AWS Inmersion Day Aug

AWS Security Immersion Day
Agosto 2023
© 2023, Amazon Web Services, Inc. or its Affiliates.

AWS Security Immersion Day
Preguntas frecuentes / Anuncios
- Estarán disponibles tanto las presentaciones como la grabación del evento,

se compartirá en el Slack de la Comunidad de usuarios de AWS Security
LATAM
https://bit.ly/aws-sec-com (canal #eventos)
- Por favor hagan las preguntas usando el modulo de preguntas y respuestas

de Webex (abajo a la derecha), no el Chat.

Oradores y Colaboradores
Dario Andrés Fabián David Eduardo David Omner Julieta

Goldfarb González Serrano Guzmán Spotti Zuluaga Barajas Ansola
Security Security Security Technical Solutions Solutions Security Solutions
Specialist Specialist Specialist Account Architect Architect Specialist Architect
SA SA SA Manager SA

Agenda
Módulo 1: Modelo de Responsabilidad compartida – Seguridad DE la nube
Módulo 2: Estrategias Multi-Cuenta
Módulo 3: IAM: Identidades y Accesos
Módulo 4: Seguridad de la infraestructura
Módulo 5: Gestión de la seguridad
Módulo 6: Seguridad en aplicaciones
Módulo 7: Compliance Continuo
Módulo 8: Controles Detectivos
Módulo 9: Seguridad en Contenedores
Módulo 10: Protección de datos
Módulo 11: Respuesta ante incidentes
Módulo 12: Cómo seguir aprendiendo
Workshops: EKS Workshop, AWS Network Firewall o Amazon GuardDuty
Introducción
Módulo 1

Módulo 1 - Tabla de contenidos
• Modelo de responsabilidad compartida
• Cómo AWS hace su parte

Seguridad DE la nube
• Cómo ayudamos al cliente a hacer su parte

Seguridad EN la nube

Desafíos de seguridad

Desafíos actuales de seguridad donde la nube puede ayudar
Visibilidad
• Inventario de IT → Servicios nativos de inventario – No más shadow IT
• Actividad / Auditoría / Compliance → Registro de API calls – Solo ”GAP” en auditorías
Escases de recursos → El CSP tiene equipos de seguridad 24x7, no estás solo.

• Humanos / Económicos → Responsabilidad compartida – Tareas pesadas al CSP
• En el mercado laboral → Automatización
Infraestructura a proteger
• Más grande / Más diversa → Gestión a escala de recursos
• Más distribuida
Amenazas externas evolucionan

• Actores / Malware → Servicios de respuesta ante incidentes
• “Criminal as a Service” → Vectores de ataque limitados con hardening.
Modelo de Responsabilidad Compartida
Seguridad EN El Cliente es responsable por la

seguridad de sus cargas de
la nube
trabajo en la nube
Seguridad DE AWS es responsable por

proteger la infraestructura
la nube
donde se ejecutan los servicios
Cliente
AWS

Modelo de responsabilidad compartida
Tipos de servicios
Servicios Servicios
Servicios de
administrados / abstractos /
infraestructura
encapsulados serverless

Ejemplo: bases de datos
Control de acceso
Crecimiento elástico
Cifrado
Respaldos de BD
Alta disponibilidad
Escalabilidad
Gestión de la BD (parches, hardening)
Instalaciones para BD
Gestión del SO (parches, hardening, antimalware*)
Instalación del SO
Servicios de
Mantenimiento de Servidores - Hypervisor
infraestructura Montaje en racks - red
Electricidad, enfriamento
EC2
Seguridad física – Procesos de seguridad
© 2023, Amazon Web Services, Inc. or its Affiliates. * Requerido Por PCI-DSS
Control de acceso
Crecimiento elástico
Cifrado
Respaldos de BD
Operaciones Configuración
Alta disponibilidad
Escalabilidad
Servicios
encapsulados
RDS Gestión del SO (parches, hardening, antimalware*)
Instalación del SO
Montaje en racks - red
Control de acceso
Servicios Crecimiento elástico
abstractos
Cifrado
Operaciones Configuración
Respaldos de BD
DynamoDB
Alta disponibilidad
Escalabilidad
Gestión del SO (parches, hardening, antimalware*)
Instalación del SO
Montaje en racks - red
Arquitecturas basadas en Servicios Abstractos – Serverless
• Uso a demanda con pago

por uso
• 100% elástico
• HA en múltiples Zonas de
Disponibilidad
transparentemente
• Infraestructura y ambiente
de ejecución gestionado

¿Cómo AWS
hace su parte?

Infraestructura Global
30 Regiones – 96 Zonas de Disponibilidad – 410+ Puntos de Presencia
AZ
DataCenter 1
DataCenter 2
DataCenter n
Zona de
Disponibilidad A
Zona de
Disponibilidad B
3
Zona de
Disponibilidad C

https://infrastructure.aws
AWS Local Zones

Protección del perímetro

https://aws.amazon.com/es/compliance/data-center/perimeter-layer
Protección del perímetro

https://aws.amazon.com/es/compliance/data-center/perimeter-layer
Protección del acceso a las salas del datacenter

https://aws.amazon.com/es/compliance/data-center/data-layer
Protección del acceso a las salas del datacenter

https://aws.amazon.com/es/compliance/data-center/data-layer
Programa de cumplimiento regulatorio global de AWS
+200
certificaciones y
CSA ISO 9001 ISO 27001 ISO 27017 ISO 27018 PCS DSS acreditaciones
Cloud Global Security Cloud Personal Level 1
Security Quality Mgmt Specific Data de seguridad
Alliance Controls Standard Controls Controls Protection y conformidad
+2600
controles de
SOC 1 SOC 2 SOC 3 C5 Cyber ENS High (Spain) G-Cloud IT-Grundschutz seguridad
Audit Security, General (Germany) Essentials Spanish UK (Germany) auditados
Controls Availability & Controls Operational Plus (UK) Gov Gov Baseline
Confidentiality Security Cyber Threat Standards Protection anualmente
Report Report Standards
Report Attestation Protection Methodology
Informes de auditoría y cumplimiento disponibles para

https://aws.amazon.com/es/compliance/programs/
los clientes en el portal de servicios en AWS Artifact
Ejemplo de políticas de seguridad de datos en AWS
Dispositivos de almacenamiento son destruidos DENTRO del

datacenter previo a ser decomisionados.
Informes de cumplimiento regulatorio: AWS Artifact FREE

Informes de cumplimiento regulatorio: AWS Artifact FREE

Certificados y reportes de cumplimiento

Servicios certificados
https://aws.amazon.com/es/compliance/services-in-scope/
AWS Compliance Center
Free
Información especifica
de cada país para
cumplimiento
regulatorio en
servicios financieros
https://aws.amazon.com/financial-services/security-compliance/compliance-center/
AWS Realiza su parte del modelo eficientemente con
automatizaciones
• Pipelines de despliegue continuo

• Despliegue de parches
• Procesos probados a escala
• Mínima intervención humana enfocada en la supervisión de los
procesos automatizados
La inversión en seguridad de AWS es mucho más grande que lo que la

mayoría de los clientes pueden hacer individualmente

AWS refuerza postura de seguridad
Hereda los Permite Los más altos Automatización La mayor red

controles de escalar con estándares de con servicios de de partners y
seguridad y visibilidad privacidad y seguridad soluciones de
cumplimiento y control seguridad de profundamente seguridad
adoptados datos integrados
globalmente
por AWS

Subcontratación
https://aws.amazon.com/es/compliance/third-party-access/
Boletines de seguridad
https://aws.amazon.com/es/security/security-bulletins/
Boletines de seguridad
https://aws.amazon.com/es/security/security-bulletins/
Recursos de seguridad y cumplimiento regulatorio
CSA Consensus Assessments Standardized Information

Initiative Questionnaire (CAIQ) Gathering (SIG) Questionnaire
Disponible en
AWS Artifact
https://d1.awsstatic.com/whitepapers/compliance/CS https://console.aws.amazon.com/artifact
A_Consensus_Assessments_Initiative_Questionnaire.p
df

Cómo ayudamos al
Cliente a hacer su parte

Frameworks & Best Practices
NIST
Cybersecurity
Framework
Well-Architected document AWS Well-Architected Tool

Servicios de seguridad de AWS
Identidades y Controles de Seguridad en Protección Respuesta ante

Accesos Detección Infraestructura de Datos Incidentes
AWS Identity & Access Free AWS CloudTrail Free Tier AWS Systems Manager Free AWS Key Management AWS Config Rules
Management (IAM) Service (KMS) Free Tier
Free Free Tier
AWS Security Hub Trial
AWS Shield (standard) AWS Lambda Free Tier
AWS Organizations Free AWS CloudHSM
Free
Amazon GuardDuty Trial AWS WAF Amazon Detective Free Trial
AWS Control Tower Free AWS Certificate ManagerFree
Tier
AWS Security Lake New AWS Firewall Manager AWS Step Functions Free Tier
AWS Cognito Free Tier Amazon Macie Free Tier
Free Trial
Free AWS Config AWS Network Firewall AWS Elastic DR
AWS Directory Service Trial Server-Side Encryption Free
Free Amazon Free Tier Amazon Inspector Free

Trial
AWS Backup
AWS IAM Identity Center CloudWatch S3 Block Public Access Free
Free
Amazon Virtual Private AWS SSM Automations
AWS Secrets Manager Trial VPC Flow Logs Cloud (VPC) AWS Payment New
Cryptography
IAM Access Analyzer Free
Traffic Mirroring EC2 Image Builder Free
AWS Verified Access New
Trusted Advisor Free
Compliance
Free
AWS Artifact Free AWS Audit Manager
AWS Verified Permissions New Trial

https://aws.amazon.com/es/products/security/
AWS Marketplace – Socios de negocio
Cientos de socios en el AWS Marketplace

(2800+ Soluciones/AMIs)
Estrategias Multi-cuenta
Módulo 2

• Esquemas Multi-Cuenta
• AWS Organizations
• AWS Control Tower

¿ Qué es una cuenta ?
Es un límite de seguridad
Así como un cliente no puede acceder

a los datos de otros, una cuenta no
tiene por defecto ningún permiso
sobre las otras

Una cuenta vs. multi-cuenta
Una cuenta Multi-cuenta

Hay mayor infraestructura a gestionar
Mejor aislación
Protección de logs en cuenta aparte

Libertad de operación dentro de
ciertos limites
Separación de costos por unidades
organizacionales, cuentas y/o Tags

AWS Organizations – Estrategia Multi-cuenta
1. Orgs: Gestión - SCPs

1 AWS Organizations – Root account (Cuenta maestra)
Cuentas Core Por BU/producto/carga
2. Logging: Log centralizado
3 3. Security: Servicios de seguridad, GD,

Seguridad 9 Sec.Hub, etc.
Auditoría Prod
4. Shared services: AD, DNS, monitoreo

2
Logging
5. Redes: Entre VPCs / Centro de datos /
7 8
Dev Pre-Prod VPN / Transit Gateway
5 4
Redes Shared
Services 6. Sandbox: Experimentos
Centro de datos
Cuentas de desarrollo 7. Dev: Desarrollo
6 Developer 8. Pre-Prod: Staging - Testing

Sandbox
9. Prod: Producción
Organizaciones en AWS – Service Control Policies (SCP)
Cuenta principal/raíz
M
Service Control
Policies (SCPs)
Desarrollo Pruebas Producción
Unidad organizativa (OU)
A1 A2 A3 A4
Cuentas de AWS
Recursos de AWS
© 2023,
2020, Amazon Web Services, Inc. or its Affiliates.
Organizaciones en AWS – SCP + AWS IAM
SCP IAM
permissions
Allow: EC2:* Allow: EC2:*
Allow: S3:* Allow: SQS:*

Organizaciones en AWS – SCP + AWS IAM
SCP IAM
permissions
Allow: EC2:*
Allow: S3:* Allow: SQS:*

Invariantes de seguridad con AWS Organizations
Service Control Policy:
Nube de AWS Restricción de región
AWS Organizations
Región: us-east-1
Región: us-east-2
Región: ap-sutheast-1
Región: eu-west-1
Cuenta
Dependencia de Organización

Muchas más invariantes
"Effect": "Deny",
"Action": "ec2:RunInstances",
Desarrolladores solo
"Resource": ["arn:aws:ec2:*:*:instance/*"],
pueden usar estas
"Condition":
instancias en cuentas
{ "StringNotEquals": {"ec2:InstanceType": "t2.micro" } }
de sandbox
Las cuentas de la
"Effect": "Deny", organización no
"Action": [ "organizations:LeaveOrganization" ],
"Resource": "*"
pueden dejar la
organización
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples.html

Ejemplo: Bloqueo de regiones no utilizadas
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAllOutsideNorthVirginia",
"Effect": "Deny",
"NotAction": [...
"cloudfront:*", ... Servicios globales que no quisieramos denegar, ya
"iam:*", ...
"route53:*", ... que no tienen la condición “RequestedRegion”.
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
Bloqueamos los servicios regionals que no estén en
]
”us-east-1"
esta region (o lista de regiones)
},
"ArnNotLike": {
"aws:PrincipalARN": [
"arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
Opcionalmente definimos roles
]
"arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
privilegiados que podrán saltearse
}
}
esta regla.
}
]
}
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples.html#examples_general
¿ Cómo armo todo esto ? ¿ Cómo gobierno todo esto ?
• ¿ Autenticación en cada cuenta ?
• ¿ Logs en cada cuenta ?

AWS Control Tower
• ¿ Los recursos fueron creados consistentemente ?
• ¿ Las políticas básicas de seguridad están implementadas consistentemente ?
• ¿Cómo gobierno un esquema multi-cuenta ?

AWS Control Tower
AWS Control Tower

AWS Control Tower: La manera mas fácil de configurar y
gobernar AWS
— — —
Habilitación Provisión Operación
Agilidad al Negocio + Control y Gobierno

AWS Control Tower
Landing Zone Gestión de identidad y accesos
Guardrails
auditoria pre-configurado
Account factory
Dashboard
Actualizaciones

Configuración de una AWS Landing Zone
Master account • Gestión multi-cuenta utilizando
AWS Organizations
AWS Control Tower AWS Organizations IAM Identity Center • Gestión de identidad y acceso federado
utilizando AWS IAM Identity Center
Stack sets AWS Service Core Custom Identity Center • Archivado automatizado de logs utilizando
Catalog OU OU directory AWS CloudTrail y AWS Config
Log archive Provisioned
account
Audit account
accounts • Auditoria de acceso entre cuentas utilizando
AWS IAM Identity Center e AWS IAM
Account Aggregate Account Security cross- Account Network
baseline AWS CloudTrail
and AWS Config
baseline account roles baseline baseline • Aprovisionamiento de cuentas de usuario a
logs través de AWS Service Catalog
Security Amazon
notifications CloudWatch
aggregator • Monitoreo centralizado y notificaciones
utilizando Amazon CloudWatch y Amazon SNS
Servicios de seguridad integrados con AWS Organizations
Administración delegada
AWS AWS Firewall Amazon Amazon

Security Hub Manager GuardDuty Macie
Etc.
Amazon Amazon AWS Audit AWS IAM

Inspector Detective Manager Access
Analyzer
Ejemplos de GuardRails
Goal/category Example
IAM security Require MFA for root user
Data security Disallow public read access to Amazon S3 buckets
Network security Disallow internet connection via Remote Desktop Protocol (RDP)
Audit logs Enable AWS CloudTrail and AWS Config
Monitoring Enable AWS CloudTrail integration with Amazon CloudWatch
Encryption Ensure encryption of Amazon EBS volumes attached to Amazon EC2 instances
Drift Disallow changes to AWS Config rules set up by AWS Control Tower

Gestión integral de controles NEW
• Aplica controles preventivos,

de detección y proactivos
administrados a cuentas y
unidades organizativas (OU)
por servicio, por objetivo de
control o marco de
cumplimiento
• Defina, asigne y administre

centralmente los controles
necesarios para cumplir con los
objetivos de control y
regulaciones

Ejemplo de invariante de seguridad
Con Control Tower se implementa solo eligiendo activar el control.

Automatiza el aprovisionamiento de cuentas conforme
a los requerimientos de seguridad.
• Account factory provee templates para

estandarizar el aprovisionamiento de
AWS Service
Account factory
Catalog
New AWS account cuentas
Network Network Network AWS Service Network Account • Opciones de Networking

baseline CIDR regions Catalog product baseline baseline configurables.(e.j. subnets, IP addresses)
OU Account
baseline
• Ejecución automática de líneas base para
Guardrails
cuentas y GuardRails
• Publicación en AWS Service Catalog

Dashboard de
Control Tower

AWS Control Tower – Utilizar una organización existente
AWS Control Tower permite ahora desplegarse sobre una

organización existente e importar una a una las Organizational
Units agregándole los guardrails.

Identidades y Accesos
Módulo 3

• AWS IAM
• AWS IAM Identity Center (sucesor de AWS Single Sign-On)
• IAM Access Analyzer
• AWS Secrets Manager
• Amazon Cognito
• Amazon Verified Permissions

Identity & Access Manager (IAM)
Control y segregación del acceso
• Puedes controlar quién, cuando y desde dónde

puede realizar que acciones en su entorno de
AWS
• Control de acceso granular en la nube AWS

con autenticación de múltiples factores
(tokens)

Buenas prácticas para cuenta root
• Múltiple Factor de Autenticación (MFA):
o Hardware o Virtual
• Eliminar acceso por llaves (Access Keys)
• Evita el uso de root, limítalo a actividades que requieren root
https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html
• En Ambientes multi-cuenta es recomendable no utilizar las cuentas

root de las cuentas hijo y denegar toda acción de root accounts con SCPs
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ]}}

AWS IAM – Acceso de consola o programático
Nota:
No se recomienda el
uso de IAM Users y
Access Keys

AWS IAM Identity Center
NO COST
Beneficios
• Portal de acceso a las múltiples
Directorio de AWS cuentas y aplicaciones del usuario
Servicio para
Microsoft Active • Asignación central de permisos
Directory
• Soporta customer managed policies
• Integrado AWS CLI v2
Provedor de
identidades externo AWS Access Portal • Usted elige su fuente de identidades:
federado (IdP)
AWS
Organizations
AWS IAM
Identity Center
Directory
O puede usar el Directorio interno del IAM Identity
Center si no posee un directorio

Políticas de IAM

AWS IAM – Como se evalúan las políticas
1
Decisión
Comienza con
2
Evalúa
Políticas
3
DENY
NO 4
ALLOW
NO 5
Decisión final =“Deny”
Explícito Explícito (default Deny)
DENY Aplicadas
AWS recupera todas las políticas De forma

asociadas con el usuario y el recurso.
SI SI predeterminada,
se devuelve una
Sólo se evalúan las políticas que denegación
coinciden con la acción y las Decisión final =“Deny” Decisión implícita
condiciones. (explícito Deny) Final =“Allow”
(predeterminada)
Si una declaración de El acceso se concede si

política tiene un objeto hay un Permitir
Denegar, pesa más que explícito y no Denegar.
todas las demás
declaraciones de política.

AWS IAM – Políticas de acceso
Componentes: {
"Version": "2012-10-17",
• Principal: Quién "Statement": [
{
• Efecto: Allow / Deny "Sid": “OneStatement",
• Action: Qué acciones "Effect": "Allow",
"Action": ["iam:ChangePassword"],
• Resource: Sobre qué recurso "Resource": "*"
• Condition: Bajo qué condiciones },
{
"Sid": “AnotherStatement",
"Effect": "Allow",
"Action": [
"s3:List*",
"s3:Get*"
],
"Resource": [
"arn:aws:s3:::confidential-data",
"arn:aws:s3:::confidential-data/*"
],
"Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
}]}
Editor visual Políticas en formato JSON

AWS IAM – Políticas de acceso: Principal
• Entidades a las cuales aplica el statement
• Se puede usar el ARN

"Principal":"AWS":"*.*"


"Principal":{"AWS":"arn:aws:iam::123456789012:root" }
"Principal":{"AWS":"123456789012"}
 Número de

"Principal":"AWS":"arn:aws:iam::123456789012:user/username" cuenta AWS


"Principal":{"Federated":"accounts.google.com"}


"Principal":{"AWS":"arn:aws:iam::123456789012:role/rolename"}


"Principal":{"Service":"ec2.amazonaws.com"}

AWS IAM – Políticas de acceso: Action
• Acción que se evalúa
• Debe tener un elemento de Action o NotAction

"Action":"ec2:StartInstances"


"Action":"iam:ChangePassword"
<!– Amazon S3 action -->

"Action":"s3:GetObject"


"Action":["sqs:SendMessage","sqs:ReceiveMessage"]
<-- Wildcards (* or ?) in the action name. Below covers create/delete/list/update-->

"Action":"iam:*AccessKey*"

AWS IAM – Políticas de acceso: NotAction
• Permite especificar una excepción para una lista de acciones
• Puede resultar en políticas más cortas que usar la acción y eliminar muchas
acciones
Ejemplo: Supongamos que desea permitir todo, pero no las API de IAM
{ {
"Version": "2012-10-17", "Version": "2012-10-17",
"Statement": [ { "Statement": [{
"Effect": "Allow", "Effect": "Allow",
"NotAction": "iam:*", "Action": "*",
"Resource": "*" "Resource": "*"
} },
] {
} "Effect": "Deny",
"Action": "iam:*", Si se quiere realmente
No es un Deny. El usuario "Resource": "*" bloquear el acceso del usuario
puede tener una política para el servicio IAM. El Deny
adicional que permita IAM:* }]}
explícito debe ser utilizado
AWS IAM – Políticas de acceso: Condition
¿Cómo puedo restringir el acceso a un período de tiempo y direcciones IP?

Otros ejemplos de
“Condition”: { condiciones:
“DateGreaterThan”: {“aws: currentTime”: “2017-01-01T 11:00:00 Z”}, aws:PrincipalOrgID
“DateLessThan”: {“aws: currentTime”: “2017-12-31T 15:00:00 Z”}, aws:ResourceOrgID
“IpAddress”: {”aws: SourceIP“: [” 192.0.2.0/24 “,” 203.0.113.0/24 “]} aws:SourceIp
aws:SourceVpc
}
aws:SourceVpce
Permite a un usuario acceso a un recurso en las siguientes condiciones:

• La hora es después de las 11:00 el 01/01/2017
• El tiempo es hasta las 3:00 p.m. del 31/12/2017
• La solicitud proviene de una dirección IP en el rango 192.0.2.0/24, 203.0.113.0/24
Todas las condiciones deben cumplirse para que se evalúe como verdadero

Estrategias para gestionar
permisos a escala

Llegar hacia los permisos adecuados
es un camino evolutivo
Perímetro de datos
Establecer Controlar Refinar

IAM Access Advisor: Eliminar los permisos no utilizados
Paso 1: Identificar Access Keys,

Roles y permisos no utilizados
revisando la fecha de la ultima
actividad
Paso 2: Eliminar Access Keys, Roles
y permisos no utilizados

Eliminar permisos externos configurados por error
IAM Access Analyzer FREE
Amazon S3 buckets Principals
AWS KMS keys

Amazon SQS queues
AWS IAM roles
AWS Lambda functions Alerta
AWS Secrets Manager secrets Principals
Amazon Simple Notification Service topics

Amazon Elastic Block Store volume snapshots
Alerta
Amazon RDS DB snapshots
Principals
Amazon RDS DB cluster snapshots
Amazon Elastic Container Registry repositories Principals
Amazon Elastic File System file systems
Su Organización (o cuenta)
Generación automática de políticas en base a la actividad
IAM Access Analyzer
FREE
Escenario: Equipo de Desarrollo

crea permisos laxos
1. Configuración (ej: 90 días)
2. Generar políticas JSON a partir
de eventos en CloudTrail
3. Revisar y personalizar la
política con mínimo privilegio
4. Crear y asociar la política

IAMLive – Generación de policies automática
https://github.com/iann0036/iamlive
Nota: Herramienta de terceros.
IAM Identity Center Ofrece opciones para la gestión de
de acceso elevado temporal NEW
Tenemos Identity Center con Azure AD

como IdP. Necesitamos acceso elevado Queremos que nuestros usuarios Queremos una solución nativa para el
a las cuentas temporal con consigan permisos temporales elevados acceso temporal de los desarrolladores
aprobaciones. JIT… Estamos buscando prtners de a las cuentas de producción. -- App
-- Agencia gubernamental OKTA -- Cliente developer
Ofertas validadas de socios para entornos empresariales y complejos
More to come
Open source capabilities

https://aws-samples.github.io/iam-identity-center-team
Temporary Elevated Access Management (TEAM)

Acceso a recursos usando
credenciales temporales
Uso de Roles en lugar de Access Keys
(IAM Instance Profile e IAM Roles Anywhere)

Access Keys
Usa AWS IAM Instance Profiles
• Las Access Keys son:
• Credenciales duraderas
• Pueden ser usadas desde cualquier lugar (por defecto)
• Factor único de autenticación (por defecto no incluyen MFA)
• Si tu código necesita acceder a un recurso de AWS como un Bucket de
S3, no embebas Access Keys en el código.
➢ Si algún desarrollador las comparte en GitHub u otro
repositorio público tendrán acceso a sus credenciales
➢ Quien tenga acceso de lectura al código tendrá Hardcodear
credenciales.
➢ La rotación requiere esfuerzo, control de cambios, una
ventana de indisponibilidad y pruebas
AWS IAM – Controlar acceso a las aplicaciones
Acceso controlado por políticas Recursos AWS
de IAM (roles)
Tu código
Detección y uso automáticos de

credenciales de AWS
Sistema
operativo
Credenciales de AWS entregadas
automáticamente y girado
Ejemplo periódicamente
EC2
También funciona con AWS Lambda, Amazon ECS y Amazon EKS

AWS IAM – Controlar acceso a las aplicaciones
s3access
{ Trust Policy
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {"Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
Aplicación }
]
{ Access Policy
Rol: s3access "Version": "2012-10-17", Amazon Simple
"Statement": [ Storage Service (S3)
{
"Effect": "Allow",
"Action": "s3:GetObject"
"Resource": "*"
}
]
Instancia }

IAM Roles Anywhere
EXTIENDE EL USO DE ROLES DE IAM A CARGAS DE TRABAJO FUERA DE AWS
Fuera de AWS AWS Cloud
Public key
infrastructure (PKI) Lambda Encrypted Instance
function data
Aplicaciones
Model Container Data lake

Nube híbrida
IAM Roles
Anywhere
✓ Credenciales temporales Bucket Task Table

Servidores on-prem ✓ Utiliza roles existentes
✓ Mayor seguridad
© 2023, Amazon Web Services, Inc. or its Affiliates. ✓ Simplifica la migración a la nube
Limita el uso de IAM Users y Access Keys
IMPLEMENTA UN PROCESO PARA EVITAR LA CREACIÓN INNECESARIA DE CREDENCIALES DURADERAS
La cantidad de IAM users y access keys puede volverse difícil de gestionar; establece
guardrails para impedir su uso:
- Crea una SCP limitando quien puede crearlos:
"Action": [ "iam:CreateUser", "iam:CreateAccessKey" ],
"Resource": [ "*" ],
"Effect": "Deny",
"Condition":
{ "StringNotEquals": { "aws:PrincipalARN": "arn:aws:iam::*:role/" } }
- Las excepciones requieren tickets con justificación y detalles completos:

quién es el propietario, criticidad, a qué proceso pertenece, rotación
- Desactivar access keys no utilizadas; un tiempo después, si no hay quejas,
elimínalas

¿ Cómo hacemos cuando debo otorgar acceso a un recurso
que usa credenciales duraderas ?
- Bases de Datos / Amazon RDS
- Servicios web de terceros que se autentican usando API Keys
¿Cómo rotamos estas credenciales para minimizar el riesgo ?
• A medida que pasa el tiempo sin rotar, las credenciales incrementan

su riesgo de ser comprometidas.
• Tus equipos de seguridad deben poder rotar las contraseñas ante

cualquier sospecha de compromiso sin afectar producción

Acceso a recursos que usando
credenciales resguardadas en
AWS Secrets Manager
Gestión de contraseñas, keys y otros secretos

AWS Secrets Manager: Características principales
Integración
Rotación de Rotación con
extensible con AWS
credenciales control de vesiones
Lambda
Políticas de acceso Almacenamiento Registro y

refinadas cifrado vigilancia

AWS Secrets Manager: Arquitectura típica
Recursos AWS
Llamada autorizada a Secrets Manager
Tu código
Credenciales DB
AWS Secrets
Manager
IAM Rol
Ejemplo
EC2
Amazon RDS
Credenciales de AWS
entregadas automáticamente
Solución confiable y segura para rotación automática en TODAS las credenciales

Customer IAM:
Amazon Cognito

Amazon Cognito
Customer IAM – IAM para sus aplicaciones
Sign in with ✓ Integrado con AWS WAF

Sign in
Facebook ✓ Autogestión de contraseñas
Username
SAML
✓ Almacenamiento seguro
Password Corporate
✓ Simple de integrar
Submit
OIDC ✓ Eficiente en costos
User Pools Identidades federadas

Puede agregar de forma fácil y segura Los usuarios pueden iniciar sesión con
características de control de sesión a sus proveedores de identidad de terceros como
aplicaciones móviles y web con un servicio Facebook, Google y Amazon, OIDC/SAML, e
totalmente administrado, escalado para identificar el riesgos en el acceso para
admitir decenas de millones de usuarios. incrementar el desafío con MFA

¿ Qué se recomienda en cada caso ?
Autenticación
Autenticando Personas Autenticando máquinas,

scripts o procesos
desatendidos
➢ Use IAM roles

o IAM Roles Anywhere
Empleados Clientes (CIAM)
➢ Use IAM Identity Center ➢ Evalúe usar

Amazon Cognito
Amazon Verified Permissions NEW
Un sistema de autorización y
administración de permisos
listo para usar, al que los
desarrolladores pueden
Consola de administración de AWS
conectar a su aplicación
Administrar
permisos
Autorizar
Amazon Verified
re:Invent Session: https://youtu.be/gWoJqnRB3MA Permissions
Amazon Verified Permissions NEW
• Externaliza la autorización con permisos granulares

(fine-grained)
Aplicación • Ayuda a crear aplicaciones más rápido
• Ayuda a soportar arquitecturas Zero Trust
• con decisiones de autorización dinámicas en
tiempo real
Aplicación
Amazon Verified • Integra su proveedor de identidades actual
Permissions
• Simplifique las auditorías de cumplimiento a escala
• Identifique permisos excesivos / amplios
Aplicación
https://aws.amazon.com/blogs/security/how-to-use-amazon-verified-permissions-for-authorization

Seguridad de la infraestructura
Módulo 4

• NACLs Security Groups

• AWS WAF
• AWS Shield
• AWS Network Firewall
• Amazon Route 53 Resolver DNS Firewall
• AWS Firewall Manager
• AWS Verified Access

Network Access Control Lists
y Security Groups

Security Groups: Reglas de firewall con estado
VPC
Public Subnet Private Subnet
WebServer Security group Database Security group
WebServer Database
Direction Protocol Port Source Direction Protocol Port Source

Inbound TCP 443,80 0.0.0.0/0 Inbound TCP 3306 Webserver Security Group
Outbound All All 0.0.0.0/0

Network ACL (NACL): Reglas de firewall sin estado
VPC
NACL
Instance Instance

Grupos de Seguridad y NACL
VPC
2
1 3
WebServer Security group Database Security group
NACL
Instance Instance
1. El grupo de seguridad de WebServer permite la salida hacia la base de datos

2. La NACL permite el tráfico de ida entre las subnets
3. El grupo de seguridad de Database permite la entrada desde WebServer
4. La NACL permite el tráfico de regreso entre las subnets

Protección del perímetro – Servicios administrados
AWS Shield AWS Shield AWS Network Amazon Route 53

AWS WAF
Standard Advanced Firewall Resolver DNS Firewall
Todos los clientes tienen sin costo adicional protección estándar contra ataques de
denegación de servicio con AWS Shield Standard

Protección DDoS con AWS Shield
Standard Advanced
Disponible para todos los clientes Servicio pago que provee protección
de AWS sin costo adicional adicional contra ataques sofisticados
✚ Protección contra ataques avanzados (Capa 7)

• Protección contra los ataques mas
comunes (SYN/UDP Floods, ✚ Equipo de respuesta DDoS 24x7
Reflection Attacks, etc. Capa 3/4) (Proactivo / Reactivo)
✚ Protección de costos
• Detección y mitigación automática
✚ Mitigación más rápida / Mejor Visualización
✚ Incluye WAF y Firewall Manager
Arquitectura - Protegiendo aplicaciones Web Virtual Private Cloud
AWS Cloud
Security Groups &
VPC Firewall Manager
443
Internet Public subnet Public subnet

Gateway DDoS Mitigation
Application
Load Balancer Web Application
Private subnet Private subnet
Firewall
80 Auto Scaling group 80

Network Firewall
Security group
Instance Instance
Security group
Availability Zone 1 Availability Zone 2

AWS WAF – Protección de capa 7
• WAF Administrado, Elástico e

integrado
AWS WAF • Pago por uso

• Rules Administradas por AWS
Amazon Amazon + Reglas personalizadas.
CloudFront Cognito + Provistas por partners
Amazon API Application Load AWS AppSync

Gateway Balancer
AWS WAF con reglas gestionadas
Reglas
+
provistas por
socios
https://aws.amazon.com/blogs/aws/announcing-aws-managed-rules-for-aws-waf/
AWS con reglas gestionadas por nuestros partners

AWS WAF Bot Control
• Visibilidad sobre Bot Activity
• Permite limitar la actividad de

bots, bloquear categorías o
presentar un Captcha
• Aplica tags para usar en otras

reglas de AWS WAF
• Flexible: Bloqueo/Redirección
• Account Takeover Protection

AWS WAF Account creation fraud prevention
https://aws.amazon.com/blogs/security/prevent-account-creation-fraud-with-aws-waf-fraud-control-account-creation-fraud-prevention
Bot Control
Etiquetas
Dashboards
https://aws.amazon.com/es/blogs/aws-spanish/introduccion-a-bot-control-para-proteccion-de-trafico-de-bots-maliciosos-con-aws-web-application-firewall-waf

Ejemplos de dashboards
para AWS WAF
✓ Solución basada en
OpenSearch
✓ Se desplega en minutos
con un CloudFormation
Template
https://github.com/aws-samples/aws-waf-ops-dashboards
WAF DEMO

Cómo los clientes aseguran su red en la nube
Diseño Propio Terceros On-premise Nativo de la nube
Latencia, carece de
Complejo, difícil de Desafíos: costosos
escalabilidad y
manejar de integración
elasticidad, costoso

AWS Network Firewall: Firewall Nativo
Escalas
automáticamente,
infraestructura
administrada de AWS
No hay compromisos iniciales y paga solo por lo que usa

Firewall de red de AWS
Cliente Crear política y Desplegar y enrutar el Control central con

reglas de tráfico al endpoint del AWS Firewall
firewall firewall Manager
AWS
Escala automáticamente Gestiona afinidad en AZs y
con tráfico simetría de sesión
Rendimiento: 100 Gbps Resiliente con SLA de

99.99%

Inspección de Seguridad Distribuida
VPC
Instancia 1 Firewall
Endpoint
VPC
Endpoint
AWS Network Firewall

VPC
Endpoint
Inspección de Seguridad Centralizada
VPC
VPC
Inspección Norte-Sur
(Internet, Conexión directa,
Instancia 1 VPN de sitio a sitio/cliente)
Inspección VPC
VPC
Instancia 2 Firewall Endpoint

AWS Transit
Gateway AWS Network Firewall
Inspección Este-Oeste
VPC (Tráfico VPC a VPC)
Instancia 3

Amazon Route 53 Resolver DNS Firewall
Amazon Route 53 Resolver DNS Firewall

DNS Firewall nativo en la nube
Elija entre las listas

administradas de
AWS o cargue sus
propias listas de
dominios
No hay compromisos iniciales y paga solo por lo que usa

Gestión de políticas con AWS Firewall Manager

AWS Firewall
Manager DEMO

AWS Verified Access
ACCESO REMOTO A APLICACIONES CORPORATIVAS
AWS Verified
Access
Acceso sin VPN a
Conéctese con Asocia tus Crea políticas Usuarios
aplicaciones corporativas trust providers aplicaciones de acceso
Use su actual proveedor de Crea endpoints públicos para Crea políticas granulares Acceden a aplicaciones
identidades y sistema de tus aplicaciones corporativas por aplicación desde cualquier lugar
gestión de dispositivos
re:Invent Session: https://youtu.be/Kkxn-bAIlnI

AWS Verified Access
ACCESO REMOTO A APLICACIONES CORPORATIVAS
Crear un perímetro de microseguridad

Trust providers en torno a las aplicaciones corporativas
IdP (AWS IAM Identity Reduce la superficie de ataque
EDM … Others
Center / OIDC)
• Punto único de aplicación de directivas
Operaciones simplificadas de zero trust para administradores
de TI
app
microperímetros • Autorización granular y dinámica

Política por Política por aplicación evaluada con cada solicitud
aplicación
app
Users
Registro • Mejorara la observabilidad
de accesos
Respuesta a incidentes y auditabilidad más rápidas,
además de ayudar a cumplir con regulaciones
AWS
Verified Access app • Utilice sus servicios de seguridad existentes
Se integra con proveedores de identidad populares y de
confianza de dispositivos
Gestión de la seguridad
Módulo 5

• Amazon Inspector
• AWS Systems Manager
• Fleet Manager
• Session Manager
• Patch Manager
• EC2 Instance Connect Endpoint NEW

Amazon Inspector
Amazon Amazon AWS

EC2 ECR Lambda
Capacidades de Amazon Inspector
Gestión Obtenga Automatice el Priorice con Automatice los

simple a escala visibilidad descubrimiento y el valoración flujos de trabajo
centralizada análisis continuo contextualizada y tome acciones
Activación con un Integración con Descubrimiento Valoración de riesgo API de administración

solo clic para todas AWS Organizations automatizado de recursos contextualizado
las cuentas de la Hallazgos detallados en
organización Detección de cambios en Análisis continuo de Hallazgos priorizados Amazon EventBridge
el ambiente vulnerabilidades y
Integración con accesibilidad en la red Triage y Análisis Integración con
agente de SSM Consolidación de Automatizado AWS Security Hub
hallazgos en todas las
cuentas y recursos
Versión contextualizada del CVSS score
En este caso, la red era el

vector de ataque y como no
estaba expuesto bajó el score

Amazon Inspector: Soporte de funciones Lambda
Amazon Inspector ahora identifica vulnerabilidades de software (CVE) en las dependencias de

paquetes de aplicaciones utilizadas en el código de la función de Lambda y las capas asociadas.
• Precio: Dependencias: $0.30 por función por mes

• Precio: Dependencias más código: $0.90 por función por mes
(sin costo por rescan)
Más detalle https://aws.amazon.com/inspector/pricing
• Soporta Exclusión automática de funciones obsoletas que no se han invocado

en 90 días, además de exclusión manual basada en etiquetas
Amazon
Inspector

re:Invent Session: https://youtu.be/gWoJqnRB3MA
Inspector: soporte para funciones Lambda + Code Scan
Standard Scanning finding Code Scanning finding
Activating Lambda Standard and Code Scanning

Software Bill of Materials (SBOM) NEW
Un listado de materiales de software (SBOM) es un inventario completo de todos
los componentes
✓ Formatos de SBOM
Amazon EC2 Inspector
monitored soportados: CycloneDx y SPDX
resources SBOM export
✓ SBOMs puede ser exportado

Amazon Simple
AWS Lambda
Amazon Storage Service (S3) para toda la organización o
Inspector tan granular como de un
recurso en particular
Analytics
Amazon ECR
✓ Sin costo adicional
Amazon Athena Amazon

QuickSight

Inspector DEMO
Multi-Account
Inspector DEMO
Vulnerabilities
AWS Systems Manager - gestión de recursos a escala
AWS Systems Manager
¡gratis!*
Session ¡gratis! Patch Parameter
Automation
manager manager Store
¡gratis!
Inventory Maintenance State Run

windows manager command
* Para la infraestructura que se encuentre en AWS

AWS Systems Manager: Patch Management
Corporate Data Center
Línea de base de parche Servidor Web

Grupo de parches = Servidores predeterminada para el Línea base de
web sistema operativo parche
Administrador de parches Grupo de parches = SQLCluster

Instancias individuales
no agrupados
Ventana de
Cumplimiento Notificaciones
mantenimiento

“Patch” @Cloud
Tradicional
Amazon Linux RHEL Ubuntu Windows

Instance Instance Instance Instance
Patch Manager
AWS Systems Manager

“Patch” @Cloud
DBs / servicios gestionados
Amazon RDS Amazon Redshift Amazon DocumentDB

Bases de datos transaccionales (Data warehouse)
Amazon DynamoDB Amazon Neptune

(NoSQL)
Responsabilidad del cloud vendor ☺

“Patch” @Cloud
Ejemplo apps / environments
Testers
Auto Scaling group (desired: 4 instancias)
Linux-App Linux-App-v2
Linux-App-v2 Linux-App Linux-App-v2
Linux-App Linux-App-v2
Linux-App AMI Linux-App-v2
Instance
Instance Instance
Instance Instance
Instance Instance
Instance (template) Instance
EC2 Image Builder permite generar un pipeline de imágenes con

los componentes / hardening requeridos por su organización
como imagen dorada
AWS Systems Manager - Acceso interactivo a instancias
Shell o CLI • Shell interactivo basado en navegador y CLI

para instancias de EC2
Control de Auditoría y
Acceso registro • No es necesario abrir puertos entrantes
(22/3389), administrar claves SSH o
FA certificados
IAM S3
• Accesos otorgados desde IAM con
VPC
restricción de acceso a instancias y MFA
• Auditoría y registro de comandos ejecutados
y su respuesta en S3 Bucket
EC2
• Auditoría protegida y cifrada

Fleet Manager: Acceso a Linux vía consola

Fleet Manager: Acceso a Windows
Acceso a la consola remota (RDP)
basada en navegador para Windows
• Acceso RDP seguro basado en navegador a
Windows con unos pocos clics
• Elimina la necesidad de bastion hosts,
excepciones de firewall entrantes y
administración de claves SSH
• Inicio de sesión sin problemas a través de
AWS IAM Identity Center y proveedores de
identidad de terceros
https://aws.amazon.com/es/about-aws/whats-new/2021/11/aws-systems-manager-console-windows-instances-security

EC2 Instance
Connect
Endpoint NEW
AWS EC2 Instance Connect
Amazon Confidential
Seguridad en Aplicaciones
Módulo 6

• Revisión de seguridad en aplicaciones a escala
• Application Security Testing en AWS

La disparidad entre equipos de seguridad y de desarrollo
Equipos de Equipo
desarrollo central de
✅ ✅ ✅
Seguridad ✅ ✅ ✅

Con el crecimiento, la disparidad aumenta
“No
“Seguridad
podemos
nos está
seguir el
frenando!”
ritmo!” ✅
Equipos de Equipo
desarrollo central de
✅ ✅ ✅
Seguridad ✅ ✅ ✅
✅

Distribuye la responsabilidad de seguridad
Equipo
Equipos de central de “Somos dueños de la
desarrollo seguridad seguridad de la
“Somos dueños de la
organización – y
seguridad de lo que
habilitamos a los
construimos”
equipos de
Responsable por
Seguridad Org desarrollo”
la seguridad de SU
código
Habilitador

Security champion
Security champion - Un miembro de un

Product
equipo de desarrollo responsable de
team comprender de seguridad y asesorar a su
Owner
propio equipo para completar el proceso
de revisión de código

Programa de Security champions
Team A Team B Team C Team D Team E Team F Team G

Product Product Product Product Product Product Product
Identifica champions, y establece un
Comunidad de Security champions

objetivo organizacional
Business
Unit A
Equipo Entrénalos con mentoría y

central de capacitación dedicada
Seguridad
Business
Unit B
Construye una comunidad con
Mentoría
continua colaboración e incentívalos
Business
Unit C Recopila feedback/CSATs, mide y
muestra la efectividad del programa

Recursos para aprender más sobre el tema:

Servicios de AWS para ayudar a entregar software seguro, más rápido
AWS CodeGuru AWS CodePipeline
SOURCE /
AUTHOR BUILD TEST DEPLOY MONITOR
ARTIFACT
AWS Cloud9 AWS AWS AWS AWS CodeBuild AWS Amazon AWS Security
AWS Code Whisperer CodeCommit CodeArtifact CodeBuild + Third Party CodeDeploy Inspector Hub
Amazon CodeCatalyst AWS Cloud Development Kit

AWS CloudFormation
(AWS CDK)

Amazon CodeGuru Security
• La AI/ML y el razonamiento
automatizado reducen la tasa de
falsos positivos
• El diseño basado en API facilita la

integración, la centralización y la
escalabilidad
• El seguimiento de errores detecta

automáticamente las correcciones de
código y cierra los hallazgos sin la
intervención del usuario

CodeGuru Security - Cobertura
• Java, Python, y JavaScript
• GitHub, GitLab, BitBucket, y CodeCommit
• Critical Open Web Application Security Project vulnerabilities

(OWASP Top 10)
• Common Weakness Enumeration vulnerabilities (CWE Top 25)
• Desafíos de seguridad comunes en sus cargas de trabajo de AWS

Amazon CodeWhisperer Security scanning
• Escanea el código generado y el

escrito por el desarrollador para
detectar vulnerabilidades de
seguridad
• Recibe sugerencias de corrección

de vulnerabilidades
• Analiza en busca de
vulnerabilidades de seguridad
difíciles de encontrar
• Soporta VS Code, JetBrains IDEs

for Python, Java, y JavaScript
© 2023, Amazon Web Services, Inc. or its Affiliates. 181
Revisión de Código en funciones Lambda con
Amazon Inspector Standard Scanning finding Code Scanning finding
Activando Lambda Standard y Code Scanning

AppSec Testing con herramientas Open Source
Automated
Security
Helper
https://github.com/aws-samples/automated-security-helper
Compliance continuo
Módulo 7

• AWS CloudTrail
• AWS Config
• AWS Security Hub
• AWS Audit Manager

AWS CloudTrail: Auditoría de acciones realizadas
Alertas
Análisis
(ej: OpenSearch)
Llamadas de API AWS CloudTrail Amazon S3

Otras herramientas
- Consola
(OpenSource, Partners)
- SDK
- Cli

AWS CloudTrail: Auditoría de acciones realizadas
• Usted puede identificar rápidamente

los últimos cambios realizados en
los recursos de su entorno incluida
la creación, modificación y
eliminación de recursos de AWS,
Se produce CloudTrail Puedes ver la
como: una actividad captura y escribe actividad y el
el evento en el historial
• Inicio o terminación de Instancias. registro
• Cambios de usuarios y grupos de

seguridad entre muchos otros Protege tus logs con un esquema
eventos. multi-cuenta y guardrails
AWS Config: Inventario de activos
Inventario, monitoreo y notificación de cambios de configuración
Alertas
Normalizado
Corrección de
configuraciones
Cambio en recursos AWS Config AWS Config rules

Historial, snapshot
Análisis de Análisis de Gestión de Análisis de

Inventario
Seguridad Auditoria Cambios Problemas

AWS Config: 300+ reglas administradas
• Puertos abiertos
(configurable, 22,
3389, 1433, etc)
• IAM Policy
• EBS sin cifrar
• Uso de AMIs no
aprobadas
• MFA no habilitado
• ElasticSearch
fuera de VPCs

AWS Security Hub

Chequeos automáticos de alineamiento a buenas prácticas

Identificar rápidamente que necesita arreglarse

AWS Security Hub: Flujo de respuesta
Amazon Detective
Lambda Step Functions

Amazon Amazon
Inspector GuardDuty
Run Command
Systems
Manager Automation
AWS IAM Amazon
Access AWS Security Hub Amazon EventBridge
Macie
Analyzer
SNS • SIEM
• Ticketing
• Incident
- Antimalware – EDR Response
- Next-Gen Firewalls – IPS – IDS Platforms
AWS Firewall Solutions from
• Instant
Manager Partners - Vulnerability Scanners & AppSec Testing Solutions from messaging
(Estandarizado usando AWS Security Finding Format) Partners Notifications

AWS Security Hub: Partners
Partners que envían hallazgos Partners que toman medidas
Firewalls SIEM
Vulnerability Amazon
Detective
SOAR
Endpoint
Compliance
AWS Amazon Notifications / Other
Security Hub EventBridge
MSSP Other
Amazon Amazon Amazon AWS Firewall IAM

GuardDuty Inspector Macie Manager Access Analzer
AWS Systems Manager AWS Personal

Patch Manager Health Dashboard
Security Hub Automation Rules
Las reglas de automatización permiten actualizar o suprimir
hallazgos de Security Hub, sin necesidad de ningún código.

Security Hub Automation Rules
Casos de uso:
• Cambio de la gravedad de
los hallazgos
• Supresión de hallazgos
• Agregar notas
•

Remediación semiautomática o automática
O ejecución automática vía
Amazon
EventBridge
AWS Security Hub Automated Response and Remediation
• Alineamiento
automático (o semi-
automático) a las
buenas prácticas de
CIS AWS Foundation
• Centralización de logs
sobre la ejecución de
los playbooks con
notificaciones
https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/
CIS v1.2.0 Playbook
Acciones de remediación
comunes listas para usar
4.1: Cierro acceso al SSH
4.2: Cierro acceso al RDP

Security Hub Demo
Security Hub
DEMO
Compliance con PCI-DSS y otras regulaciones como las de
industria financiera
Gap
assessment
El Cliente es responsable
Seguridad por la seguridad de sus AWS Audit Manager
EN la nube cargas de trabajo en la nube
AWS es responsable por

Seguridad proteger la infraestructura
Cliente
DE la nube donde se ejecutan los
servicios
Descargalo y
AWS
apoyate en él
AWS Artifact

AWS Audit Manager

AWS Audit Manager
Audita continuamente su uso de AWS para simplificar la forma en que evalúa el

riesgo y el cumplimiento

Frameworks de AWS Audit Manager
Incluye marcos de evaluación preconstruidos de AWS y AWS Partners
• CIS (Center for Internet Security) Foundations Benchmark
• PCI DSS (Payment Card Industry Data Security Standard)
• GDPR (General Data Protection Regulation)
• GxP (Good Practice Quality guidelines)
• HITRUST (Health Information Trust Alliance)
• HIPAA (Health Insurance Portability and Accountability Act)
• FedRAMP (Federal Risk and Authorization Management Program)
• Mejores prácticas para Amazon S3, AWS IAM y Amazon DynamoDB
• Licencias de Software
Además, AWS Audit Manager soporta controles y frameworks definidos a medida

Fuentes de evidencia de AWS Audit Manager
Verificaciones de cumplimiento para configuraciones de recursos de
AWS Config, AWS Security Hub y AWS License Manager
Registros de actividad
del usuario desde
Evidencias cargadas
CloudTrail (incluidas
manualmente
snapshots de
(Ej. documentación)
configuración de las
llamadas a las APIs)

El viaje de la evidencia
2. Convierte la 3. Seleccionar y 4. Mapear la evidencias
1. Reúne logs
evidencia cruda en evaluar evidencia anotada y agregada a los
un formato universal cruda controles de auditoría
Evidencia cruda 1 Control Interno A

Evaluación 1
✓ Control de Auditoría 1-a
AWS CloudTrail
Evidencia cruda 2 Control Interno B ✓ Control de Auditoría 1-b
AWS Config ✓ ……
Evidencia cruda 3
Control Interno C
AWS Security Hub Evidencia cruda 4

Control Interno D
Evaluación 2
AWS License Manager Evidencia cruda 5
Control Interno E ✓ Control de Auditoría 2-a
✓ Control de Auditoría 2-b

Evidencia cruda 6
AWS Control Tower
Control Interno F
✓ ……
……
……
Controles de Detección
Módulo 8

• Amazon GuardDuty
• AWS Security Lake
• Opciones de SIEM en AWS

Detección de amenazas – Amazon GuardDuty
Amazon GuardDuty
Fuentes de Tipos de Tipos de Hallazgos Hallazgos - Un Click
datos detección
- Sin agentes*
VPC Flow
Minería de Bitcoins
- Free trial
Logs Threat Command & Control
intelligence AWS Security Hub
DNS Logs Conexiones anónimas
Reconocimiento ALTA
Análisis de Malware
CloudTrail Amazon Detective

Events MEDIA
Detección de Comportamiento inusual del Amazon EventBridge

usuario
S3 Data Plane anomalías • Alerta
Ejemplo: BAJA
Events (ML) • Lanzamiento de instancias • Remediación
• Cambios en los permisos de red • Soluciones de
EKS • Anomalías en el comportamiento Reconocimiento socios tecnológicos
de la Red
Control Plane • Patrones anómalos de acceso a Compromiso de • Envío al SIEM
los datos en Amazon S3 Instancia
RDS Aurora
Compromiso de
DB Login events
Cuenta
Nota: No requiere habilitar VPC Flow logs ni Cloudtrail
Amazon GuardDuty: vista de Resumen NEW

Reglas especificas para Amazon S3
• Acceso desde:
• potenciales herramientas de ataque
(Kali, Parrot, Pentoo)
• IPs Maliciosas
• IPs Anónimas (TOR)
• Anomalías:
• En el volumen de datos extraídos
• En la cantidad de objetos
eliminados
• Cambios en Políticas para debilitarlas
• Apagado de logs
• Apertura de Buckets
https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html
¿Qué detecta GuardDuty RDS Protection?
?
Scanning
Virtual Private Cloud (VPC)
Brute Force
Misused
Credentials pgAdmin
Password Spraying Amazon Aurora
/ Guessing

re:Invent Session: https://youtu.be/MnUsEzPNyXE
RDS Protection: Contexto para investigar y responder rápidamente

Detección de amenazas – Amazon GuardDuty

Amazon GuardDuty Malware Protection
Ofrece detección sin agentes de malware en cargas de trabajo en AWS
Detección de archivos Monitoreo central e Hallazgos

maliciosos con un solo clic en inspección automática contextualizados
toda la organización
No hay agentes que instalar, Identificación dentro de Sin impacto en el rendimiento

actualizar o mantener los contenedores ni costos de EC2 para el
escaneo
¿Cómo funciona?
Customer account – Region A
!
Hallazgo
Borrado de
Crear y compartir snapshot snapshot
EBS Shapshot ID:
customer Amazon Amazon
0xxxxBBxxxxxxx4321
KMS key GuardDuty GuardDuty
EBS
GuardDuty service account – Region A Malware

Scanner finding
compute
EBS customer KMS key

compartido via SLR
EBS
GuardDuty Malware Protection

Malware Protection no es un reemplazo para soluciones Cloud
Workload Protection / Endpoint Protection
• No se puede escanear y detectar tan pronto como el archivo llega al sistema
• No realiza un seguimiento de los comportamientos del sistema para generar
detecciones
• No pone en cuarentena/corrige las amenazas
GuardDuty Malware Protection todavía puede tener un lugar incluso con

EPP / CWP
• Puede hacer que las detecciones no sean detectadas por una solución basada en
agente
• Fuente única de hallazgos basados en red y malware
• Cubrir casos en los que EPP/CWP no está instalado
• Encuentre malware que está en el sistema de archivos pero diseñado para evadir a un
agente
GuardDuty EKS Protection: Runtime Monitoring
GuardDuty
EKS Protection
Amazon EKS Kubernetes Container

control plane control plane Amazon EC2 runtime
nodes
(AWS CloudTrail) (audit logs) (system events)

GuardDuty Demo
GuardDuty DEMO

AWS Security Lake
Ingestión y normalización
Herramientas de
Suscriptores
Gestión de
de datos
Fuentes de logs de AWS + seguridad y
hallazgos de 50 soluciones
Los clientes pueden analítica de AWS
de seguridad
usar cualquier
S3, Lake Formation, herramienta de
Glue, Lambda…
análisis
Open Cybersecurity Schema
Framework
Lago de datos de
seguridad del cliente,
gestionado, que escala a
petabytes
Soluciones de seguridad
Analíticos de terceros &
empresarial
Platformas XDR
re:Invent Session: https://youtu.be/V7XwbPPjXSY
AWS Security Lake - Beneficios
• Lago de datos gestionado

• Utiliza formato estándar (abierto):
Open Cybersecurity Schema Framework
→ No hay vendor lock-in
(tus datos no están captivos en un formato propietario que dificulta
migrar)
→ No hay inconsistencias
(formato estructurado)
→ Puedes consumirlos/consultarlos con múltiples herramientas
• Escala a petabytes

Amazon Security Lake Partners

Security Information and Event Manager
Es Security Hub un SIEM ? No.
- Las soluciones de SIEM agregan eventos (como un login success) y
luego se correlaciona para generar hallazgos / ofensas
- Security Hub agrega los hallazgos (información relevante para que el
equipo de seguridad tome una acción)
- Un caso de uso frecuente de Security Hub es centralizar hallazgos
nativos y enviarlos al SIEM
Hay un SIEM nativo de AWS ? Se puede implementar, no gestionado.
- AWS Security Lake + OpenSearch
- AWS Security Lake + Athena + Quicksight
- Solución AWS SIEM basada en OpenSearch
(CloudFormation template)
- SIEM de partners
Opciones de SIEM de Partners
Todos los principales proveedores de ✓ Splunk

SIEM soportan la colección de ✓ IBM Security QRadar
registros de AWS ✓ Sumo Logic
✓ Securonix
Algunos SIEM recopilarán más ✓ Exabeam
registros que otros, todos ✓ Rapid7
recopilarán CloudTrails, la mayoría ✓ Logrhythm
recopilará los hallazgos de
GuardDuty. ✓ Microfocus (arcsight)
✓ Gurucul
✓ Microsoft Azure Sentinel
✓ Elastic
✓ RSA, FortiSIEM, etc.
SIEM en OpenSearch
(ElasticSearch fork)
- Rápido de implementar
- Eficiente en costos
- Actualizada para usar
AWS Security Lake
- 2200+ reglas embebidas
(sigma)
Repositorio:
https://github.com/aws-samples/siem-on-amazon-opensearch-service
Workshop:
https://security-log-analysis-platform.workshop.aws/en
Seguridad en Contenedores
Módulo 9

• Problemática de seguridad en contenedores

• Modelo de responsabilidad compartida en ECS / EKS
• Defensa en profundidad en contenedores
• Buenas prácticas

Contenedores vs. VMs
Aplicaciones en contenedores Aplicaciones en maquinas virtuales
VM VM VM VM
App D
App A
App C
App B
App A App B App C App D
OS OS OS OS
Docker Hypervisor
Sistema operativo (Host)
Infraestructura Infraestructura
1 OS para múltiples containers 1 OS por VM
→ son más livianos

Infraestructura: Elige tu propia aventura
ECS EKS
EC2 Fargate En cualquier EC2 Fargate En cualquier

lugar lugar

Amazon Elastic Container Registry (ECR)

Modelo de responsabilidad compartida de Amazon ECS
EC2
CLIENTE Datos del cliente
Imagenes ECS Config Gestión de identidades y accesos
Tamaño de la instancia Sistema operativo Configuración de red y firewall
ECS Plano de
Cómputo Almacenamiento Base de datos Redes
Control
AWS
Puntos de acceso (Edge

Regiones Zonas de disponibilidad
Locations)
Responsabilidad del cliente Responsabilidad de AWS

Modelo de responsabilidad compartida de Amazon ECS
Fargate
CLIENTE Datos del cliente
Imagenes Gestión de identidades y accesos
Configuración de red y firewall
ECS Plano de
Cómputo Almacenamiento Base de datos Redes
Control
AWS
Puntos de acceso (Edge

Tamaño de la instancia Regiones Zonas de disponibilidad
Locations)
ECS Config Sistema operativo

EKS con workers gestionados por el cliente
Datos del cliente
Imágenes de contenedor, código fuente, IAM

Gestor de Programa-
Servidor
controlado- dor
de API
res (scheduler)
Plano de
control de
Kubernetes
Configuración del clúster EKS

ETCD
Escalado de nodos de
Configuración de VPC
trabajo
Configuración del sistema operativo, kubelet, CRI y
AMI*

EKS con grupos de nodos gestionados
Datos del cliente

Gestor de Programa-
Servidor
controlado- dor
de API
res (scheduler)
Plano de
control de
Kubernetes

ETCD
trabajo
AMI*

EKS con Fargate
Datos del cliente

Gestor de Programa-
Servidor
controlado- dor
de API
res (scheduler)
Plano de
control de
Kubernetes

ETCD
trabajo
AMI*

Defensa en profundidad para contenedores
• Distribución completa
• Tiempo de ejecución / Padrones
Amazon Linux 2 vs. Distribución
• Inmutabilidad de las imágenes
optimizada para contenedores Host • Todos los contenedores comparten
• Requisitos de Multi-Tenancy
un mismo OS core
(mitigación: Firecracker)
Contenedor
Dependencias
• Configuración confidencial
• Análisis de código (contraseñas, claves de API, etc.)
• ¿Fuente disponible? Código fuente
Configuración
• Sanear las entradas del usuario Datos de usuario • Datos básicos de la empresa
• Análisis de código estático • Información de identificación
personal (PII)

Prácticas recomendadas de seguridad en imágenes de contenedor
• Utilice una imagen base mínima, como scratch y distroless

• Elimine los binarios que no son necesarios en tiempo de ejecución
• Quite el acceso al shell del contenedor
• Docker multi-stage builds make using distroless images easy
• Reduzca el área de superficie de ataque del contenedor con imagenes diseñadas a medida
• Reducir el número de capas
• Los contenedores deben tener un único próposito y ser auto-contenido
• Ordena (Lint) tus Dockerfiles
“Best practices for writing Dockerfiles”:

https://docs.docker.com/develop/develop-images/dockerfile_best-practices/
• Realizar análisis estáticos de código (SAST)

• Hecho en el pipeline de CI antes de crear la imagen del contenedor
• No embeber datos sensibles en la imagen
• Montar los secretos en memoria en tiempo de ejecución.
• Usar tags inmutables
• Scan Imágenes de contenedor para detectar vulnerabilidades
• Idealmente integrado en el pipeline CI/CD antes de enviar imágenes a un repositorio
• Por lo general, se realiza como parte del almacenamiento / curación de imágenes en
container registry
• Firma las imágenes de contenedores

Amazon ECR: Análisis de vulnerabilidades en imágenes

(Open-source Clair)
• Configura CPU & memoria para el contenedor
• Deniega el permiso para ejecutarse como root
• Deniega mount en host path (excepto para emptyDir)
• Deniega Ejecución en modo privilegiado
• Restringe el uso del host networking
• Bloquea el acceso al instance metadata service (IMDS)

Protección de Datos
Módulo 10

• Seguridad y Privacidad de los datos en la nube de AWS

• Cifrado en Reposo
• Cifrado en Tránsito
• Seguridad y Privacidad en Amazon S3
• Descubrimiento y clasificación de datos con Amazon Macie
• AWS Wickr

El Cliente es el dueño de los datos,
controla el acceso y ubicación
Propiedad Acceso Trazabilidad
Usted conserva la propiedad y el control de su contenido, y elige en

qué región reside el contenido.
Encriptación
En Reposo En Tránsito

Donde pueden almacenarse las llaves de cifrado
NEW
AWS KMS AWS CloudHSM AWS Payment HSM on-prem AWS Marketplace
Cryptography
Basado en APIs HSM-like (PKCS,JCE…) Basado en APIs HSM-like (PKCS,JCE…) Gran amplitud
Multi Tenant Single Tenant Multi Tenant Warning: Latencia de soluciones
Servicio Gestionado Scaling/HA configurable Servicio Gestionado Cliente responsable por
FIPS 140-2 Level 3 FIPS 140-2 Level 3 Cumple estándares PCI: - Disponibilidad / HA
- PCI PIN, P2PE, DSS, 3DS - Durabilidad
- Escalabilidad
- Gestión
- Enlaces

Cifrado en Reposo
AWS Key Management Service (KMS)
Volúmenes Encriptados
Socio Soluciones/
Discos Encriptados Archivos Marketplace
EBS EC2
AWS Objetos Encriptados

KMS
Cifrado del lado del S3 SSE con claves del Criptografía del lado del
servidor S3 (SSE-S3) cliente (KMS) cliente S3
Bases de Datos Encriptadas
MSSQL Oracle MYSQL PostgreSQL Redshift RDS Redshift

Integraciones de AWS KMS
“BYOK”
(Import Key)
AWS CloudHSM
Single-Tenant Storage
AWS Marketplace
AWS Services AWS Key Management

Service (AWS KMS) AWS KMS Multi-Tenant
HSM Storage
Aplicaciones
External Key
Store (XKS)

Llaves del servicio vs. llaves privadas
Llaves de AWS Llaves manejadas Particulares
(AWS Owned) (AWS Managed) (Customer Managed Keys)
Llaves para múltiples
Llaves por cuenta Llaves privadas
clientes
Varía Rotación anual Rotación configurable
Gratuita Pago por uso Por llave + Por uso
Control sobre las llaves

- Deshabilitación
- Eliminación
- Control de Acceso
Permite compartir entre cuentas
(ej: SSE-S3) (ej: SSE-KMS aws/s3) Ej: (SSE-KMS mi-llave)

KMS DEMO

NEW
AWS Payment Cryptography
Clientes Punto de Venta Gateway de pago Adquiriente Red de tarjetas Emisores
(Fuera del alcance) ¡Emisores y redes de tarjetas

en el futuro!
Casos de uso soportados por AWS Payment Cryptography
▪ Encriptar/desencriptar ▪ Traducir pin (PCI PIN,

data sensible, DUKPT, BDK)
decodificar y verificar ▪ Desencriptación (PCI
contenidos P2PE)
AWS Payment
Cryptography ▪ Generar/verificar MAC

Beneficios
Simplifique la
Quite su dependencia Reduzca su carga Logre grandes configuración sin
de HSMs de pago operacional usando un volúmenes de necesidad de
dedicados logrando servicio totalmente funciones aprovisionar o
sus objetivos de manejado construído criptográficas junto administrar hardware
migración a la nube para cumplir los con baja latencia y con la facilidad de
estándares PCI capacidad que crece integración de las
elásticamente con su APIs de AWS
negocio

Encriptación en tránsito nativa de AWS
Trafico encriptado en capa Encriptación entre instancias

física entre ubicaciones seguras compatibles* dentro de una
de AWS misma VPC
* https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit

Cifrado en Tránsito
AWS Cloud
AWS Site-to-Site
Elastic Load AWS Certificate Amazon VPN
Balancing Manager (ACM) CloudFront
AWS Client VPN

Su Aplicación
AWS Verified
© 2023, Amazon Web Services, Inc. or its Affiliates. Access
AWS Certificate Manager: Cifrado en transito
• Certificados públicos solicitados con ACM, o privados (CA generada con ACM)
• Desplegada en Elastic Load Balancer
• ACM administra la renovación y la implementación
Certificado TLS público

certificado
dispositivos
Conexión Instancias Amazon

Elastic Load AWS Certificate CA pública
TLS/SSL segura
Balancing Manager
usuarios
Servidor
TLS público
certificado

AWS Certificate Manager: CA Privada
• ACM Private CA es una CA privada totalmente administrada
• Evita la complejidad de administrar una CA usted mismo
• Funciona como una CA independiente o junto con ACM para el certificado root
• Los certificados son de confianza dentro de su organización
Certificado TLS privado

certificado
Dispositivos
Conexión Instancias CA Privada

Elastic Load AWS Certificate
TLS/SSL segura
Balancing Manager
Empleados
Corporate
data center Traditional Mobile
Client
server Client

Amazon S3
• 99.999999999% (11 9’s)

• Dato replicado a 3 zonas de disponibilidad
• Permite versionado
• MFA al borrar
• Cifrado
• Vault/Legal Locks
• Bloqueo del acceso público por defecto
Amazon S3 fue diseñado seguro por defecto, aunque permite

flexibilidad para hacer el acceso publico por casos de uso como el alojar
un sitio web estático
Amazon Macie
Ganar visibilidad Descubrir Gobierno a escala Automatizar y

y evaluación de Datos centralizado tomar acciones
políticas sensibles
• Inventario de • Trabajos de • Integración con AWS • Hallazgos
Buckets inspección Organizations con detallados
• Políticas de flexibles en “auto-enable” • Gestión via APIs
Buckets alcance • Patrones de detección • Integración con
gestionados por AWS y AWS Security Hub
Custom
Amazon Macie: Descubrimiento de datos sensibles
Descubrimiento automatizado
Macie muestrea y analiza automáticamente los Permite una visibilidad amplia

objetos de sus buckets de S3, los inspecciona en y eficiente en costos sobre los
busca de datos confidenciales (como PII) y crea un datos sensibles almacenados
mapa de datos interactivo en Amazon S3
© 2023, Amazon Web Services, Inc. or its Affiliates. re:Invent Session: https://youtu.be/mRUVeyVF3jM
Amazon Macie
Seguridad y privacidad de datos escalable para Amazon S3
Formatos de archivo
• .txt .json .xml .csv .tsv
• .docx .xls .xlsx .pdf
• Parquet, Avro
• .tar .zip .gzip
Descubre datos sensibles
Ejecuta trabajos de descubrimiento de Tipos de datos

información sensible • Financieros (tarjetas de crédito,
número de cuenta bancaria, etc.)
• Información Personal (nombre,
dirección, datos de contacto, etc.)
• Documentación Nacional (pasaporte,
documento de identidad, licencia de
conducir, etc.)
• Datos Médicos
• Credenciales y secretos

• Personalizados (regex)
AWS Wickr Producto único con un conjunto completo
de capacidades de colaboración
Acceso multidispositivo (móvil, de escritorio) con

capacidad para funcionar en entornos de bajo
ancho de banda
Integrado a infraestructura de IT y gestión

central
Admite el archivado y la protección de la

privacidad de los datos
Opciones de implementación SaaS

federadas, auto-hospedadas y aisladas
Cifrado avanzado de extremo a extremo

(E2EE)
Ideal para War Rooms y
Comunicaciones sobre Seguridad reforzada en dispositivos personales
sin necesidad de VPN o software especial
información top secret
Respuesta ante incidentes
Módulo 11

AWS Customer Incident Response Team

Cómo evitar y responder ante los siguientes tipos de incidentes:
• Compromiso de credenciales
• Errores de configuración
• Compromiso de instancias
Amazon Detective

AWS Customer Incident Response Team (CIRT)
AWS Customer
Seguridad Asistencia en
Incident Response
EN la nube
Team incidentes
ACTIVOS de
seguridad (sin
Seguridad
costo)
DE la nube
Cliente
AWS
1. Abra un caso de soporte indicando que precisa apoyo del CIRT por un
incidente de seguridad activo
2. Contacte a su AWS Technical Account Manager / Solutions Architect para
acelerar.
Blogpost: https://aws.amazon.com/blogs/security/welcoming-the-aws-customer-incident-response-team
Playbooks: https://github.com/aws-samples/aws-customer-playbook-framework
AWS realiza su parte del modelo de responsabilidad
compartida eficientemente con automatizaciones
• Pipelines de despliegue continuo • Los mas altos niveles en

• Despliegue de parches hardening
• Procesos probados a escala • Auditoría
• Mínima intervención humana • La inversión en seguridad de AWS
enfocada en la supervisión de los es mucho más grande que lo que
procesos automatizados la mayoría de los clientes pueden
hacer individualmente
Siempre que sea posible transfieran responsabilidades de

seguridad a AWS eligiendo servicios abstractos o gestionados
¿Cuáles son los errores comunes
en las responsabilidades del
cliente ?

Compromiso de credenciales
✓ No guardes secretos en Código y rota las contraseñas
- EC2 Instance Profiles
- IAM Roles Anywhere
- AWS Secrets Manager
➢ NO se recomienda el uso de Access Keys
✓ Usa credenciales temporales
- IAM Identity Center
➢ NO se recomienda el uso de IAM Users ni usar root

Contactos de seguridad
Actualiza los
contactos de
seguridad
Utiliza un servidor
de correos Seguro
Controla el acceso
al telefono de
recupero en root
accounts
AWS Monitorea repositorios públicos en busca de
credenciales, alerta a los usuarios y las bloquea

Evitando credenciales duraderas para el acceso de los empleados
• Prefiere el acceso a la consola de AWS o al AWS Cli usando servicios

que otorgan credenciales temporales.
➢ IAM users cuyas credenciales no se rotan, con el tiempo van
incrementando su riesgo.
Usa AWS IAM Identity Center
Nota: Si no tienes control de la cuenta de administración de una AWS

Organizations, configura en IAM la federación de usuarios desde un Identity
Provider (OpenID Connect o SAML)
Cómo reaccionar ante credenciales de AWS
comprometidas
• Abrir un caso de soporte de severidad crítica.
• Rotar credenciales
• Habilitar MFA (idealmente para todos los usuarios)
• Identificar Roles y usuarios que no hayan sido creados por ustedes
• Analizar el impacto que pudieron haber tenido los adversarios en
base a los permisos de las credenciales comprometidas.
• Utilizar IAM Access Analyzer para identificar accesos externos y
remediarlos

Errores de configuración
✓ Desvíos de configuración / Buenas prácticas
(AWS Config y AWS Security Hub)
✓ Bloqueo de acceso público a los Buckets de Amazon S3
✓ Descubrimiento y clasificación de datos sensibles
(Amazon Macie)
✓ Detección de potenciales fugas de información
(Amazon GuardDuty S3 Protection)

AWS Security Hub y AWS Config
• Revisa el alineamiento de tus configuraciones con las buenas

prácticas de seguridad
➢ Empleados maliciosos o usuarios comprometidos podrían alterarlas.
➢ Los equipos de seguridad no tienen el tiempo para hacer assessments
manuales.
• Detecta configuraciones indeseables personalizadas con AWS Config

➢ Identificar si un puerto de un servicio crítico ej: 1433 o 3389 está
escuchando conexiones desde cualquier IP en Internet (abierto podría
recibir ataques de fuerza bruta).

Cómo reaccionar ante cambios anómalos en la
configuración
• Abrir un caso de soporte de severidad crítica si sospechan que
fue un adversario.
• Revisar en AWS Config cual fue el cambio y en que momento
fue realizado
• Revisar CloudTrail para entender quien hizo el cambio
(Athena permite consultarlo como SQL)
• Corregir el desvío
• Revisar otros desvíos con AWS Security Hub y AWS Config

Compromiso de Instancias
✓ Patching
(AWS Systems Manager Patch Manager – EC2 Image Builder)
✓ Protege tus aplicaciones con WAF

(en particular OS Command Injection)
✓ Administra las instancias con

AWS Systems Manager Fleet Manager
(evitando la necesidad de abrir puertos)
✓ Uso de credenciales temporales

Patching
• Asegurate de ser riguroso con el programa de parchado

➢ Vulnerabilidades en los sistemas operativos, middleware o
aplicaciones pueden permitir a los adversarios tomar control sobre su
infraestructura
• AWS Systems Manager patch manager no tiene costo para instancias en la

nube
• EC2 Image Builder no tiene costo adicional a los recursos generados.
• Establece procedimientos con expectativas y difúndelas entre los equipos de

desarrollo, que se espera y cómo se va a medir.
Cómo reaccionar ante instancias comprometidas
• Abrir un caso de soporte de severidad crítica

• Tomar snapshot para forense
• Aislar la instancia quitando su security group / bloqueando con una
Network ACL
• Recolectar información de la instancia
(describe-instances, runCommand)
• Cambiar los permisos en IAM para evitar que alguien fuera del equipo de
respuesta a incidentes pueda alterarla
Notas:
• Según la organización se bloqueará antes de recolectar evidencia o primero
recolectarán la evidencia y luego bloquearán, según su programa de seguridad.
• El Playbook de cada organización puede variar incluyendo pasos adicionales.

Automated Response to threats
Malicious
Hosts
TOR Client / C&C

/ Cryptomining
GuardDuty (Issue: high, confirmed)
Win/Linux
Instance
Security group
Snapshot
Amazon EventBridge
Lambda 1 Get instance Info

2 Tag Instance: → IAM deny policy denys termination of the instance to users
3 Isolate instance with SG → Close all connections

minutes
4 Allow Access only to Incident Forensics team on SG
→ The security group changes to isolate traffic from
5 EBS Snapshot anywhere except the Incident forensics workstation

import boto3, json
Ejemplo Lambda para aislar instancias

import time
from datetime import date
from botocore.exceptions import ClientError
import os
def lambda_handler(event, context):

response = 'Error remediating the security finding.'
try:
# Gather Instance ID from CloudWatch event
instanceID = event['detail']['resource']['instanceDetails']['instanceId']
# Get instance details

client = boto3.client('ec2')
ec2 = boto3.resource('ec2')
instance = ec2.Instance(instanceID)
instance_description = client.describe_instances(InstanceIds=[instanceID])
print('## INSTANCE DESCRIPTION: %s' % (instance_description))
## Isolate Instance - Change instance Security Group attribute to Forensics SG for Root Cause Analysis
instance.modify_attribute(Groups=[os.environ['ForensicsSG']])
## Create snapshots of EBS volumes

description= 'Isolated Instance:' + instance.id + ' on account: ' + event['detail']['accountId'] + ' on ' + date.today().strftime("%Y-%m-%d
%H:%M:%S")
SnapShotDetails = client.create_snapshots(
Description=description,
InstanceSpecification = {
'InstanceId': instanceID,
'ExcludeBootVolume': False
}
)
print('Snapshot Created -- %s' % (SnapShotDetails))
response = 'Instance ' + instance.id + ' auto-remediated'
except ClientError as e:
print(e)
return response
Amazon Detective

Amazon Detective: Casos de uso
Investigue los problemas más rápido y con menos esfuerzo
Alert Incident
Analysis
Hunting
Response
Análisis de hallazgos de Investigación Threat Hunting

seguridad (Triage) de un incidente Simplifica la colección de datos,
agregación y haciendo pivot
Acelera el diagnóstico inicial para evitar Mejora el contexto para las
escalamiento de incidentes cuando no sea investigaciones
necesario.

Investigación de
hallazgos

Análisis de Amazon VPC Flow Logs

Búsqueda de entidades de IP

Encadenamiento de roles
EL ENCADENAMIENTO DE ROLES ES REALIZAR UN ASSUME ROL
A OTROS ROLES PARA ESCALAR PRIVILEGIOS
1) Primer
assume role
2) Segundo
assume role
AMAZON DETECTIVE
Finding Group Visualization
- Reduce el tiempo de investigación
- Simplifica la labor de investigación
- Facilita la priorización
https://aws.amazon.com/blogs/security/reduce-triage-time-for-security-investigations-with-detective-visualizations-and-export-data
https://www.youtube.com/watch?v=TZZuQrC8ZtA
¿ Dónde sigo aprendiendo de
seguridad en AWS ?
Módulo 12

• Modelo de Madurez en Seguridad de AWS

• Trainings
• Workshops
• Libro

Modelo de madurez en
seguridad de AWS

Servicios de seguridad de AWS
Identidades y Controles de Seguridad en Protección Respuesta ante

Accesos Detección Infraestructura de Datos Incidentes
AWS Identity & Access Free AWS CloudTrail Free Tier AWS Systems Manager Free AWS Key Management AWS Config Rules
Management (IAM) Service (KMS) Free Tier
Free Free Tier
AWS Security Hub Trial
AWS Shield (standard) AWS Lambda Free Tier
AWS Organizations Free AWS CloudHSM
Free
Amazon GuardDuty Trial AWS WAF Amazon Detective Free Trial
AWS Control Tower Free AWS Certificate ManagerFree
Tier
AWS Security Lake New AWS Firewall Manager AWS Step Functions Free Tier
AWS Cognito Free Tier Amazon Macie Free Tier
Free Trial
Free AWS Config AWS Network Firewall AWS Elastic DR
AWS Directory Service Trial Server-Side Encryption Free
Free Amazon Free Tier Amazon Inspector Free

Trial
AWS Backup
AWS IAM Identity Center CloudWatch S3 Block Public Access Free
Free
Amazon Virtual Private AWS SSM Automations
AWS Secrets Manager Trial VPC Flow Logs Cloud (VPC) AWS Payment New
Cryptography
IAM Access Analyzer Free
Traffic Mirroring EC2 Image Builder Free
AWS Verified Access New
Trusted Advisor Free
Compliance
Free
AWS Artifact Free AWS Audit Manager
AWS Verified Permissions New Trial

https://aws.amazon.com/es/products/security/
Frameworks y Best Practices
NIST
Cybersecurity
Framework
Well-Architected document AWS Well-Architected Tool

¿ Cómo priorizar las recomendaciones ?
¿ Por dónde empiezo ?

¿ Cómo priorizar las recomendaciones ? Quick Wins
• Todos en una
semana
Más • Gran Beneficio
Fácil
Facilidad de implementación
Fácil=
1. Rápido / Sencillo
de implementar
2. Baja Carga Op.
3. Costo
Beneficio =
Mitigación de riesgos
críticos y/o de gran
probabilidad de
ocurrencia
Más
Difícil
Beneficio en el refuerzo de la postura de seguridad
Menor Mayor
Beneficio Beneficio
Es un camino evolutivo

Modelo de Madurez en seguridad de AWS
Mejorar tu postura es un
camino evolutivo
https://maturitymodel.security.aws.dev
Fase 1: Fase 2: Fase 3: Fase 4:

Quick Wins Fundacional Eficiente Optimizado
Servicios y Servicios y Recomendaciones Pipelines,

configuraciones que configuraciones que nos permiten automatizaciones,
Evolución
➢ Videos cortos, explicaciones podemos importantes, que un gobierno Capacidades de
implementar en forman la base de eficiente de la gobierno para grandes
concisas menos de una su postura de seguridad en la infraestructuras
semana y tener seguridad nube
➢ En Español, Inglés y Portugués importantes
beneficios
➢ Ordenados y categorizados
+ Workshops + Mindmaps + Webinars
Tiempo
AWS SECURITY MATURITY MODEL
Recomendaciones categorizadas y priorizadas

Contenidos actualizados con mapas mentales, workshops

y webinars

Herramienta de self-assessment Assessment tool
https://maturitymodel.security.aws.dev/en/assessment-tools

Maturity Model Demo (Image recorded –
voice to be added during the presentation)

Maturity model assessment tool Demo
(Image recorded – voice to be added during
the presentation)

Siguientes Pasos: Ramp-Up Guide
https://d1.awsstatic.com/training-and-certification/ramp-up_guides/Ramp-Up_Guide_Security.pdf

Siguientes Pasos: SkillBuilder
https://explore.skillbuilder.aws/learn/public/learning_plan/view/91/security-learning-plan
Siguientes Pasos: Workshops
Practicar https://workshops.aws/card/Security
Para quienes prefieren la lectura
• Guía con los contenidos para cubrir

todos los temas de la certificación
• Ejercicios prácticos
• Preguntas de práctica para el examen
• 100 Flashcards para memorizar

AWS Security Community LATAM
(User Group)
Eventos de la comunidad
• Temáticas varias
• Profundización sobre los temas
• Charlas de especialistas de AWS
y de miembros de la comunidad
Redes Sociales
- https://www.youtube.com/c/AWSSecurityLATAM
- https://www.linkedin.com/company/awssecuritylatam
- https://www.twitch.tv/awssecuritylatam
- https://www.meetup.com/es/awssecuritylatam
Slack
- https://bit.ly/aws-sec-com (canal #eventos)

Para mirar a demanda re:Invent / re:Inforce
• Sesiones de seguridad en re:Invent 2022

➢ https://youtube.com/playlist?list=PLB3flZ7qA4xuyPXE2yvBEutvR6h5oPZzs
• Sesiones de seguridad en re:Inforce 2023

➢ https://www.youtube.com/@AWSEventsChannel/search?query=re%3Ainforce
• Registro re:Invent 2023

➢ https://reinvent.awsevents.com/

¡ Gracias !
¿ Preguntas ?

AWS Inmersion Day Aug

Cargado por

Copyright:

Formatos disponibles

AWS Inmersion Day Aug

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

AWS Inmersion Day Aug

Cargado por

Copyright:

Formatos disponibles

AWS Security Immersion Day

© 2023, Amazon Web Services, Inc. or its Affiliates.

- Estarán disponibles tanto las presentaciones como la grabación del evento,

- Por favor hagan las preguntas usando el modulo de preguntas y respuestas

© 2023, Amazon Web Services, Inc. or its Affiliates.

Dario Andrés Fabián David Eduardo David Omner Julieta

© 2023, Amazon Web Services, Inc. or its Affiliates.

© 2023, Amazon Web Services, Inc. or its Affiliates.

• Modelo de responsabilidad compartida

• Cómo AWS hace su parte

• Cómo ayudamos al cliente a hacer su parte

© 2023, Amazon Web Services, Inc. or its Affiliates.

© 2023, Amazon Web Services, Inc. or its Affiliates.

Escases de recursos → El CSP tiene equipos de seguridad 24x7, no estás solo.

Amenazas externas evolucionan

Seguridad EN El Cliente es responsable por la

Seguridad DE AWS es responsable por

© 2023, Amazon Web Services, Inc. or its Affiliates.

© 2023, Amazon Web Services, Inc. or its Affiliates.

• Uso a demanda con pago

© 2023, Amazon Web Services, Inc. or its Affiliates.

© 2023, Amazon Web Services, Inc. or its Affiliates.

© 2023, Amazon Web Services, Inc. or its Affiliates.

© 2023, Amazon Web Services, Inc. or its Affiliates.

© 2023, Amazon Web Services, Inc. or its Affiliates.

© 2023, Amazon Web Services, Inc. or its Affiliates.

© 2023, Amazon Web Services, Inc. or its Affiliates.

© 2023, Amazon Web Services, Inc. or its Affiliates.

Informes de auditoría y cumplimiento disponibles para

Dispositivos de almacenamiento son destruidos DENTRO del

© 2023, Amazon Web Services, Inc. or its Affiliates.

© 2023, Amazon Web Services, Inc. or its Affiliates.

© 2023, Amazon Web Services, Inc. or its Affiliates.

• Pipelines de despliegue continuo

La inversión en seguridad de AWS es mucho más grande que lo que la

© 2023, Amazon Web Services, Inc. or its Affiliates.

Hereda los Permite Los más altos Automatización La mayor red

© 2023, Amazon Web Services, Inc. or its Affiliates.

CSA Consensus Assessments Standardized Information

© 2023, Amazon Web Services, Inc. or its Affiliates.

© 2023, Amazon Web Services, Inc. or its Affiliates.

Well-Architected document AWS Well-Architected Tool

© 2023, Amazon Web Services, Inc. or its Affiliates.

Identidades y Controles de Seguridad en Protección Respuesta ante

Free Amazon Free Tier Amazon Inspector Free

© 2023, Amazon Web Services, Inc. or its Affiliates.

Cientos de socios en el AWS Marketplace

© 2023, Amazon Web Services, Inc. or its Affiliates.

© 2023, Amazon Web Services, Inc. or its Affiliates.

Así como un cliente no puede acceder

© 2023, Amazon Web Services, Inc. or its Affiliates.

Una cuenta Multi-cuenta

Protección de logs en cuenta aparte

© 2023, Amazon Web Services, Inc. or its Affiliates.

1. Orgs: Gestión - SCPs

3 3. Security: Servicios de seguridad, GD,

4. Shared services: AD, DNS, monitoreo

Cuentas de desarrollo 7. Dev: Desarrollo

6 Developer 8. Pre-Prod: Staging - Testing

Desarrollo Pruebas Producción