O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Mejores prácticas de IAM

1.554 visualizações

Publicada em

Mejores prácticas de IAM
AWS Summit Ciudad de México - Jueves, 26 de mayo

Publicada em: Tecnologia
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Mejores prácticas de IAM

  1. 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Mauricio Muñoz Enterprise Solutions Architect Mayo de 2016 AWS IAM – Mejores prácticas
  2. 2. ¿Qué veremos hoy? • Definiciones • Mejores prácticas • Dilemas • Demostraciones • Extensión de funcionalidades de seguridad: Trend Micro
  3. 3. Definiciones
  4. 4. ¿Por qué AWS Identity and Access Management (IAM)? Para que usted pueda controlar quién puede hacer qué en su cuenta AWS.
  5. 5. ¿Por qué AWS Identity and Access Management (IAM)? Para que usted pueda controlar quién puede hacer qué en su cuenta AWS. Primitivas: - Usuarios, Grupos, Recursos, Acciones - Políticas, Roles
  6. 6. ¿Por qué AWS Identity and Access Management (IAM)? Para que usted pueda controlar quién puede hacer qué en su cuenta AWS. Primitivas: - Usuarios, Grupos, Recursos, Acciones - Políticas, Roles Control: - Centralizado - Granular (APIs), Recursos, Acceso a AWS Management Console
  7. 7. ¿Por qué AWS Identity and Access Management (IAM)? Para que usted pueda controlar quién puede hacer qué en su cuenta AWS. Primitivas: - Usuarios, Grupos, Recursos, Acciones - Políticas, Roles Control: - Centralizado - Granular (APIs), Recursos, Acceso a AWS Management Console Seguridad: - Negación por defecto - Múltiples usuarios: Credenciales y permisos individuales
  8. 8. Mejores Prácticas
  9. 9. Mejores Prácticas • Gestión de usuarios y permisos • Gestión de credenciales • Delegación
  10. 10. Gestión de usuarios y permisos 0. Crear usuarios individuales. Ventajas • Credenciales únicas • Fácil rotación • Permisos individuales • Visibility into your user activity by recording AWS API calls to an Amazon S3 bucket
  11. 11. Gestión de usuarios y permisos 0. Crear usuarios individuales. 1. Menor privilegio (LP and NtK). Ventajas - Menor probabilidad de error humano - Abordaje restrictivo -> permisivo - Control más granular • Visibility into your user activity by recording AWS calls to an Amazon
  12. 12. Gestión de usuarios y permisos 0. Crear usuarios individuales. 1. Menor privilegio (LP and NtK). 2. Usar grupos para administrar privilegios. Ventajas - Asignar los mismos permisos a varios usuarios - Fácil reasignación de permisos - Centralización de cambios para múltiples usuarios
  13. 13. Gestión de usuarios y permisos 0. Crear usuarios individuales. 1. Menor privilegio (LP and NtK). 2. Usar grupos para administrar privilegios. 3. Usar ”Condiciones” para restricciones adicionales. Ventajas - Granularidad adicional - Disponible para cualquier API AWS - Reduce la posibilidad de ejecutar accidentalmente acciones privilegiadas
  14. 14. Gestión de usuarios y permisos 0. Crear usuarios individuales. 1. Menor privilegio (LP and NtK). 2. Usar grupos para administrar privilegios. 3. Usar ”Condiciones” para restricciones adicionales. 4. Habilitar AWS CloudTrail. Ventajas - Visibilidad de las actividades - Auditoria
  15. 15. Gestión de Credenciales 5. Definir una política fuerte de contraseñas. Ventajas - Dificulta la explotación de cuentas
  16. 16. Gestión de Credenciales 5. Definir una política fuerte de contraseñas. 6. Rotar regularmente las credenciales Ventajas - Dificulta la explotación de cuentas - Contiene el impacto de credenciales explotadas
  17. 17. Gestión de Credenciales 5. Definir una política fuerte de contraseñas. 6. Rotar regularmente las credenciales 7. Configurar MFA. Ventajas - Autenticación fuerte - Protección adicional para acciones privilegiadas
  18. 18. Delegación 8. Usar roles IAM para acceso compartido. Ventajas - No compartir credenciales - No almacenar credenciales de largo plazo - Varios casos de uso: - Acceso cross-account - Delegación intra-account - Federación
  19. 19. Delegación 8. Usar roles IAM para acceso compartido. 9. Usar roles IAM para instancias EC2. Ventajas - Fácil manejo de credenciales en instancias - Rotación automática - “Least privilege” a nivel de aplicación - Integrado con SDKs y CLI
  20. 20. Delegación 8. Usar roles IAM para acceso compartido. 9. Usar roles IAM para instancias EC2. 10. Elimine (o reduzca) el uso de root. Ventajas - Reduce la probabilidad de mala utilización de la cuenta - Reduce la probabilidad de explotación
  21. 21. Top 11 IAM best practices 0. Usuarios – Cree usuarios individuales. 1. Permisos – “Least Privilege”. 2. Grupos – Administre permisos con grupos. 3. Condiciones – Restrinja acceso privilegiado con condiciones. 4. Auditoria – Habilite AWS CloudTrail para registrar las llamadas. 5. Contraseñas – Configure una política fuerte. 6. Rotación – Rote regularmente las credenciales de seguridad. 7. MFA – Habilite MFA para usuarios privilegiados. 8. Accesso compartido– Use roles IAM para compartir accesos. 9. Roles – Use roles IAM para instancias Amazon EC2. 10. Root – Elimine (o reduzca) el uso de root.
  22. 22. Dilemas (O, ¿Cuándo debo usar <xyz>?
  23. 23. Usuario IAM Usuario Federado ¿ Usuario IAM ó Usuario Federado ?
  24. 24. ¿ Usuario IAM ó Usuario Federado ? • Depende del lugar donde está el repositorio de autenticación – On-premises → Usuarios federados (roles IAM) – Cuenta AWS → Usuarios IAM
  25. 25. ¿ Usuario IAM ó Usuario Federado ? • Depende del lugar donde está el repositorio de autenticación – On-premises → Usuarios federados (roles IAM) – Cuenta AWS → Usuarios IAM • Otros casos de uso: – Delegar acceso a su cuenta → Usuarios federados (roles IAM) – Acceso de aplicación móvil → SIEMPRE usuarios federados
  26. 26. ¿ Usuario IAM ó Usuario Federado ? • Depende del lugar donde está el repositorio de autenticación – On-premises → Usuarios federados (roles IAM) – Cuenta AWS → Usuarios IAM • Otros casos de uso: – Delegar acceso a su cuenta → Usuarios federados (roles IAM) – Acceso de aplicación móvil → SIEMPRE usuarios federados IMPORTANTE: Nunca comparta credenciales.
  27. 27. prod@ejemplo.com Acct ID: 999999999999test@ejemplo.com Acct ID: 111111111111 ¿ Cómo funciona el acceso federado ? Usuario IAM user: mauricio STS
  28. 28. prod@ejemplo.com Acct ID: 999999999999 role-ddb test@ejemplo.com Acct ID: 111111111111 ¿ Cómo funciona el acceso federado ? Usuario IAM user: mauricio STS
  29. 29. prod@ejemplo.com Acct ID: 999999999999 role-ddb test@ejemplo.com Acct ID: 111111111111 { "Statement": [ { "Effect":"Allow", "Principal":{"AWS":"111111111111"}, "Action":"sts:AssumeRole" }]} ¿ Cómo funciona el acceso federado ? role-ddb confía en los usuarios IAM de la cuenta test@ejemplo.com (111111111111) Usuario IAM user: mauricio STS
  30. 30. prod@ejemplo.com Acct ID: 999999999999 role-ddb { "Statement": [ { "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:DescribeTable", "dynamodb:ListTables" ], "Effect": "Allow", "Resource": "*“ }]} test@ejemplo.com Acct ID: 111111111111 { "Statement": [ { "Effect":"Allow", "Principal":{"AWS":"111111111111"}, "Action":"sts:AssumeRole" }]} ¿ Cómo funciona el acceso federado ? role-ddb confía en los usuarios IAM de la cuenta test@ejemplo.com (111111111111) Usuario IAM user: mauricio Permisos definidos para role-ddb STS
  31. 31. prod@ejemplo.com Acct ID: 999999999999 role-ddb { "Statement": [ { "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:DescribeTable", "dynamodb:ListTables" ], "Effect": "Allow", "Resource": "*“ }]} test@ejemplo.com Acct ID: 111111111111 { "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::999999999999:role/ddb-role" }]} { "Statement": [ { "Effect":"Allow", "Principal":{"AWS":"111111111111"}, "Action":"sts:AssumeRole" }]} ¿ Cómo funciona el acceso federado ? role-ddb confía en los usuarios IAM de la cuenta test@ejemplo.com (111111111111) Permisos asignados a mauricio, permitiéndole asumir el role-ddb en la cuenta 999999999999 Usuario IAM user: mauricio Permisos definidos para role-ddb STS
  32. 32. prod@ejemplo.com Acct ID: 999999999999 role-ddb { "Statement": [ { "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:DescribeTable", "dynamodb:ListTables" ], "Effect": "Allow", "Resource": "*“ }]} test@ejemplo.com Acct ID: 111111111111 Autentica con las credenciales de mauricio { "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::999999999999:role/ddb-role" }]} { "Statement": [ { "Effect":"Allow", "Principal":{"AWS":"111111111111"}, "Action":"sts:AssumeRole" }]} ¿ Cómo funciona el acceso federado ? role-ddb confía en los usuarios IAM de la cuenta test@ejemplo.com (111111111111) Usuario IAM user: mauricio Permisos definidos para role-ddb STS Permisos asignados a mauricio, permitiéndole asumir el role-ddb en la cuenta 999999999999
  33. 33. prod@ejemplo.com Acct ID: 999999999999 role-ddb { "Statement": [ { "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:DescribeTable", "dynamodb:ListTables" ], "Effect": "Allow", "Resource": "*“ }]} test@ejemplo.com Acct ID: 111111111111 Autentica con las credenciales de mauricio Obtiene credenciales temporales para role-ddb { "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::999999999999:role/ddb-role" }]} { "Statement": [ { "Effect":"Allow", "Principal":{"AWS":"111111111111"}, "Action":"sts:AssumeRole" }]} ¿ Cómo funciona el acceso federado ? role-ddb confía en los usuarios IAM de la cuenta test@ejemplo.com (111111111111) Usuario IAM user: mauricio Permisos definidos para role-ddb STS Permisos asignados a mauricio, permitiéndole asumir el role-ddb en la cuenta 999999999999
  34. 34. prod@ejemplo.com Acct ID: 999999999999 role-ddb { "Statement": [ { "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:DescribeTable", "dynamodb:ListTables" ], "Effect": "Allow", "Resource": "*“ }]} test@ejemplo.com Acct ID: 111111111111 Autentica con las credenciales de mauricio Obtiene credenciales temporales para role-ddb Llama la API AWS, usando las credenciales temporales de role- ddb { "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::999999999999:role/ddb-role" }]} { "Statement": [ { "Effect":"Allow", "Principal":{"AWS":"111111111111"}, "Action":"sts:AssumeRole" }]} ¿ Cómo funciona el acceso federado ? role-ddb confía en los usuarios IAM de la cuenta test@ejemplo.com (111111111111) Usuario IAM user: mauricio Permisos definidos para role-ddb STS Permisos asignados a mauricio, permitiéndole asumir el role-ddb en la cuenta 999999999999
  35. 35. ¿ Access Keys ó Contraseñas? AWS Access Keys Contraseñas
  36. 36. ¿ Access Keys ó Contraseñas? • Depende de cómo los usuarios accederán a AWS – AWS Management Console → Contraseña – API, CLI, SDK → Access keys
  37. 37. ¿ Access Keys ó Contraseñas? • Depende de cómo los usuarios accederán a AWS – AWS Management Console → Contraseña – API, CLI, SDK → Access keys • En cualquier caso, verifique la rotación periódica de credenciales – Use el reporte “Credential Report” para auditar la rotación. – Configure política de contraseñas. – Configure la política de usuario para permitir la rotación.
  38. 38. Política de ejemplo para permitir la rotación de llaves (Usuario IAM) Política IAM { "Version":"2012-10-17", "Statement":[ ]}
  39. 39. Política de ejemplo para permitir la rotación de llaves (Usuario IAM) Política IAM { "Version":"2012-10-17", "Statement": [{ "Effect": " ", "Action": [ ], "Resource": }]}
  40. 40. Política de ejemplo para permitir la rotación de llaves (Usuario IAM) Política IAM { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ ], "Resource": }]}
  41. 41. Política de ejemplo para permitir la rotación de llaves (Usuario IAM) Política IAM { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:DeleteAccessKey", "iam:ListAccessKeys", "iam:UpdateAccessKey"], "Resource": }]}
  42. 42. Política de ejemplo para permitir la rotación de llaves (Usuario IAM) Política IAM { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:DeleteAccessKey", "iam:ListAccessKeys", "iam:UpdateAccessKey"], "Resource": "arn:aws:iam::123456789012: user/${aws:username}" }]}
  43. 43. Políticas: ¿ Inline o Managed ? Políticas Inline Managed Policies
  44. 44. Políticas: ¿ Inline o Managed ? Depende de qué tan “personal” quiera hacerse la política. • Use Políticas Inline cuando necesite: • Una relación estricta uno-a-uno entre la política y el principal. • Evitar que la política sea asignada de forma errónea. • Eliminar la política cuando se borra el principal.
  45. 45. Políticas: ¿ Inline o Managed ? Depende de qué tan “personal” quiera hacerse la política. • Use Políticas Inline cuando necesite: • Una relación estricta uno-a-uno entre la política y el principal • Evitar que la política sea asignada de forma errónea • Eliminar la política cuando se borra el principal • Use Políticas Managed cuando necesite: • Reutilización. • Gestión de cambios centralizada. • Versionamiento y Rollback. • Delegación de gestión de permisos. • Actualizaciones automáticas para políticas AWS. • Tamaños mayores de políticas.
  46. 46. ¿ Grupos o Managed Policies? GRUPOS Managed Policies
  47. 47. • Ofrecen beneficios parecidos – Asignar los mismos permisos a varios usuarios. – Gerenciamiento centralizado de permisos. – Actualizaciones cubren múltiples usuarios. ¿ Grupos o Managed Policies?
  48. 48. • Ofrecen beneficios parecidos – Asignar los mismos permisos a varios usuarios. – Gerenciamiento centralizado de permisos. – Actualizaciones cubren múltiples usuarios. • Use grupos cuando necesite: – Gerenciar usuarios …. ¿ Grupos o Managed Policies? agrupados.
  49. 49. • Ofrecen beneficios parecidos – Asignar los mismos permisos a varios usuarios. – Gerenciamiento centralizado de permisos. – Actualizaciones cubren múltiples usuarios. • Use grupos cuando necesite: – Gerenciar usuarios …. agrupados. • Use Managed Policies cuando necesite: – Asignar la misma política a usuarios, grupos o roles. ¿ Grupos o Managed Policies?
  50. 50. Recomendación: Combine grupos Y Managed Policies • Use grupos para organizar sus usuarios • Asigne los permisos a los grupos usando Managed Policies
  51. 51. Recomendación: Combine grupos Y Managed Policies • Use grupos para organizar sus usuarios • Asigne los permisos a los grupos usando Managed Policies • Sugerencia: Cree Managed Policies separadas, con permisos específicos para una situación, servicio o proyecto y asigne varias políticas a cada grupo.
  52. 52. Demo
  53. 53. Basado en recursos Basado en Tags Políticas: ¿ Basadas en Recursos o en Tags?
  54. 54. • Use políticas basadas en recursos cuando necesite: • Controlar acceso a un recurso específico. • Controlar acceso a la mayoría de recursos AWS. Políticas: ¿ Basadas en Recursos o en Tags?
  55. 55. • Use políticas basadas en recursos cuando necesite: • Controlar acceso a un recurso específico. • Controlar acceso a la mayoría de recursos AWS. • Use políticas basadas en Tags cuando necesite: • Tratar recursos como una unidad (p.ej: un proyecto). • Aplicar permisos automáticamente al crear los recursos. Políticas: ¿ Basadas en Recursos o en Tags?
  56. 56. • Use políticas basadas en recursos cuando necesite: • Controlar acceso a un recurso específico. • Controlar acceso a la mayoría de recursos AWS. • Use políticas basadas en Tags cuando necesite: • Tratar recursos como una unidad (p.ej: un proyecto). • Aplicar permisos automáticamente al crear los recursos. Nota: Estos servicios actualmente soportan políticas de control basadas en Tags: AWS CloudFormation, AWS Elastic Beanstalk, Amazon EC2 (Incluidos EBS), Amazon EMR, Amazon ElastiCache, Amazon Glacier, Amazon Kinesis, Amazon VPC, Amazon RDS, Amazon Redshift, Amazon Route 53 y Amazon S3 http://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/supported-resources.html Políticas: ¿ Basadas en Recursos o en Tags?
  57. 57. ¿ Cómo funciona el control de acceso basado en Tags? { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/Project" : ”Barcelona" } } } ] } Privilegios asignados a Messi, dándole permiso de ejecutar cualquier acción EC2 en recursos marcados con el Tag: Proyecto=Barcelona IAM user: Messi
  58. 58. ¿ Cómo funciona el control de acceso basado en Tags? { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/Project" : ”Barcelona" } } } ] } Privilegios asignados a Messi, dándole permiso de ejecutar cualquier acción EC2 en recursos marcados con el Tag: Proyecto=Barcelona IAM user: Messi i-a1234r12 Proyecto=Barcelona
  59. 59. ¿ Cómo funciona el control de acceso basado en Tags? { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/Project" : ”Barcelona" } } } ] } Privilegios asignados a Messi, dándole permiso de ejecutar cualquier acción EC2 en recursos marcados con el Tag: Proyecto=Barcelona IAM user: Messi i-a1234r12 Proyecto=Barcelona
  60. 60. ¿ Cómo funciona el control de acceso basado en Tags? { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/Project" : ”Barcelona" } } } ] } Privilegios asignados a Messi, dándole permiso de ejecutar cualquier acción EC2 en recursos marcados con el Tag: Proyecto=Barcelona IAM user: Messi i-a1234r12 i-a4321r12 Proyecto=Barcelona Proyecto=Barcelona
  61. 61. ¿ Cómo funciona el control de acceso basado en Tags? { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/Project" : ”Barcelona" } } } ] } Privilegios asignados a Messi, dándole permiso de ejecutar cualquier acción EC2 en recursos marcados con el Tag: Proyecto=Barcelona IAM user: Messi i-a1234r12 i-a4321r12 Proyecto=Barcelona
  62. 62. ¿ Cómo funciona el control de acceso basado en Tags? { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/Project" : ”Barcelona" } } } ] } Privilegios asignados a Messi, dándole permiso de ejecutar cualquier acción EC2 en recursos marcados con el Tag: Proyecto=Barcelona IAM user: Messi i-a1234r12 i-a4321r12 Proyecto=Barcelona
  63. 63. ¿ Cómo funciona el control de acceso basado en Tags? { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/Project" : ”Barcelona" } } } ] } Privilegios asignados a Messi, dándole permiso de ejecutar cualquier acción EC2 en recursos marcados con el Tag: Proyecto=Barcelona IAM user: Messi i-a1234r12 i-a4321r12 Proyecto=Barcelona i-a4321b12 Proyecto=Real
  64. 64. ¿ Cómo funciona el control de acceso basado en Tags? { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/Project" : ”Barcelona" } } } ] } Privilegios asignados a Messi, dándole permiso de ejecutar cualquier acción EC2 en recursos marcados con el Tag: Proyecto=Barcelona IAM user: Messi i-a1234r12 i-a4321r12 Proyecto=Barcelona i-a4321b12 Proyecto=Real
  65. 65. Demo
  66. 66. Única cuenta Varias cuentas ¿ Una única cuenta AWS o varias?
  67. 67. ¿ Una única cuenta AWS o varias? Use una única cuenta AWS cuando: • Quiera simplificar el control de quién hace qué en su ambiente AWS. • No haya necesidad de aislar proyectos/productos/equipos. • No tenga necesidad de separar costos.
  68. 68. ¿ Una única cuenta AWS o varias? Use una única cuenta AWS cuando: • Quiera simplificar el control de quién hace qué en su ambiente AWS. • No haya necesidad de aislar proyectos/productos/equipos. • No tenga necesidad de separar costos. Use múltiples cuentas AWS cuando: • Necesite aislar completamente proyectos/equipos/ambientes. • Requiera aislar información de auditoria o de recuperación (p. ej: enviar logs de auditoria (CloudTrail) a una cuenta diferente). • Requiera una cuenta única, pero con costos y utilización discriminada.
  69. 69. Acceso Cross-Account usando roles IAM todo@moda.com Acct ID: 111111111111 terra@moda.com Acct ID: 333333333333 eco@moda.com Acct ID: 222222222222 IAM user: Armando
  70. 70. Acceso Cross-Account usando roles IAM todo@moda.com Acct ID: 111111111111 terra@moda.com Acct ID: 333333333333 eco@moda.com Acct ID: 222222222222 IAM user: Armando
  71. 71. Acceso Cross-Account usando roles IAM todo@moda.com Acct ID: 111111111111 terra@moda.com Acct ID: 333333333333 eco@moda.com Acct ID: 222222222222 IAM user: Armando
  72. 72. Acceso Cross-Account usando roles IAM todo@moda.com Acct ID: 111111111111 terra@moda.com Acct ID: 333333333333 eco@moda.com Acct ID: 222222222222 IAM user: Armando
  73. 73. Acceso Cross-Account usando roles IAM todo@moda.com Acct ID: 111111111111 terra@moda.com Acct ID: 333333333333 eco@moda.com Acct ID: 222222222222 IAM user: Armando
  74. 74. Acceso Cross-Account usando roles IAM todo@moda.com Acct ID: 111111111111 terra@moda.com Acct ID: 333333333333 eco@moda.com Acct ID: 222222222222 IAM user: Armando
  75. 75. Acceso Cross-Account usando roles IAM todo@moda.com Acct ID: 111111111111 terra@moda.com Acct ID: 333333333333 eco@moda.com Acct ID: 222222222222 IAM user: Armando
  76. 76. Acceso Cross-Account usando roles IAM External identity provider otro@moda.com Acct ID: 444444444444 todo@moda.com Acct ID: 111111111111 terra@moda.com Acct ID: 333333333333 eco@moda.com Acct ID: 222222222222 IAM user: Armando IAM user: Betty
  77. 77. Acceso Cross-Account usando roles IAM External identity provider otro@moda.com Acct ID: 444444444444 todo@moda.com Acct ID: 111111111111 terra@moda.com Acct ID: 333333333333 eco@moda.com Acct ID: 222222222222 IAM user: Armando IAM user: Betty
  78. 78. Demo
  79. 79. Extendiendo las funcionalidades de Seguridad en AWS: Trend Micro
  80. 80. ¿Qué buscan los cibercriminales en tú nube? Juan Pablo Castro – Director de Innovación Tecnológica
  81. 81. Copyright 2016 Trend Micro Inc.84 Retos de seguridad en la nube Agilidad Regulaciones, normatividad y cumplimiento Modelo de Negocio Visibilidad
  82. 82. Aplicar actualizaciones y parches de seguridad Alertamiento de cambios no autorizados en los servidores Inventario de aplicaiones y sistemas vulnerables Firewall IPS Anti-Malware Proteger vulnerabilidades conocidas y desconocidas Protección de aplicaciones Web (SQLi & XSS) Alertamiento de accesos y eventos sospechosos OPS INF SEG SEG
  83. 83. Aplicar actualizaciones y parches de seguridad Alertamiento de cambios no autorizados en los servidores Inventario de aplicaiones y sistemas vulnerables Firewall IPS Anti-Malware Proteger vulnerabilidades conocidas y desconocidas Protección de aplicaciones Web (SQLi & XSS) Alertamiento de accesos y eventos sospechosos OPS INF SEG SEG ? ? ? ? ? ? ? ? ?
  84. 84. Aplicar actualizaciones y parches de seguridad Alertamiento de cambios no autorizados en los servidores Inventario de aplicaiones y sistemas vulnerables Firewall IPS Anti-Malware Proteger vulnerabilidades conocidas y desconocidas Protección de aplicaciones Web (SQLi & XSS) Alertamiento de accesos y eventos sospechosos ? ? ? ? ? ? ? ? ?
  85. 85. Fuente: CVE Details cvedetail.com 252 246 894 1020 1667 2156 1526 2450 4934 6610 6520 5632 5736 4651 4155 5297 5191 7946 6412 2211 0 10000 20000 30000 40000 50000 60000 70000 80000 0 1000 2000 3000 4000 5000 6000 7000 8000 Acumuladodevulnerabilidades Vulnerabilidadespúblicasporaño Acumulado Anual # Vendor Vulns 1 Apple 654 2 Microsoft 571 3 Linux - Open Source 534 4 Cisco 488 5 Oracle 479 6 Adobe 460 7 Google 323 8 IBM 314 9 Mozilla 188 10 Canonical 153 2015 - Top 15 Vendors
  86. 86. Copyright 2016 Trend Micro Inc.106 Ransomware para servidores Protección multicapas para ataques de Ransomware avanzado Nuevos ataques como (ex: SAMSAM) se focalizan en servidores vulnerables o sin actualizaciones al día para secuestrar la información y exigir un rescate a cambio.
  87. 87. Copyright 2016 Trend Micro Inc.107 Best Practices for Securing AWS Workloads* Understand Your Shared Responsibilities Get Visibility of Cloud-based Workloads Bake Security Into Workloads from Development Adopt a "No Patch" Strategy for Live Environments Use AWS Security Groups but Leverage a Third-Party Firewall for Advanced Functionality Adopt a Workload-Centric Security Strategy* Source: Gartner research note – Best practices for securing workloads in Amazon Web Services, April 2015
  88. 88. Todo en una única herramienta a nivel de host Deep Security le permite
  89. 89. Blindar Aplicaciones y Sistemas Operativos con Parches Virtuales Alertamiento de cambios no autorizados en los servidores Inventario de aplicaiones y sistemas vulnerables diariamente Host Firewall Host IPS Anti-Malware Proteger vulnerabilidades conocidas y desconocidas Protección de aplicaciones Web (SQLi & XSS) Alertamiento de accesos y eventos sospechosos
  90. 90. Flexibilidad en el modelo de compra con AWS AWS Marketplace Software En el ambiente híbridoEn la factura de AWS Software as a Service Menos trabajo
  91. 91. aws.trendmicro.com
  92. 92. ¿ Qué vimos hoy? 1. Top 10 de mejores prácticas. 2. Usuario IAM vs. Usuario Federado. 3. Access keys vs. Contraseñas. 4. Políticas Inline vs. managed policies. 5. Grupos vs. managed policies. 6. Políticas basadas en recursos vs. Políticas basadas en Tags. 7. Una única cuenta AWS vs. varias cuentas AWS. 8. Como TrendMicro nos ayuda a extender funcionalidades de seguridad. X 11
  93. 93. ¡Gracias!

×