AWS es el servicio de infraestructura en la nube de Amazon. Un negocio que viene creciendo a un vertiginoso ritmo de 49% interanual. Los esfuerzos de la corporación en garantizar la integridad y protección de los datos han hecho la diferencia.
Amazon Web Services, según los reportes financieros de Amazon, cerró el segundo trimestre de 2018 con una facturación de 6.105 millones de dólares en servicios demandados por más de un millòn de usuarios corporativos, lo que supone para la comparación un crecimiento interanual de 49%.
Con un diverso portafolio de capacidades de cómputo, almacenamiento de datos, y aplicaciones críticas como servicios, este veloz crecimiento del negocio para AWS ha implicado grandes inversiones en protección de datos y seguridad.
Amazon Web Services, modelo de responsabilidad compartida
AWS aborda la protección de los datos en una práctica de responsabilidad compartida con las empresas usuarias de los servicios. Esto sigifica que cuando un cliente migra una infraestructura de TI a la nube, adopta el modelo de responsabilidad compartida que reduce la carga operativa para el susuario quien cede a AWS parte de la carga de administración y control de las capas de componentes de TI desde el sistema operativo host y la capa de virtualización hasta la seguridad física de las instalaciones en las que funcionan los servicios.
Así las cosas, AWS es responsable de la seguridad de la nube y el cliente es responsable de la seguridad en la nube. Bajo el modelo se comparte la responsabilidad del funcionamiento del entorno de TI, la administración, el funcionamiento y la verificación de los controles de TI.
A partir de este modelo, existen una decena de servicios claves en la seguridad de la infraestructura que AWS ofrece:
1. AWS Confi.
Para empezar, este es un servicio completamente administrado que le suministra al usuario un inventario de los recursos de AWS, un historial de configuración y notificaciones de modificaciones de configuració para facilitar la conformidad normativa y la seguridad.
Con AWS Config, puede detectar recursos de AWS existentes y eliminados, determinar su nivel de conformidad general en relación con las reglas y analizar los detalles de configuración de un recurso en cualquier momento. AWS Config permite realizar auditorías de conformidad y análisis de seguridad, hacer un seguimiento de los cambios en los recursos y resolver problemas.
2. AWS Service Catalog.
Se puede usar AWS Service Catalog para crear y administrar catálogos de servicios de TI que ha aprobado para usar en AWS, incluidas imágenes de máquinas virtuales, servidores, software y bases de datos para completar arquitecturas de aplicaciones con varios niveles.
AWS Service Catalog permite administrar de manera centralizada servicios de TI comúnmente implementados y lo ayuda a lograr una gestión coherente para cumplir requisitos de conformidad, al mismo tiempo que permite a los usuarios implementar rápidamente los servicios de TI aprobados que necesitan.
3. Amazon GuardDuty.
Este serviciio incluye características de detección de amenazas y monitoreo de seguridad continuo para comportamientos malintencionados o no autorizados que lo ayudan a proteger sus cuentas y cargas de trabajo de AWS. El servicio monitorea la actividad que indica posibles cuentas o instancias en peligro, reconocimiento por parte de atacantes o propiedad intelectual, y monitorea continuamente la actividad de acceso a los datos a fin de detectar anomalías que pudieran representar accesos no autorizados aislados o filtraciones de datos accidentales.
4. AWS CloudHSM.
El servicio AWS CloudHSM le permite proteger claves de cifrado dentro de módulos de seguridad de hardware (HSM) diseñados y validados de acuerdo con estándares gubernamentales para lograr una administración de claves segura. Puede generar, almacenar y administrar de manera segura las claves criptográficas utilizadas para el cifrado de datos, de manera tal que solo usted pueda obtener acceso a ellas.
5. Cifrado del lado del servidor.
Del mismo modo, se puede usar el cifrado del lado del servidor (SSE) de Amazon S3 si prefiere que Amazon S3 administre el proceso de cifrado por el usuario. Los datos se cifran con una clave generada por AWS o con una clave que usted suministra, de acuerdo con sus requisitos.
Con el SSE de Amazon S3, puede cifrar datos durante la carga simplemente mediante la incorporación de un encabezad de solicitud adicional al grabar el objeto. El descifrado ocurr automáticamente cuando los datos se recuperan.
6. AWS Identity and Access Management.
Así pues, Identity and Access Management (IAM) le permite administrar el acceso a los servicios y recursos de AWS de manera segura. Mediante el uso de IAM, sus administradores pueden crear y administrar usuarios y grupos de AWS, y usar permisos para conceder y denegar su acceso a los recursos de AWS. La federación permite que las funciones de IAM se asignen a permisos a partir de servicios de directorio central.
7. Amazon Macie.
Este servicio usa aprendizaje automático para detectar, clasifica y proteger información confidencial de manera automática. Macie reconoce información confidencial como la información de identificación personal (PII) o la propiedad intelectual. Y monitorea continuamente la actividad de acceso a los datos para detectar anomalías que pudieran ser accesos no autorizados aislados o filtraciones de datos accidentales.
8. AWS Directory Service para Microsoft Active Directory.
AWS Microsoft AD facilita la configuración y ejecución de Microsoft Active Directory en la nube de AWS. Así como la conexión de sus recursos de AWS con un Microsoft Active Directory local existente.
9. Acceso de usuarios federados.
Los usuarios federados son usuarios (o aplicaciones) que no tienen cuentas de AWS. Con funciones, puede otorgarles acceso a sus recursos de AWS durante un período limitado. Esta posibilidad es útil si tiene usuarios ajenos a AWS que puede autenticar con un servicio externo, como Microsoft Active Directory, LDAP o Kerberos.
10. AWS CloudTrail.
Finalmente, AWS CloudTrail registra las llamadas a las API de AWS y entrega archivos de log. Los cuales, incluyen la identidad del responsable, la dirección IP de origen, los parámetros de la solicitud y los elementos de la respuesta. Puede usar el historial de llamadas que CloudTrail suministra para poder realizar análisis de seguridad, seguimientos de modificaciones en recursos y auditorías de conformidad.