Este documento presenta varias herramientas de seguridad de AWS, como AWS CloudTrail, AWS Config, Amazon GuardDuty y Amazon Macie, que ayudan a clientes regulados a cumplir con estándares de seguridad. También incluye una demostración del uso de la herramienta Allgress para mapear productos a regulaciones específicas. El objetivo es simplificar el cumplimiento de seguridad al permitir que herramientas modernas resuelvan problemas del pasado y automatizar el proceso mediante infraestructura como código.

1. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Seguridad en la nube para industrias
reguladas
Eduardo Patiño Balaguera
Arquitecto de Soluciones para Sector Publico, Amazon Web Services
balague@amazon.com

2. ¿Qué esperar de esta sesión?
• Aprender del modelo de seguridad compartida usando AWS
Marketplace
• Aprender de servicios para la detección y registro de seguridad
• Machine learning para DLP (Data Loss Prevention)
• Usar herramientas modernas que resuelvan problemas difíciles del
pasado = Demos

3. OMoverse
rapido
Estar seguro
Antes…

4. ORYMoverse
rapido
Estar seguro
Ahora…

5. Que nos dicen nuestros clientes
Que tienen nuestros clientes:
• Modelos de creación y despliegue de
software lento
• Contratos complejos
• Renovación y cambios constantes
• Mecanismos de adquisición anticuados
• No hay un único catálogo aprobado de
software en su lugar
Que quieren nuestros clientes:
• Innovar rápidamente comprando e
implementando soluciones de software
bajo demanda
• Simplifique las compras, la administración
de licencias y la facturación
• Mejorar bajo demanda
• Reduzca los costos mientras selecciona
nuevos estándares

6. AWS Marketplace
b u s c a r , c o m p r a r , i m p l e m e n t a r y a d m i n i s t r a r s o f t w a r e e n
l a n u b e
• Implementar software bajo demanda
• Software provisto por proveedores confiables
• 1280+ ISVs
• 4200+ listados de productos
• Aprovisionamiento e implementación simple
• Facturado a través de la cuenta de AWS
• Desplegado en 15 regiones alrededor del
mundo
• 160,000+ clientes activos

7. La seguridad y el cumplimiento es una responsabilidad compartida
CUSTOMER DATA
PLATFORM, APPLICATIONS, IDENTITY & ACCESS MANAGEMENT
OPERATING SYSTEM, NETWORK & FIREWALL CONFIGURATION
CLIENT-SIDE DATA
ENCRYPTION &
DATA INTEGRITY
AUTHENTICATION
SERVER-SIDE ENCRYPTION
(FILE SYSTEM
AND/OR DATA)
NETWORK TRAFFIC
PROTECTION
(ENCRYPTION/
INTEGRITY/IDENTITY)
COMPUTE STORAGE DATABASE NETWORKING
AWS GLOBAL
INFRASTRUCTURE
REGIONS
EDGE LOCATIONS
AVAILABILITY ZONES
Cliente
Responsable
de la
seguridad
EN la nube
AWS
Responsible
de la
seguridad
DE la nube

8. Clientes usando AWS

9. Soluciones de seguridad en el Marketplace de AWS
Además de que la nube de AWS ya es segura, el
Marketplace de AWS ofrece soluciones de seguridad
líderes en la industria para ayudarlo a proteger
sistemas operativos, plataformas, aplicaciones y datos
que se pueden integrar con los controles existentes en
su nube de AWS y entornos híbridos.
• Despliegue cuando lo necesite, Despliegue con un solo
clic en múltiples regiones del mundo
• Listo para correr en AWS, tanto preconfigurado como
personalizable para sus necesidades
• Precios medidos por hora. Pague solo por lo que usa.
Licencia por volumen disponible
Mantenga sus aplicaciones y datos a
salvo de las amenazas
Controle todas las actividades en su
infraestructura de aplicaciones
Descubre las vulnerabilidades dentro de
tus aplicaciones y obtén consejos de
expertos de remediación
Mantenga sus datos a salvo de la
divulgación y modificaciones no
autorizadas
INFRASTRUCTURE
SECURITY
LOGGING
& MONITORING
CONFIGURATION &
VULNERABILITY ANALYSIS
DATA
PROTECTION

10. AWS Identity & Access
Management (IAM)
AWS Organizations
AWS Cognito
AWS Directory Service
AWS Single Sign-On
AWS CloudTrail
AWS Config
Amazon GuardDuty
VPC Flow Logs
Amazon
CloudWatch
Amazon EC2
Systems Manager
AWS Shield
AWS Web Application
Firewall (WAF)
Amazon Inspector
Amazon Virtual Private
Cloud (VPC)
AWS Key Management
Service (KMS)
AWS CloudHSM
Amazon Macie
Certificate Manager
Server Side Encryption
AWS Config Rules
AWS Lambda
Identidad Detección y
registro
Infraestructura de
seguridad
Respuesta a
incidentes
Protección de
datos
Soluciones de Seguridad de AWS

11. Herramientas de detección y registro de AWS
Detección y registro
• AWS CloudTrail
• AWS Config & Config Rules
• Amazon GuardDuty
• VPC Flow Logs
• Amazon
CloudWatch

12. AWS CloudTrail
• Aumenta la visibilidad de sus usuarios y actividad de recursos
• Descubra y solucione problemas de seguridad y operativos registrando la
actividad que ocurrió
• Simplifique sus auditorías registrando y almacenando automáticamente las
bitácoras de actividades

13. Usos comunes de AWS CloudTrail
• Ejemplos:
• Obtenga visibilidad sobre el uso de las credenciales root
• Detecte el acceso a información sensible desde redes o
direcciones IP no autorizadas
• Solucione problemas de permisos mal configurados en sus
aplicaciones

14. AWS Config & Config Rules
• Servicio de registro y evaluación continua
• Seguimiento de cambios a la configuración en los recursos AWS
• Notifica en caso de que la configuración no cumpla sus políticas
Recursos cambiantes
AWS Config
Config Rules
Histórico, Snapshot
Notificaciones
Accesos API
Normalizados

15. Dashboard de AWS Config

16. Dance like no one’s watching;
Encrypt like everyone is!
E N C R Y P T I O N + A W S C o n f i g

17. Detección inteligente de amenazas y monitoreo
continuo para proteger sus cuentas AWS y cargas de
trabajo
Amazon GuardDuty
Encuentre la aguja(amenazas) en el pajar (oceano de logs)

18. GuardDuty Detección de Amenazas y
notificación

19. Amazon GuardDuty: Beneficios
• Servicio administrado de detección de amenazas
• Activación sencilla con un clic sin impacto arquitectónico o de rendimiento
• Monitoreo continuo de cuentas y recursos de AWS
• Descubra las amenazas relacionadas con EC2 y IAM
• Al instante proporciona hallazgos, en minutos!!
• Sin agentes, sin sensores, sin dispositivos de red
• Cobertura global, resultados regionales
• Detección de anomalías incorporada con aprendizaje automático
• Integraciones de socios para protecciones adicionales
• Precios simples y rentables

20. Amazon GuardDuty Hallazgos

21. • Remediar una instancia comprometida
• Remediate las credenciales de AWS comprometidas
Respuesta a hallazgos y Remediación Automática
GuardDuty CloudWatch Events Lambda
Amazon
GuardDuty
Amazon
CloudWatch
CloudWatch Event Lambda Function
AWS Lambda

22. Machine Learning para prevención de
Perdida de Datos (DLP) con Amazon
Macie

23. Amazon Macie
Amazon Macie es un servicio de seguridad de datos que utiliza
Machine Learning y que automatiza el descubrimiento, la
clasificación y la protección de los datos almacenados en Amazon S3.
Amazon Macie utiliza el Machine Learning para proporcionar
visibilidad y seguridad de sus datos, monitoreando continuamente y
alertando sobre datos desprotegidos y actividades sospechosas.

24. Macie Clasificación de contenido
• Datos personales
• Código fuente
• Certificados SSL, claves privadas
• Copias de seguridad
• OAuth y Cloud SAAS API Keys
Amazon Macie Beneficios
Visibilidad de Datos

25. DEMO TIME

26. Mapeo de Productos para Regulación – Allgress
AWS CloudTrail
AWS Config
Amazon Guard Duty
Amazon Macie

27. ¿Qué sigue?

28. Seguridad en la nube para industrias reguladas
Aplique el principio del menor
privilegio
Deje que herramientas
modernas resuelvan
problemas difíciles del pasado
Conozca los estándares y sepa
con que herramientas puede
cumplir
Tenga todo documentado y registrado
sus auditores lo agradecerán
Automatice usando Infraestructura como
Código

29. ¡ Gracias !
https://aws.amazon.com/security
https://aws.amazon.com/compliance

31. • Introducing Allgress Regulatory
Product Mapping Tool
• Reduce the complexity and shorten the
timeframe of achieving security compliance

32. Califica nuestra charla