La nueva ciberseguridad de AWS: un hub que unifica alertas de todos sus servicios 'cloud'

Desde su fundación en 2012, Amazon Web Services (AWS) ha tenido a gala presentar cada año una catarata de nuevos servicios, funcionalidades y aplicaciones. Hay que ser algo más que un experto para conocer todo lo que hay y lo que se puede hacer en la nube líder del mercado (controla en torno al 32%). En el reciente evento AWS Security, muy centrado en la casuística de la actual situación digital, con el teletrabajo y las nuevas amenazas, el anuncio estelar ha sido la actualización del servicio AWS Security Hub. Un concentrador de ‘energías’ defensivas.

"Security Hub es la respuesta a la pregunta de cómo obtengo visibilidad de todas mis alertas de seguridad de alta prioridad generadas por diversos controles", explica Mark Ryland, director de ‘la oficina del CISO’. Esa oficina es, por cierto, un equipo que se encarga de filtrar, e incluso resolver, las cuestiones que "un montón de gente querría hablar directamente con Steve Schmidt", el CISO de AWS.

El hub de seguridad fue lanzado hace año y medio, pero la actualización presentada ahora ha mejorado notablemente su integración con otros servicios de AWS. "Hoy en día, Security Hub puede reunir los datos de un entorno on premise y de múltiples nubes en un único servicio, en el que integramos de manera nativa [la información de] otros como GuardDuty, Inspector, Macie, Identity and Access Management (IAM), Access Analyzer y Firewall Manager", añade Ryland.

Toda la gestión de reportes de alertas y comportamientos anómalos, incluidos los de aplicaciones de una cincuentena de partners de AWS, se concentra en un solo punto, ordenados y priorizados de manera automática según su importancia, para que los responsables de seguridad no tengan que andar recorriendo pantallas, de un servicio a otro, atendiendo avisos. El propio hub puede lanzar acciones rápidas de respuesta.

Pero antes que las soluciones técnicas, para Ryland lo fundamental es afianzar la seguridad a partir de los propios empleados. Especialmente ante las nuevas vulnerabilidades que genera el desplazamiento del trabajo al domicilio y al usar sus propios dispositivos.

"Es clave mantener un acceso seguro a las credenciales corporativas. Mucha atención a la ingeniería social que se hace a través de herramientas de chat… No se deben integrar máquinas personales en redes corporativas y hay que revisar los parámetros de seguridad continuamente", dice.

Añade que "los empleados deben completar un entrenamiento de seguridad y es superimportante que lo hagan los nuevos fichajes. Y que todos tengan un refresco anual".

La receta

Su receta para mejorar la ciberseguridad, en tres puntos, empieza por "federar a los usuarios, que cuenten con unas credenciales de autorización básica, pero que pueden usarlas de manera intercambiable entre diversos sistemas, en vez de tener contraseñas en cada uno de ellos. Hay que minimizar el número de credenciales y llevar a cero las de larga duración. Lo segundo es minimizar la exposición de los sistemas al exterior, las IPs públicas y los puertos abiertos. La nube es un mundo de ‘confianza cero’".

"Nuestras APIs están disponibles públicamente en internet, así que no puede plantearse la seguridad sobre una API de la nube, sino sobre la gestión de acceso a ella y de la identidad. Y lo tercero, mantener siempre las aplicaciones y el sistema operativo al día, siempre actualizados", afirma finalmente el directivo de AWS.

Para el segundo punto, Ryland sugiere el uso de IAM, que gestiona control de accesos y permisos en los servicios, y establece quién puede acceder a un recurso específico y cómo puede utilizarlo, evaluando por lógica matemática e inferencia la aplicación de las políticas establecidas, a medida que se actualizan, y deja registro de los accesos. "Pero, siempre con mínimos privilegios", insiste.

Otra novedad que AWS quiere destacar es la actualización lanzada en mayo del servicio Macie, para gestión de seguridad y privacidad de datos, que utiliza machine learning y detección de patrones para identificar y proteger los datos confidenciales. Ahora añade la capacidad de captar y registrar la información de ubicación (número de página y de línea, desplazamiento de caracteres, índice de registro e índice de celda de datos confidenciales) en objetos S3 escaneados.