Razones por las que estás más seguro en la nube de AWS que on-prem.v3

Costo
1. En la nube de AWS los servicios de seguridad son significativamente mas eficientes en costos que soluciones on-prem
  1. Ejemplos
    1. WAF - Web Application Firewall
    2. GuardDuty (Anomaly detection - UEBA, Network Behavior Anomaly detection - NBAD, Threat intelligence feeds, y reglas nativas para detectar amenazas)
    3. AWS Security Hub (Security Posture Manager)
2. Muchos servicios de seguridad son gratuitos, u ofrecen una capa gratuita, o un free trial
  1. AWS IAM Access Analyzer es un servicio gratuito que usa Automated Reasoning para detectar errores humanos en la configuración de políticas de recursos que permitan un acceso externo
  2. AWS Shield Standard - Mitigación de ataques de DDoS gratuito y habilitado por defecto para todos
  3. Amazon Cognito tiene una capa gratuita de 50.000 usuarios, con lo que si tienen 50.001 usuarios solo pagan 1 usuario, y si tienen menos, no pagan nada.
  4. Servicios con free trial que les permite evaluar el costo en su infraestructura al mes siguiente
    1. Amazon GuardDuty
    2. AWS Security Hub
    3. Amazon Detective
    4. Audit Manager
    5. etc...
  5. AWS Systems Manager Patch Manager es gratuito para las instancias en la nube
Integridad
1. En la nube el acceso de los operadores a la infraestructura requiere (two person control), tiene auditoría y se construyeron multiples interfaces para minimizar al máximo el acceso, y mantener a los humanos lejos de los datos.
Disponibilidad
1. La disponibilidad de la nube (Uptime) es pública e historicamente es muy superior a la de data centers on-prem
2. Hardware especializado desarrollado por AWS para AWS como mini UPSs en cada rack además de los UPSs del Data Center
Compliance
1. Responsabilidad compartida: mucha de la responsabilidad queda en AWS, por lo que clientes solo deben presentar los reportes de AWS o realizar un GAP assessment para probar que sus cargas también son compliant. Pueden descargar los reportes de AWS Artifact
2. En la nube cuentan con un servicio llamado AWS Audit Manager que los ayuda a recopilar automáticamente evidencias para simplificar la construcción del reporte de auditoría
Vulnerability Management
1. Responsabilidad de AWS: Para servicios gestionados AWS se ocupa de aplicar los parches que sean necesarios y aplicar las configuraciones para el hardening de los servicios. Más información disponible en la página de Security Bulletins (linkeada) Al ser descubierta una nueva vulnerabilidad de dia cero como Log4jRCE, los equipos de AWS rápidamente parchean y aplican medidas de mitigación en la infraestructura para evitar estar vulnerables.
2. Responsabilidad del cliente: Para sus instancias (IaaS) o contenedores pueden usar Amazon Inspector para simplificar la detección y priorización de vulnerabilidades o faltas de alineamiento a las buenas prácticas de hardening
Seguridad Fisica
1. Perimetro del Data Center: En los datacenters de AWS los controles de acceso son de los más estrictos en el mundo, con controles de acceso multi-factor en tres puntos distintos: el Ingreso al predio, el ingreso al datacenter, y el ingreso a la zona donde se encuentran los datos de clientes.
2. Controles de seguridad en los Data Centers: Cuando AWS implementa un control a pedido de un cliente con requerimientos estrictos de seguridad como un banco o militares, pasa a la línea base para todos los data centers y todo los clientes se benefician de esos controles
3. Los controles están auditados por terceros
4. Ningún medio de almacenamiento de datos sale del datacenter sin ser destruido DENTRO del datacenter. Si un disco falla, AWS lo destruye en el datacenter en lugar de enviarlo al fabricante.
5. Camaras de seguridad en todo el perimetro e interior con monitoreo 7x24
6. Para acceder al datacenter además de presentar su badge y clave, un oficial de seguridad detrás de un vidrio blindado verifica la necesidad de la persona de acceder y otorga el permiso con su badge.
Personal
1. Validado - Background Checks
2. No hay subcontractors, e incluso toda persona que ingresa al datacenter aún empleados de AWS tienen que tener una justificación.
3. Personal entrenado y calificado
4. Equipos de seguridad 24x7 controlando la infraestructura y avisándole a clientes al detectar anomalías/abusos, o credenciales exfiltradas
Resiliencia
1. Cada región cuenta con multiples zonas de disponibilidad (AZ), que son conjuntos de datacenters que están normalmente a 100km de distancia para evitar que un desastre afecte a mas de una AZ, manteniéndose lo suficientemente cerca para que pueda haber replicación sincrónica sin latencia.
2. Ejemplo Amazon S3: 99.99999999% de durabilidad
3. Cross Region Disaster Recovery - Las regiones cuentan con aislamiento e independencia para que su DR no se vea afectado en ninguna circunstancia por la caída de la región primaria
Seguro por default
1. Al Crear un Security group no permite el ingreso inbound de ningún puerto
2. Al crear una nueva cuenta, el acceso publico en los buckets de S3 está bloqueado por defecto a nivel cuenta
3. Al crear un bucket está bloqueado el acceso público a nivel bucket.
Privacidad
1. Capas de aislamiento
  1. A nivel Cuenta
  2. A Nivel Red VPC
  3. A nivel subred (Network ACLs)
  4. A nivel instancia (Security Groups)
2. Cifrado
  1. En Tránsito
    1. Todos los servicios de AWS que transmiten datos hacia on-prem, o hacia el usuario final ofrecen la opción de cifrado en tránsito (TLS o VPN)
  2. En Reposo
    1. KMS permite generar llaves gestionadas por el cliente, y está integrado a los servicios por lo que se configura en minutos
    2. Los servicios ofrecen la opción de cifrar con llaves gestionadas por AWS
Servicios de seguridad
1. Los servicios de seguridad en la nube de AWS se activan con uno o pocos clicks, son eficientes en costo y tienen baja carga operativa. Muchos de ellos están integrados a Security Hub para simplificar la gestión de los hallazgos de seguridad.