Perspectiva de seguridad: cumplimiento y garantía
La perspectiva de seguridad ayuda a lograr la confidencialidad, la integridad y la disponibilidad de los datos y las cargas de trabajo en la nube. Engloba nueve capacidades que se muestran en la siguiente ilustración. Las partes interesadas comunes son el CISO, el CCO, los responsables de auditoría interna y los arquitectos e ingenieros de seguridad.
Capacidades de la perspectiva de seguridad de AWS CAF
-
Gobernanza de la seguridad: desarrolle, mantenga y comunique de manera efectiva los roles, las responsabilidades, las políticas, los procesos y los procedimientos de seguridad. Garantizar líneas de responsabilidad claras es fundamental para que el programa de seguridad sea eficaz. Comprender los recursos, los riesgos de seguridad y los requisitos de cumplimiento
que se aplican en su sector o en la organización permiten priorizar los esfuerzos de seguridad . Proporcionar orientación y asesoramiento continuos ayudará a acelerar su transformación al permitir que sus equipos se muevan más rápido. Debe ser consciente de su responsabilidad en cuanto a la seguridad en la nube
. Inventarie, categorice y priorice las partes interesadas, los recursos y los intercambios de información relevantes. Identifique las leyes, las normas, las regulaciones y los estándares/marcos que se aplican a su sector y a su organización. Realice una evaluación de riesgos anual de su organización. Las evaluaciones de riesgos pueden ayudar a determinar la probabilidad y el impacto de los riesgos y las vulnerabilidades identificadas que afectan a su organización. Asigne recursos suficientes a los roles y las responsabilidades de seguridad identificadas. Desarrolle políticas, procesos, procedimientos y controles de seguridad en línea con sus requisitos de cumplimiento y la tolerancia al riesgo organizativa; actualice continuamente en función de los riesgos y los requisitos en evolución. -
Garantía de seguridad: supervise, evalúe, administre y mejore continuamente la eficacia de sus programas de seguridad y privacidad. Su organización, y los clientes a los que presta servicios, necesitan confiar en que los controles que ha implementado le permitirán cumplir con los requisitos reglamentarios y gestionar de manera efectiva y eficiente los riesgos de seguridad y privacidad en línea con los objetivos de su empresa y la tolerancia al riesgo.
Documente los controles en un marco de control
integral y establezca controles de seguridad y de privacidad demostrables que cumplan con esos objetivos. Revise los informes de auditoría , las certificaciones o las acreditaciones de cumplimiento que ha recibido su proveedor de la nube para entender mejor los controles que tienen implementados, cómo se validaron dichos controles y que los controles en su entorno de TI extendido operen con eficacia. Supervise y evalúe continuamente su entorno para verificar la efectividad operativa de sus controles y demostrar que se cumplen las regulaciones y los estándares del sector. Revise las políticas, los procesos, los procedimientos, los controles y los registros de seguridad, y entreviste al personal clave según sea necesario.
-
Administración de identidades y permisos: administre identidades y permisos a escala. Puede crear identidades en AWS o conectar su fuente de identidades y, a continuación, conceder a los usuarios los permisos necesarios para que puedan iniciar sesión, acceder, aprovisionar u orquestar los recursos de AWS y las aplicaciones integradas. La administración eficaz de identidades y accesos ayuda a validar que las personas y los equipos adecuados tengan acceso a los recursos correctos en las condiciones adecuadas.
AWS Well Architected Framework describe conceptos, principios de diseño y prácticas recomendadas de arquitectura relevantes para administrar identidades
. Estas incluyen: confiar en un proveedor de identidad centralizado; aprovechar los grupos de usuarios y los atributos para un acceso detallado a escala y credenciales temporales; y utilizar mecanismos de inicio de sesión sólidos, como la autenticación multifactor (MFA). Para controlar el acceso de identidades humanas y de máquinas a AWS y a sus cargas de trabajo, debe establecer permisos para realizar acciones de servicio específicas con recursos específicos en condiciones específicas; use el principio de privilegios mínimos, establezca límites de permisos y use políticas de control de servicios para que las entidades correctas pueden acceder a los recursos correctos a medida que su entorno y la base de usuarios crecen; conceda permisos basados en atributos (ABAC) para que sus políticas puedan escalar; y valide continuamente que sus políticas brinden la protección que necesita. -
Detección de amenazas: comprenda e identifique posibles errores de configuración de seguridad, amenazas o comportamientos inesperados. Una mejor comprensión de las amenazas de seguridad le permitirá priorizar los controles de protección. La detección eficaz de amenazas permite responder a las amenazas más rápido y aprender de los eventos de seguridad. Acuerde los objetivos de inteligencia táctica, operativa y estratégica y la metodología general. Consulte los orígenes de datos relevantes, procese y analice datos, y difunda e instrumentalice la información.
Implemente la supervisión
de manera ubicua dentro del entorno para recopilar información esencial y en ubicaciones ad hoc para rastrear tipos específicos de transacciones. Correlacione los datos de supervisión de múltiples orígenes de eventos, incluido el tráfico de red, los sistemas operativos, las aplicaciones, las bases de datos y los dispositivos de punto de conexión para proporcionar una posición de seguridad sólida y mejorar la visibilidad. Considere aprovechar la tecnología de engaño (por ejemplo, señuelos) para comprender los patrones de comportamiento de los usuarios no autorizados. -
Gestión de vulnerabilidades: identifique, clasifique, corrija y mitigue continuamente las vulnerabilidades de seguridad. Las vulnerabilidades también pueden aparecer al realizar cambios en los sistemas existentes o al añadir sistemas nuevos. Realice análisis
periódicos en busca de vulnerabilidades para ayudar a protegerse de las nuevas amenazas. Emplee analizadores de vulnerabilidades y agentes de punto de conexión para asociar los sistemas con vulnerabilidades conocidas. Priorice las acciones de corrección en función del riesgo de vulnerabilidad. Aplique medidas de corrección e informe a las partes interesadas relevantes. Saque partido del equipo rojo y las pruebas de penetración para identificar vulnerabilidades en la arquitectura de su sistema; solicite la autorización previa de su proveedor de nube según sea necesario. -
Protección de la infraestructura: valide que los sistemas y servicios de la carga de trabajo estén protegidos frente a accesos no intencionados ni autorizados y posibles vulnerabilidades. Proteger su infraestructura del acceso no intencionado y no autorizado y de posibles vulnerabilidades permite elevar su posición de seguridad en la nube. Aproveche la defensa en profundidad para aplicar una serie de mecanismos defensivos destinados a proteger los datos y los sistemas.
Cree capas de red y coloque cargas de trabajo sin requisitos de acceso a Internet en subredes privadas. Use grupos de seguridad, listas de control de acceso a la red y firewalls de red
para controlar el tráfico. Aplique el concepto de Zero Trust a los sistemas y datos de acuerdo con su valor. Aproveche los puntos de conexión de la nube virtual privada (VPC) para la conexión privada a los recursos de la nube. Inspeccione y filtre el tráfico en cada capa; por ejemplo, a través de un firewall de aplicaciones web o un firewall de red . Utilice imágenes reforzadas del sistema operativo y proteja físicamente cualquier infraestructura de nube híbrida localmente y en el borde . -
Protección de datos: mantenga la visibilidad y el control de los datos. Estudie cómo se accede a ellos y cómo se utilizan en su organización. Proteja sus datos del acceso no intencionado y no autorizado, y de posibles vulnerabilidades. Este debe ser es uno de los objetivos clave de su programa de seguridad. Para poder determinar los controles de protección y retención adecuados, debe clasificar sus datos en función de la gravedad y la sensibilidad (por ejemplo, información de identificación personal). Defina controles de protección de datos y políticas de administración del ciclo. Cifre todos los datos en reposo y en tránsito, y almacene la información confidencial en cuentas separadas. Aproveche el machine learning para descubrir
, clasificar y proteger la información confidencial de forma automática. -
Seguridad de las aplicaciones: detecte y aborde las vulnerabilidades de seguridad durante el proceso de desarrollo de software. Al encontrar y corregir los errores de seguridad durante la fase de codificación de una aplicación, se ahorrar tiempo, esfuerzo y costes, y se gana confianza en la posición de seguridad al trasladarla a producción. Analice y aplique parches en busca de vulnerabilidades del código y dependencias para ayudar a protegerse contra nuevas amenazas. Minimice la necesidad de intervención humana mediante la automatización
de las tareas relacionadas con la seguridad en los procesos y herramientas de desarrollo y operaciones. Use herramientas de análisis de código estático para identificar problemas de seguridad comunes. -
Respuesta frente a incidencias: reduzca el daño potencial respondiendo eficazmente ante incidencias de seguridad. Las respuestas rápidas, efectivas y consistentes ante los incidentes de seguridad permiten reducir el daño potencial. Eduque a los equipos de operaciones de seguridad y respuesta ante incidencias sobre las tecnologías en la nube y cómo piensa usarlas su organización. Elabore runbooks de procedimientos y cree una biblioteca de mecanismos de respuesta frente a incidencias. Incluya a las partes interesadas clave para comprender mejor el impacto de sus elecciones en la organización en general.
Simule eventos de seguridad y practique su respuesta ante incidentes realizando ejercicios de simulación y días de juegos. Repita el resultado de la simulación para mejorar la escala de la posición de respuesta, reduzca el tiempo de obtención de valor y reduzca aún más el riesgo. Realice análisis posteriores a las incidencias para aprender de los incidentes de seguridad mediante el aprovechamiento de un mecanismo estandarizado para identificar y resolver las causas raíz
.