2. Movimiento hacia una infraestrucura de
cómputo auto-provisionada, escalable y
dinámica. Eliminar los silos de cómputo y las
restricciones sobre donde puede correr una
carga de trabajo
Evolución del Centro de Datos
Nube Pública!
(IaaS, PaaS)!
Software as a Service!
(SaaS)!
Private Cloud!
(SDN, NSX, ACI)!
3. Lineamiento Común en los Incidentes de Pérdida de Datos
El mismo Ciclo de Vida se sigue a través de tanto redes físicas como virtuales
SPEAR
PHISHING EMAIL
EXPLOIT
KIT
or
INFECTAR
AL USUARIO
MOVERSE A TRAVES
DE LA RED
INFECTAR EL
CENTRO DE DATOS
COMANDOS DEL
ADVERSARIO
ROBO DE
DATOS
$
CONSTRUIR
BOTNETS
COSECHAR
BITCOINS
5. Seguridad: Una Responsabilidad Compartida
AWS Foundation Services
Cómputo Almacenamiento
Base de
Datos
Redes
AWS Global
Infrastructure Regiones
Zonas de Disponibilidad Ubicaciones de
Edge
Administración de
Encryption Keys
Encripción
Cliente & Servidor
Protección del
Tráfico de Red
Plataforma, Aplicaciones, (Administración) Identidad & Acceso
Sistema Operativo, Configuración de Red & Firewall
Contenido del Cliente
Los Clientes son
responsables por su
seguridad EN la Nube
AWS es responsable
por la seguridad de la
Plataforma
8. Plataforma de Seguridad de Siguiente Generación para AWS
§ Reunir amenazas potenciales de la red
y los end points
§ Análisis y Correlación de Inteligencia
Contra Amenazas
§ Disemina la inteligencia contra
amenazas a la red y los end points
Nube de Inteligencia contra amenazas
§ Identificar e Inspeccionar todo el tráfico
§ Bloquear amenazas conocidas
§ Enviar los desconocido a la nube
§ Extender los servicios a los ambientes
móviles y redes virtuales
Firewall de Siguiente Generación
§ Inspeccionar todos los procesos y
archivos
§ Prevenir exploits tanto conocidos como
descnonocidos
§ Integració con la nube para prevenir
malware (conocido & desconocido)
Protección Avanzada para End Point
9. NGFW como un Gateway de AWS
§ VMs y datos (VPCs) protegidos
por políticas de listas blancas
§ Tráfico de VPC-a-VPC se
protégé de malware
§ El tráfico de subred-a-subred
también es controlado y
protegido
§ Acceso a usuarios basado en
necesidad/credenciales
Habilitar y Proteger Aplicaciones en AWS
AZ2c
DB VPC
DB1
DB2
AZ1b
Web VPC
Web1
Web2
Subred1
Subredt2
Subred1
Subred2
10. Prevención en todas las fases del ataque
AZ1b
Web
1
DB1
Subnet1
Subnet2
Uso de Exploit
Firewall de Siguiente
Generación
Prevención de Amenazas
(Bloqueo de Amenazas
Conocidas)
Execute Malware
WildFire
(Bloqueo de Amenazas
Desconocidas)
Prevención de Amenazas
(Anti-Malware)
Prevención de Amenazas
(Prevenir C&C)
Controlar el Canal
Prevención de Amenazas
(Bloqueo de Movimiento
Lateral)
Prevención de Amenazas
(Prevenir C&C)
Steal Data
Bloqueo de Archivos y
Exfiltrado de Datos
14. Híbrida: extender su
Centro de Datos a AWS
Segmentación: Separar
Aplicaciones y Datos para
Compliance de Seguridad
Escenarios de Deployment
Gateway: Protección
contra amenazas de
internet
GlobalProtect:
Consistencia en
Políticas para la nube,
la red y sus dispositivos
15. Caso de Uso: Nube Híbrida
IPSec VPNDC-FW1
DC-FW2
AZ1cAZ1b
Web1-01
Web1-02
Web2-01
Web2-02
16. Caso de Uso: Aplicaciones de cara a Internet
AZ1b
Web
1
DB1
Subnet1
Subnet2
17. Caso de Uso: Protección de Subredes, Inter-VPC
AZ2c
DB VPC
DB1
DB2
AZ1b
Web VPC
Web
1
Web2
Subnet1
Subnet2
Subnet1
Subnet2