Un par de meses atrás, el proveedor que ofrece soporte a la gestión de aplicaciones DevOps, Code Spaces, cesó sus operaciones. Estando alojado en la nube de Amazon Web Service (AWS) sufrió un ataque de denegación de servicio por un autor que exigía un rescate. El episodio plantea la pregunta: ¿Cómo se puede evitar que esto le suceda a su cuenta en la nube de AWS?
A continuación se presentan las mejores prácticas a seguir al usar la nube de AWS, o en realidad cualquier nube IaaS.
Lo más importante a recordar es que cuando los clientes utilizan la nube, la seguridad no se proporciona de por sí para todas las cargas de trabajo. AWS subraya que no tiene lo que se llama un modelo de “seguridad compartida”. Esto significa que AWS proporcionará la seguridad de sus centros de datos físicos (las máquinas virtuales, almacenamiento e incluso características de seguridad), pero corresponde a los clientes implementar servicios de seguridad en la parte superior de su infraestructura de AWS.
Habilite la autenticación de dos factores o de múltiples factores
Un método común para hacer que a los hackers les sea difícil entrar en su cuenta, es habilitar la autenticación de dos factores (2FA). Este proceso requiere que los usuarios realicen dos formas de verificación antes de iniciar sesión en un sistema. Por ejemplo, una contraseña y un código que se genera y es introducido por el usuario. AWS ofrece un servicio gratuito de autenticación de múltiples factores (clic aquí para más información sobre el mismo).
Una cosa es tener la autenticación de dos factores, pero otra es garantizar que esas claves privadas estén protegidas. AWS tiene una variedad de opciones para asegurarse de esto, incluyendo su HSM, que significa módulo de seguridad de hardware por sus siglas en inglés. Es un dispositivo que ayuda a que las organizaciones administren sus claves, y puede sentarse detrás del firewall del cliente en sus propias instalaciones. Más información sobre HSM aquí.
Controle su nube de actividad sospechosa
Los usuarios pueden hacer que a los hackers les sea difícil entrar en la nube, pero es probable que también quieran asegurarse de que ningún usuario no autorizado lo haga. Hay una variedad de opciones para controlar el uso de AWS, incluyendo algunas herramientas gratuitas de AWS, y muchos otros servicios que se pueden comprar en el AWS Marketplace.
Una de estas herramientas es la que se llama CloudTrial, que la compañía lanzó en su re: Invent Summit del año pasado (la oferta todavía está en fase beta). Ésta crea una log-API que informa de toda la actividad en la cuenta de un usuario. Estos datos pueden ser objeto de dumping en soluciones de seguimiento y análisis. Lea más sobre esto aquí.
La idea es que debe buscar un comportamiento anormal, como usuarios desconocidos que inician sesión en momentos inusuales o desde direcciones IP desconocidas. Hay una variedad de herramientas en el mercado que también realizan estas tareas. Una, llamada Skyfence, es un sistema basado en proxy que monitorea la actividad de usuarios de AWS y alerta cuando sucede algo fuera de lo común.
Evite que los usuarios no autorizados causen estragos
Si tiene una herramienta de monitoreo para identificar la actividad no deseada, el siguiente paso es asegurarse de que el huésped indeseado no pueda hacer daño. El sistema de proxy de la herramienta Skyfence puede cerrar las cuentas de AWS, agregar las credenciales de autenticación para acceder a la consola de administración, y requiere que cualquier cambio en la nube de AWS sea aprobado por los usuarios autorizados. En el caso de Code Spaces, esto podría haber impedido que los hackers borren información en la nube AWS de la empresa.
Encriptación
Hay una variedad de otras maneras de asegurarse de que los hackers no puedan causar daños, incluso si no se meten en su cuenta de AWS. Una de ellas es mediante el cifrado de la información almacenada en la nube de AWS. El mercado de AWS tiene muchos proveedores de encriptación, tales como SafeNet y Vormetric, que proporcionan diversos servicios de cifrado. Tenga en cuenta que AWS proporciona alguna encriptación a nivel de base para su servicio de almacenamiento simple (S3) y algunos otros servicios, pero está destinado a proteger de los ataques masivos contra todo el sistema. Si un hacker obtiene acceso a la cuenta de un usuario, este cifrado no será eficaz de evitar que los intrusos modifiquen los datos.
Firewall de aplicación web
El incidente de Code Spaces empezó como un ataque DDoS, que luego se convirtió en un incumplimiento mayor. Una forma de prevenir los ataques DDoS es implementar un firewall de aplicación web. Estos están disponibles en los mercados AWS de empresas como Barracuda y Alert Logic. Estas ofertas pueden ser utilizadas para supervisar el tráfico entrante, reconocer el comportamiento inusual como un DDoS, y bloquearlo.
Copia de seguridad
Una buena práctica de seguridad es hacer una copia de los datos, señala Rob Ayoub de NSS Labs, quien recientemente escribió un artículo sobre las mejores prácticas de AWS Security. La copia de seguridad de los datos puede no prevenir un ataque, pero podría ayudarle a recuperarse rápidamente de uno.
Muchas personas tienen la idea errada de que si los datos se almacenan en la nube, automáticamente se crea una copia de seguridad. Eso es cierto para algunos servicios, pero no todos. AWS Elastic Block Store (EBS) y S3, por ejemplo, son de alta disponibilidad, lo que significa que AWS promete -con un alto grado de certeza- que los datos no se perderán, ya que está respaldado dentro del sistema (si un usuario obtiene acceso a la consola de administración de estos datos los puede modificar, inutilizando las copias de seguridad incorporadas). Las instancias de máquinas virtuales EC2 no se copian automáticamente. Conozca las garantías que trae cada servicio, investigándolos antes de utilizarlos.
La idea aquí es que si un hacker tiene acceso a una cuenta y causa daños, el usuario dispone de una copia de seguridad de los datos. Cada usuario tiene que evaluar qué datos requieren una copia de seguridad. Algunas organizaciones hacen copias de seguridad de todo; otras solo justifican copias de seguridad de datos de misión crítica. Algunas copias de seguridad son en vivo, lo que significa que se copia en tiempo real. Otras se pueden configurar para que se hagan a diario, de forma semanal, mensual o en cualquier intervalo que el cliente quiera.
AWS tiene una variedad de opciones de copia de seguridad, incluyendo sus distintas ofertas de almacenamiento y bases de datos, como S3, EBS y DynamoDB. También dispone de Glacier, que es un servicio de “almacenamiento en frío” que ofrece muy bajo costo y una alta tolerancia a las fallas de almacenamiento, pero con tiempos de respuesta relativamente lentos a la hora de recuperar los datos. Otros clientes pueden sentirse más cómodos con que las copias de seguridad de los datos se queden en su entorno local y no en la nube.
Actualización de aplicaciones
Otra idea falsa, señala Ayoub, es que siempre se actualizan las aplicaciones en la nube. Eso puede ser cierto en un entorno SaaS, pero en IaaS no tanto. AWS ofrece la infraestructura a nivel de base para alojar aplicaciones. Es responsabilidad del cliente controlar las aplicaciones que se ejecutan en las máquinas virtuales. Muchos proveedores actualizan su software con frecuencia para reparar los errores y actualizar sus funciones de seguridad. Todos esos avances son inútiles si no tiene la versión más actualizada del software que está ejecutando.
¿Estos consejos hubieran evitado lo sucedido con Code Spaces? No hay forma de saberlo. Ayoub señala que la realidad es que muchas organizaciones no están tomando las precauciones de seguridad apropiadas. Aunque el uso de la nube puede venir con beneficios económicos como la reducción de los costos de hardware, facilidad de gestión y acceso ubicuo, no solo debe lanzar las cargas de trabajo a la nube sin pensar mucho acerca de la seguridad.
– Brandon Butler, Network World (EE.UU.)