Listado de la etiqueta: amazon

aws_security

8 Recomendaciones básicas para mejorar la seguridad de tu cuenta AWS

/en , , , /por

En el día a día de mi trabajo dentro del equipo de Cloud Security de Accenture Security, una de las tareas principales es la de promover e implantar la mejor solución de seguridad dentro de los entornos cloud de nuestros clientes.

Lo hacemos con Azure, con Google Cloud Platform y con (mi favorita :D) AWS. Como Security Lead dentro del grupo de trabajo AABG (Accenture & AWS Business Group), trato de estar al día de las recomendaciones de seguridad y buenas prácticas del proveedor para poder ofrecerlas a los clientes en los diferentes proyectos en los que participo.

Como podrás entender, hay muchas opciones de configuración, controles y recomendaciones que, sumados a la automatización que permiten los proveedores, hacen de la gestión de la Seguridad Cloud algo fascinante.

Sin embargo, en un nivel más «de andar por casa», tengo cantidad de amigos que tienen sus cuentas AWS para aprender, probar cosas e incluso mantener algún proyecto personal (este blog que lees está 100% sobre mi cuenta de AWS). Si eres una de esas personas que arrancan con AWS, te dejo un listado con las recomendaciones básicas y habituales que debes tener en cuenta para que la primera experiencia cloud no se te vaya de las manos.

Ten actualizada tu información de contacto

No pierdas el acceso a tu cuenta, asegúrate de usar un mail de contacto válido al que tengas acceso y que revises de forma habitual. Presta atención a las notificaciones de seguridad de los correos electrónicos de Amazon (como abuse@amazon.com).

Validar Roles IAM

Con el tiempo, puedes descubrir que los usuarios y roles de IAM ya no son necesarios, o que sus permisos se han ampliado más allá de lo que deberían. Revisa el acceso a tus recursos internos de AWS y determina dónde tienes acceso compartido fuera de tus cuentas de AWS. También recuerda no utilizar usuario root, crea con él un primer usuario administrador y usa ese para continuar a partir de ahí.

Utilizar la autenticación (MFA)

Configura siempre el MFA en tu usuario raíz y en los usuarios de AWS Identity and Access Management (IAM) para proporcionar una capa adicional de protección contra el acceso inapropiado.

Rota tus claves

Evita utilizar claves de acceso a AWS a largo plazo. En su lugar, utiliza roles IAM y la federación. Si necesitas utilizar claves de acceso en lugar de roles, rótalas regularmente. Puede utilizar AWS Security Hub para buscar usuarios de IAM con claves de acceso de larga duración.

No hay que codificar secretos

Utilice las funciones de IAM para proporcionar credenciales temporales para utilizar los servicios de AWS. Cuando necesite credenciales de larga duración, no codifique estos secretos en la aplicación ni los almacene en el código fuente. En su lugar, utilice AWS Secrets Manager para rotar, administrar y recuperar credenciales de base de datos, claves de API y otros secretos a lo largo de su ciclo de vida.

Limitar AWS grupos de seguridad

Puede utilizar los grupos de seguridad de AWS para limitar las comunicaciones entre sus recursos de AWS y con Internet. Esto puede lograrse permitiendo sólo los puertos mínimamente necesarios, y con fuentes y destinos de confianza. Puede utilizar servicios como AWS Firewall Manager y AWS Config para implementar y monitorizar las configuraciones de de seguridad de AWS.
También puede utilizar AWS Firewall Manager para proteger los recursos los recursos de cara a Internet aplicando aplicando las reglas de AWS WAF y implementando AWS Shield Advanced.

Centraliza los registros de AWS CloudTrail

Los registros y la monitorización son partes importantes de un plan de seguridad sólido. Poder investigar cambios inesperados en su entorno o iterar sobre su postura de seguridad se basa en tener acceso a los datos. Le recomendamos que escriba los registros en un cubo de Amazon Simple Storage Service (Amazon S3) en una cuenta de AWS designada para el registro. Los permisos del cubo deben impedir que se borren los registros, y estos registros deben estar encriptados en reposo.

Toma medidas sobre los resultados

AWS Security Hub, Amazon GuardDuty, Amazon Macie, Amazon Inspector y AWS IAM Access Analyzer le proporcionan hallazgos procesables en sus cuentas de AWS. Actúe sobre estos hallazgos basándose en su política de respuesta a incidentes. Y para mitigar mejor el alcance y el impacto de un evento, puede automatizar respuestas para contener más rápidamente la actividad sospechosa y notificar a los humanos para que tomen conciencia.

Si quieres saber más, no te pierdas el resto de entradas relacionadas con Cloud Security!

SecurityInside Live: AWS Summit 2019

/en , , , , , , , , , , , , /por

Tanto si eres nuevo en la nube o un usuario experimentado, no pierdas la ocasión de descubrir las últimas novedades Cloud en el Summit AWS de Madrid. Este evento gratuito está diseñado para presentar a nuevos clientes todas las funcionalidades sobre la plataforma AWS, y ofrecer a los clientes existentes información sobre las mejores prácticas de arquitectura y nuevos servicios.

Viene a ser algo así como la versión para mayores del taller que tuve el placer de presentar en el evento CyberCamp relativo a las mejores prácticas de seguridad en entornos AWS.

El Keynote del AWS Summit de Madrid lo presentará Mai-Lan Tomsen Bukovec, Vice President and General Manager de AWS. Durante su discurso de apertura, presentará las últimas novedades sobre las soluciones de AWS y podrás escuchar grandes historias de éxito de clientes AWS. Después del Keynote, podrás escoger entre diferentes sesiones dependiendo de tus intereses.

Y no olvides que, si no puedes ir y lo quieres ver, tienes acceso al streaming. Si no lo ves es porque no quieres 😀

Leer más

Mi experiencia como ponente en CyberCamp18

/en , , , , , /por

Aunque el año 2.007 fue un «no parar» en cuanto a esto de dar charlas y talleres tras ganar la Imagine Cup de Microsoft, desde entonces no había tenido la oportunidad de volver a subirme en un escenario para contar cosas.

En estos últimos años, entre formación, autoempleo, autoría de libros, desarrollo de ideas, docencia, consultoría, … y ser padre, se me complicó un poco sacar tiempo.

Sin embargo, tras cumplir el sueño de ser profesor, me apetecía mucho volver a tener los nervios de dar una charla, de dedicar tiempo a montar un taller en el que contar cosas que hago y he ido aprendiendo con la experiencia.

Sin embargo, meter la cabeza en un congreso no es nada sencillo. Hay que apuntarse al CFP (Call For Papers) y enviar lo que tienes en mente. Detallar en qué va a consistir, de qué vas a hablar y tratar de convencer a la organización del evento de que tu propuesta puede aportar valor a la audiencia.

Para que te hagas una idea, me he presentado a 8 congresos antes de conseguir que me aceptaran la primera ponencia. Mi «rebautismo» dando charlas ha sido el evento CyberCamp18.

En esta ocasión lancé un órdago al CFP y me presenté a las tres categorías posibles:

  • Ponencia tecnológica: propuse hablar de mi proyecto personal DefenderEye. Quería contar los motivos que me hicieron desarrollar la herramienta, para qué sirve y mostrar desde dentro cómo funciona (detallando código, infra, …).
  • Charla motivacional: propuse una charla en la que contar cómo iniciarse en el mundo de la seguridad, la formación disponible, certificaciones, tipos de perfiles laborales y, sobre todo, consejos basados en mi experiencia como gestor de equipos de seguridad y mi relación con RRHH en cuanto a búsqueda de perfiles. Todo, desde un punto de vista de mucho humor.
  • Taller técnico: propuse un taller en el que describir los principales servicios de AWS junto con las «best practices»a tener en cuenta para tener lo más seguro posible nuestro entorno.

Tras semanas de espera, me llegaron tres correos a la vez en la que se me comunicaba que no había sido elegido para las dos primeras opciones. Cuando abrí el tercero ya estaba resignado a que, un año más, no había conseguido el objetivo.

Sin embargo, en esta ocasión, el texto era diferente:

Una vez superada la emoción inicial, vienen los nervios… ¿soy capaz de estar dos horas hablando? ¿Me quedaré corto? ¿Me pasaré de tiempo?

Inicialmente hice una lista de todo lo que consideraba que debía contar, el cálculo de tiempo me daba… casi cinco horas. Mal empezamos…

Tras refinar, quitar y pulir temario, lo dejé en tres horas. Seguía sin valer.

Finalmente, tras muchas revisiones y el doloroso proceso de quitar cosas que sientes que tendrían que estar, conseguí clavar las 2 horas oficiales.

El resultado lo tenéis aquí, espero que os guste!

¿Y la experiencia, qué tal? Pues la verdad es que estupenda. La sensación de volver a subirme a un escenario y de tener de nuevo a un grupo de personas con ganas de escuchar lo que vienes a contar es realmente maravillosa.

No puedo más que dar las gracias al público que asistió al taller, todos mostraron interés en lo que le estaba contando y me lanzaron preguntas que denotaban que les estaba aportando valor, así que considero el objetivo cumplido.

Por otra parte, la organización de Incibe se portaron de 10. Trato amable, preocupación en todo momento por lo que pudiera necesitar y siempre con una gran sonrisa. Se nota que hablamos de un evento organizado desde la ilusión y las ganas de hacer algo interesante.

Sin mucho más que contar, me despido. Por mi parte, trataré de estar en CyberCamp19 y volver a formar parte de un evento tan importante como este.

Saludos!

aws-summit-madrid-16

SecurityInside Live: AWS Summit 2017

/en , , , , , , /por

Tanto si eres nuevo en la nube o un usuario experimentado, no pierdas la ocasión de descubrir las últimas novedades Cloud en el Summit AWS de Madrid. Este evento gratuito está diseñado para presentar a nuevos clientes todas las funcionalidades sobre la plataforma AWS, y ofrecer a los clientes existentes información sobre las mejores prácticas de arquitectura y nuevos servicios.

El Keynote del AWS Summit de Madrid presentará Adrian Cockcroft, Vice President Cloud Architecture Strategy de Amazon Web Services. Durante su discurso de apertura, presentará las últimas novedades sobre las soluciones de AWS y podrás escuchar grandes historias de éxito de clientes AWS. Después del Keynote, podrás escoger entre diferentes sesiones dependiendo de tus intereses.

Leer más

Controla lo que hacen tus usuarios con Amazon WS IAM (parte 2)

/en , , /por

En la primera parte de esta serie de post relativos a la gestión de usuarios (IAM) en Amazon WS, estuvimos conversando sobre la forma en la que conceder permisos de forma ordenada y sencilla, así como algunos consejos para tener el control de todo lo que ocurre. Si no lo recuerdas, no dudes en echarle un vistazo antes de seguir.

Algo realmente importante en este panel IAM es el control sobre la cuenta root. No se aconseja utilizar dicha cuenta y Amazon nos anima en el panel de control a activar autenticación multifactor (MFA).

aws-iam-2-1

Panel de control de Amazon WS IAM

 

Como se puede ver en este ejemplo, uno de los checks importantes de seguridad es activar ese MFA. El motivo es sencillo, añadir una capa extra de seguridad al acceso con el usuario que tiene capacidad para hacer cualquier cosa, incluso eliminar la propia cuenta.

De esta forma, para entrar como root, se necesitará la contraseña (algo que el usuario sabe) y otro elemento que ahora veremos (algo que el usuario tiene). En mi caso, ese elemento es un código temporal que puede ser gestionado de diferentes formas:

aws-iam-2-2

Opciones MFA en Amazon WS

 

Básicamente, podemos optar por soluciones software o hardware. En mi caso particular, estoy utilizando la primera mediante apps para móviles. ¿El motivo? Hoy en día todo el mundo tiene smartphone, todos lo llevan siempre a mano y casi todos (en esto parece que la concienciación ha servido) tienen un patrón de bloqueo. Esto hace que «lo que el usuario tiene» esté mejor controlado que un dispositivo o tarjeta que sólo usa para acceso puntual.

De esta forma, si alguien pierde el teléfono puede avisar de inmediato para que su usuario sea puesto en cuarentena hasta que se renueven tanto la contraseña como el sistema mfa.

Las opciones de apps son estas:

aws-iam-2-3

Apps MFA para móviles

 

Por utilizar siempre la misma, recomiendo Google Authenticator para Android o iOS. Sólo tenemos que acceder a la pestaña «Security Credentials» del usuario y pulsar sobre la opción «Manage MFA Device».

aws-iam-2-4

 

Al seleccionarlo, se inicia el proceso. En nuestro caso, seleccionamos dispositivo virtual (app para móvil):

aws-iam-2-5

 

Únicamente tendríamos que arrancar la aplicación y escanear el qr que aparece en pantalla. Tras hacerlo, se nos piden dos códigos consecutivos para comprobar que todo funciona correctamente y listo.

aws-iam-2-6

 

La próxima vez que entremos en el panel de control de Amazon WS con este usuario, se nos pedirá un código que podremos consultar en nuestra app.

aws-iam-2-7

 

De esta forma, los pasos recomendables para la gestión de usuarios en Amazon WS IAM se podrían resumir en:

  1. Desde la cuenta root, crear un usuario para administración.
  2. Activar MFA en root y admin.
  3. Desde admin, gestionar usuarios, grupos y políticas.

Por supuesto, recuerda que el MFA también puede ser activado para el resto de usuarios. Al principio se mostrarán reticentes a utilizarlo, pero ya sabes que concienciar y hacer entender que ciertas medidas son necesarias para tratar de asegurar los activos de la empresa es parte fundamental de nuestro trabajo.

 

De momento, esto es todo, espero que os esté resultando interesante. Como siempre digo, si ves algún error, no estás de acuerdo con lo que cuento o quieres hacer alguna aportación, no dudes en pasarte por los comentarios.