defined Perimeter) con las que me he encontrado hace poco, espero que os resulte interesante.

Como mucho de vosotros sabéis, las redes privadas virtuales (VPN) basadas en perímetro se despliegan para proporcionar acceso a empleados o terceros a las redes de la empresa. Hasta hace poco tiempo, este era uno de los mecanismos habituales para mantener un acceso remoto seguro.

Este tipo de conexiones son muy utilizadas debido al creciente (y maravilloso) auge tanto de los entornos cloud como del teletrabajo (con empleados que trabajan desde casa, en cafeterías o aeropuertos).

Sin embargo, el daño que se deriva de las intrusiones en la red es tan grande que los inconvenientes de los servicios VPN basados en el perímetro se están haciendo más tangibles que nunca. En este contexto, las empresas están empezando a considerar alternativas como las soluciones SDP (Perímetro Definido por Software), que aprovechan el paradigma de confianza cero.

¿Pero, qué es SDP?

La premisa de la arquitectura de red empresarial tradicional es crear una red interna separada del mundo exterior por un perímetro fijo que consiste en una serie de funciones de firewalls que bloquean la entrada de los usuarios externos, pero que permiten la salida de los usuarios internos.

Los perímetros fijos tradicionales ayudan a proteger los servicios internos de las amenazas externas mediante técnicas sencillas para bloquear la visibilidad y la accesibilidad desde el exterior del perímetro a las aplicaciones y la infraestructura internas. Pero las debilidades de este modelo de perímetro fijo tradicional son cada vez más problemáticas debido a la popularidad de los dispositivos gestionados por los usuarios y los ataques de phishing, que proporcionan un acceso no fiable dentro del perímetro, y a que el SaaS y el IaaS extienden el perímetro a Internet.

sdp_different_users

Los perímetros definidos por software tratan estos problemas dando a los propietarios de las aplicaciones la habilidad de desplegar perímetros que retienen el valor del modelo tradicional de invisibilidad e inaccesibilidad, pero que pueden ser desplegados en cualquier lugar (en Internet, en la nube, en un CPD, en la red corporativa privada, …)

Me interesa, ¿cómo funciona esto del SDP?

La arquitectura del SDP consta de dos componentes: Los Hosts SDP y los Controladores SDP que pueden iniciar o aceptar conexiones. Estas acciones se gestionan mediante interacciones con los controladores SDP a través de un canal de control (ver figura 1). Así, en un perímetro definido por software, el plano de control está separado del plano de datos para permitir una mayor escalabilidad. Además, todos los componentes pueden ser redundantes para una mayor disponibilidad.

Software Defined Perimeter Architecture

Figura 1: La arquitectura del Perímetro Definido por Software consiste en dos componentes: Hosts SDP y Controladores SDP

El marco SDP tiene el siguiente flujo de trabajo (ver figura 2).

  1. Uno o más controladores SDP se ponen en línea y se conectan a los servicios opcionales de autenticación y autorización adecuados (por ejemplo, PKI, huellas digitales de dispositivos, geolocalización, SAML, OpenID, OAuth, LDAP, Kerberos, autenticación multifactorial y otros servicios similares).
  2. Se ponen en línea uno o más Hosts SDP de aceptación. Estos hosts se conectan y se autentican con los Controladores. Sin embargo, no reconocen la comunicación de ningún otro Host y no responderán a ninguna petición no proporcionada.
  3. Cada uno de los Host SDP de inicio que se pone en línea se conecta y se autentica con los Controladores SDP.
  4. Después de autentificar el Host SDP de inicio, los Controladores SDP determinan una lista de Hosts de aceptación a los que el Host de inicio está autorizado a comunicarse.
  5. El Controlador SDP indica a los Hosts SDP aceptantes que acepten la comunicación del Host Iniciador, así como cualquier política opcional requerida para las comunicaciones cifradas.
  6. El controlador SDP proporciona al host SDP iniciador la lista de hosts de aceptación, así como las políticas opcionales necesarias para las comunicaciones cifradas.
  7. El Host SDP iniciador inicia una conexión VPN mutua con todos los Hosts de aceptación autorizados.
Software_Defined_Perimeter_Workflow

Figura 2: Flujo de trabajo de la arquitectura del perímetro definido por el software

 

10 razones de esta tendencia que está tomando fuerza

  1. Problemas de seguridad con las VPN tradicionales

Las empresas se han expuesto más a las violaciones de datos. Los empleados que trabajan a distancia, así como la migración a la nube, son factores que complican la protección efectiva del perímetro de la red. Los servicios tradicionales de VPN son demasiado indulgentes, lo que permite al personal acceder a muchas más áreas de la red de las que necesitan para su trabajo diario. Como resultado, estos recursos asumen una visibilidad injustificada y se vuelven más susceptibles de ser comprometidos.

  1. Acceso remoto y aislamiento de la red sin confianza

Desde el punto de vista de la seguridad, las soluciones SDP tienen una serie de ventajas sobre la VPN. En primer lugar, no existen zonas de confianza en este escenario. Un administrador de TI debe definir claramente y conceder privilegios de usuario para acceder a aplicaciones específicas. A los dispositivos de los usuarios se les asignan conexiones «punto a punto». El resto de los recursos de la red están aislados y permanecen completamente inaccesibles. Algunas soluciones SDP permiten la autenticación continua así como la verificación de usuarios y/o dispositivos a nivel de paquetes, utilizando una tecnología de red basada en ID. Todo el tráfico de la red se registra para su posterior auditoría y análisis.

  1. Los inconvenientes de utilizar una VPN

Todo empleado que haya utilizado una VPN empresarial anteriormente sabe que estos servicios funcionan de forma lenta y poco fiable. Si está utilizando aplicaciones dispersas geográficamente, se sentirá frustrado por tener que conectarse o desconectarse todo el tiempo y hacer un seguimiento de la ubicación a la que se está conectando cuando acceda a una aplicación que necesita.

  1. SDP: basta con conectarse una vez para acceder a todo lo que necesita

Con la solución SDP adecuada, los usuarios finales conectados pueden acceder a las aplicaciones necesarias independientemente de su ubicación. Las soluciones basadas en navegadores que no utilizan agentes de software facilitan el acceso a los empleados que utilizan dispositivos personales, así como a los contratistas, socios y clientes.

  1. Dolor de cabeza de los administradores

En el caso de la migración a la nube, la gestión de la VPN se complica. Los administradores de TI tienen que configurar y coordinar las políticas de VPN y cortafuegos en diferentes ubicaciones geográficas. Esto, a su vez, dificulta la prevención de accesos no autorizados.

  1. Discrepancias en la configuración

Las VPNs necesitan ser configuradas por separado en cada centro de datos y en la nube. Con SDP, los administradores pueden añadir un recurso de red a la plataforma una vez y, a continuación, gestionar todas las políticas en la nube de forma centralizada. Una ventaja más de utilizar soluciones SDP totalmente basadas en la nube es que muy pocos elementos están sujetos a una configuración y mantenimiento adicionales cuando se concede el acceso dentro de un centro de datos o una nube privada virtual. Todas las actividades, incluidas las relacionadas con la seguridad, se realizan en la nube.

  1. Escalado costoso

A medida que las organizaciones añaden nuevos usuarios y aumentan el número de servicios cloud que aprovechan, gastan mucho más en VPNs y cortafuegos. La razón se reduce a la necesidad de adquirir licencias adicionales y dispositivos más potentes.

  1. El potencial de un crecimiento desenfrenado

Si una organización utiliza una solución de SDP basada en la nube, la expansión no es casi nunca un problema. No importa cuántos usuarios estén conectados y cuántas aplicaciones necesiten, este servicio permite un escalado gradual en la nube sin necesidad de equipos costosos.

  1. Flexible pero no gratuito

Las VPNs proporcionan flexibilidad ya que pueden conectar múltiples puntos finales distribuidos geográficamente, centros de datos y nubes privadas virtuales. Sin embargo, se necesitan recursos significativos y gastos crecientes para establecer y mantener estas conexiones.

  1. Conecte todo sin complicaciones

Las soluciones SDP permiten a las empresas proporcionar a sus empleados acceso a recursos informáticos específicos de la empresa sin necesidad de aumentar los requisitos de control y los gastos.

Conclusiones

El profundo conocimiento de los mecanismos de acceso remoto seguro incentiva a las organizaciones que están migrando a la nube a desplegar soluciones SDP. Estos servicios implementan una política de acceso a la red personalizada para los usuarios y los recursos de forma individual. Estos recursos permanecen invisibles para los usuarios no autorizados, lo que reduce la superficie potencial de ataque. La orientación al cliente de las soluciones SDP hace que sean más fáciles de controlar, aplicables en todos los ámbitos, adecuadamente protegidas y flexibles. Estas características superan los beneficios de los servicios VPN tradicionales por lo que no os extrañe que veamos esta tecnología mucho más en un futuro cercano.

 

Fuentes:

https://en.wikipedia.org/wiki/Software_Defined_Perimeter

https://www.vectoritcgroup.com/tech-magazine/cybersecurity/el-modelo-sdp-desbanca-a-las-soluciones-vpn/

https://www.perimeter81.com/blog/network/5-reasons-why-you-need-to-replace-your-vpn-with-sdp/

https://www.metanetworks.com/sdp-vs-vpn-5-reasons-to-make-the-switch/

7 tipos de cuentas privilegiadas en Digital Identity

/en , /por

Durante el trabajo suelo tener que lidiar de una forma u otra con cuentas privilegiadas, son cuentas que se presentan en diferentes formas y que plantean riesgos de seguridad significativos si no se protegen, gestionan y supervisan de forma adecuada.

En esta entrada quería hacer un resumen de aquellas con las que trato habitualmente y que incluyen:

1) Las cuentas administrativas locales

Son cuentas no personales que proporcionan acceso administrativo sólo al host o instancia local. Las cuentas de administración local son utilizadas rutinariamente por el personal IT para realizar el mantenimiento de estaciones de trabajo, servidores, dispositivos de red, bases de datos, mainframes, etc. A menudo, para facilitar su uso, tienen la misma contraseña en toda una plataforma u organización. El uso de una contraseña compartida en miles de hosts convierte a las cuentas administrativas locales en un blanco fácil de usar que las amenazas avanzadas explotan de forma rutinaria.

2) Las cuentas de usuario con privilegios

Son credenciales a las que se han concedido privilegios administrativos en uno o más sistemas. Esta es típicamente una de las formas más comunes de acceso privilegiado a cuentas que se otorga en una red empresarial, permitiendo a los usuarios tener derechos administrativos, por ejemplo, en sus escritorios locales o a través de los sistemas que administran. A menudo estas cuentas tienen contraseñas únicas y complejas. El poder que ejercen a través de los sistemas gestionados hace necesario monitorizar continuamente su uso.

3) Las cuentas administrativas de dominio

Tienen acceso administrativo privilegiado a todas las estaciones de trabajo y servidores del dominio. Aunque estas cuentas son pocas en número, proporcionan el acceso más amplio y robusto a través de la red. Con el control total sobre todos los controladores de dominio y la capacidad de modificar la pertenencia de cada cuenta administrativa dentro del dominio, tener estas credenciales comprometidas es a menudo el peor escenario para cualquier organización.

4) Las cuentas de emergencia

Proporcionan a los usuarios no privilegiados acceso administrativo a sistemas seguros en caso de emergencia y a veces se denominan cuentas «firecall» o «breakglass». Aunque el acceso privilegiado a estas cuentas suele requerir la aprobación de la dirección por razones de seguridad, suele ser un proceso manual ineficaz que suele carecer de auditabilidad.

5) Las cuentas de servicio

Pueden ser cuentas locales privilegiadas o cuentas de dominio que son utilizadas por una aplicación o servicio para interactuar con el sistema operativo. En algunos casos, estas cuentas de servicio tienen privilegios de administración de dominio en función de los requisitos de la aplicación para la que se utilizan. Las cuentas de servicio local pueden interactuar con una variedad de componentes de Windows, lo que dificulta la coordinación de los cambios de contraseña.

6) Las cuentas de Active Directory o de servicios de dominio

Hacen que los cambios de contraseña sean aún más complicados, ya que requieren coordinación entre varios sistemas. Este desafío a menudo lleva a una práctica común de cambiar raramente las contraseñas de las cuentas de servicio, lo que representa un riesgo significativo en toda la empresa.

7) Las cuentas de aplicación

Son cuentas utilizadas por las aplicaciones para acceder a bases de datos, ejecutar trabajos por lotes, scripts o proporcionar acceso a otras aplicaciones. Estas cuentas privilegiadas suelen tener un amplio acceso a la información subyacente de la empresa que reside en aplicaciones y bases de datos. Las contraseñas de estas cuentas suelen estar incrustadas y almacenadas en archivos de texto no cifrados, una vulnerabilidad que se replica en varios servidores para proporcionar una mayor tolerancia a las fallas de las aplicaciones. Esta vulnerabilidad representa un riesgo significativo para una organización porque las aplicaciones a menudo alojan los datos exactos a los que se dirigen los APT.

Y como la cosa va de sietes, de regalo, os dejo este enlace a siete maneras de proteger cuentas privilegiadas.

Espero que os haya gustado, ¡hasta la próxima!

SecurityInside Live: VIII Foro de la Ciberseguridad del Cyber Security Center (ISMS Forum)

/en , , , , , /por

Hoy se celebra la VIII edición del Foro de la Ciberseguridad del Cyber Security Center que organiza el ISMS Forum Spain. Para el que no lo conozca, decir que es una red abierta de conocimiento que conecta empresas, organismos públicos y privados, investigadores y profesionales comprometidos con el desarrollo de la Seguridad de la Información en España. Ya son más de 150 empresas y más de 850 profesionales asociados.

Leer más