Una empresa de mercadotecnia para el marketing (martech) fortalece la seguridad de AWS a través de la estandarización

Evaluación de las necesidades

Durante la fase de evaluación del compromiso, los consultores de AWS de NTT DATA trabajaron con el cliente para revisar el estado actual del entorno de seguridad. Llevaron a cabo un análisis exhaustivo de las brechas entre sus estados de seguridad actuales y deseados, y revisaron todo, desde el registro hasta las redes y la administración del acceso. A partir de este análisis, los consultores desarrollaron una hoja de ruta detallada y personalizada que incluía un diseño de arquitectura mutuamente acordado y una lista priorizada que detallaba las decisiones tecnológicas clave en torno a una zona de aterrizaje desarrollada de forma segura, la supervisión del cumplimiento, las alertas y, en algunos casos personalizados, la autocorrección.

Ofrecer la solución correcta

Con la planificación creada en la evaluación, el equipo de consultores de AWS de NTT DATA comenzó el trabajo para crear una postura de seguridad estándar en todos los entornos de AWS, a la vez que proporcionó artefactos que pueden ayudar al equipo a replicar el proceso para futuras adquisiciones. Con una metodología ágil, NTT DATA comenzó el proceso de garantizar que todas las normas aplicables de CIS se aplicaran de forma coherente a las cuentas de AWS. Con estas bases, desarrollaron una arquitectura de cuenta de la zona de aterrizaje de AWS, que incluye la configuración de Jenkins con bibliotecas propias que establecen una base para la automatización de DevOps. NTT DATA también aplicó identificadores de cuenta que garantizan la aplicación del principio de menos privilegios para que solo el personal autorizado pueda realizar cambios.

Automatización del refuerzo de las cuentas

El cliente quería asegurarse de que las cuentas de AWS existentes estuvieran reforzadas con los mismos estándares de CIS y aplicaran las mismas prácticas óptimas de seguridad de AWS. El proceso de refuerzo de la cuenta implica la implementación de varias prácticas óptimas y cambios de configuración para diferentes servicios de AWS. Las plantillas de AWS CloudFormation automatizaron el refuerzo de las cuentas de AWS; la plantilla principal de AWS CloudFormation para el refuerzo hace su trabajo invocando otras plantillas que, a su vez, ejecutan diferentes cambios de configuración en la cuenta. A través de estas plantillas anidadas de AWS CloudFormation, se logró el fortalecimiento y se mantuvo con lo siguiente:

• Se habilitaron los registradores de configuración de AWS Config, lo que permite al servicio capturar los cambios en las configuraciones del sistema y guardarlos como elementos de configuración (CI). AWS Config también permite al equipo del cliente crear y almacenar su estado de configuración deseado y las reglas asociadas. AWS Config se integra con una CMDB de ServiceNow que almacena todos los CI de los recursos de AWS.
• Grupos y reglas de IAM desarrollados a medida para funciones como desarrollador, respuesta a incidentes, DevOps, etc. Estos roles personalizados garantizan que se aplique el acceso con menos privilegios.
• Se han eliminado las VPC predeterminadas y se han sustituido por VPC con controles de seguridad y auditoría adecuados.
• Política de contraseñas reforzadas, lo que garantiza que se implementen y apliquen políticas estrictas de contraseñas.
• AWS CloudTrail proporciona auditoría de cuentas de AWS a través de un historial de eventos almacenado que facilita la auditoría del cumplimiento de CIS y, al mismo tiempo, la detección de actividades inesperadas de la cuenta. En todas las regiones, AWS CloudTrail envía automáticamente su registro de eventos a un cubo de auditoría y a CloudWatch Logs. Los consultores de NTT DATA también crearon una alerta SNS para las alarmas de CloudWatch, que notifica al cliente cuando una cuenta se desvía de su configuración esperada.
• Una plantilla de nivel 2 de CIS que garantiza la configuración segura de las imágenes reforzadas.

Para automatizar aún más el proceso, los equipos trabajaron juntos para crear un trabajo de canalización impulsado por Jenkins que ejecuta diferentes trabajos por etapas para reforzar una cuenta. Jenkins garantiza la creación y distribución segura de Amazon Machine Images (AMI) en varias cuentas de AWS y proporciona los datos necesarios para lanzar instancias seguras. También crea cubos de S3 para DevOps y auditoría, aplica reglas de referencia de CIS Foundation y habilita Amazon GuardDuty para la detección de amenazas.

LogRhythm, una herramienta de gestión de información y eventos, se integra como parte del refuerzo de la cuenta, de modo que cualquier cuenta de AWS nueva o existente se crea sistemáticamente para permitir el acceso de LogRhythm a los registros de esa cuenta.

A través de un proceso de seguridad totalmente automatizado, la empresa estandarizó el refuerzo de CIS de nivel 2 en todas sus cuentas de AWS, implementado con un panel de cumplimiento de CIS para facilitar la supervisión y la administración continuas.

Mejorar la supervisión de la integridad de los archivos

La empresa de martech también trató de reforzar su infraestructura de Amazon con la ayuda de la supervisión de la integridad de los archivos (FIM). Como parte de un régimen de seguridad de prácticas óptimas, como recomienda CIS Critical Security Control 3.5, el FIM permite identificar y explicar los cambios del sistema, marcando los cambios inesperados para su seguimiento. De este modo, las organizaciones pueden mantener sus sistemas en un estado bueno conocido, al tiempo que crean una pista de auditoría con fines de cumplimiento.

Repensar el almacenamiento con los cubos de Amazon S3

El equipo de consultoría de AWS de NTT DATA comenzó esta parte del proyecto con paquetes de Amazon Simple Storage Service (S3), el almacenamiento en la nube pública del proveedor de nube. Cada vez que se realiza una operación sobre un objeto S3, se crea un evento de datos. Estos eventos de datos pueden estar acompañados por la información detallada, como quién, cuándo, qué y dónde. Para capturar y registrar los eventos de datos de S3, NTT DATA habilitó el registro a nivel de objetos de S3 que funciona en conjunto con AWS CloudTrail.

Mantener la conformidad con AWS CloudTrail

Impulsado por un historial de eventos registrados, AWS CloudTrail es el servicio de Amazon para la auditoría de conformidad y el marcado de la actividad inusual en las cuentas de AWS. La solución registra los eventos de datos de S3, como GetObject, DeleteObject y PutObject, en un registro de cuenta de auditoría de AWS CloudTrail para aumentar la visibilidad y proporcionar un registro histórico para los informes de conformidad. Esto permite que el equipo de seguridad ejecute el registro a nivel de objeto de S3 como parte de sus trabajos de refuerzo de cuentas para garantizar que todos los cubos de S3 creados previamente cuenten con las medidas de seguridad necesarias.

Validar la integridad de los archivos de registro

Si bien el registro de eventos en los registros de AWS CloudTrail es un primer paso necesario, para garantizar su integridad, es necesario supervisar la integridad de los archivos. Y la validación de integridad de archivos de AWS CloudTrail proporciona archivos de registro de nivel probatorio. Una vez validada la integridad de los archivos de registro y garantizado el cumplimiento, la empresa dispone de un control de detección que cumple con los requisitos legales y de auditoría.

Seguridad a escala

Para garantizar que el sistema de seguridad se amplía, el equipo consultor empleó automatización que valida semanalmente la integridad de los archivos de registro de los paquetes S3. Esto permite al equipo de seguridad proporcionar informes, según sea necesario. Además, las notificaciones de fallas de integridad se envían automáticamente a través de SNS a un grupo de Active Directory, el equipo de SecOps, para su posterior investigación, y para evitar alertas ruidosas. Por último, se creó una pista de evidencia de las automatizaciones y se demostró que se ejecutó el trabajo de validación de integridad, lo que dio al equipo de SecOps un historial registrado del trabajo de validación.

Crear los beneficios de las bases para la nube

Los esfuerzos proactivos de estandarización de los controles de seguridad de la empresa de martech le han ayudado a conseguir sistemas y cuentas de AWS reforzados. Además, la validación de la integridad de los archivos de AWS CloudTrail le ha ayudado a lograr registros de nivel probatorio que cumplen con los requisitos regulatorios y legales. De esta manera, la empresa puede conciliar sus cambios a nivel de objeto S3, y marcar rápidamente eventos inesperados para que el equipo de seguridad los investigue más a fondo y, cuando sea necesario, los solucione.

Además, la empresa tiene ahora una posición de seguridad establecida y defendible dentro de su entorno de AWS, completa con un marco de prácticas óptimas de seguridad respaldado por los puntos de referencia del nivel 2 de CIS. Esta postura de seguridad estandarizada permite a la empresa incorporar de forma segura futuras adquisiciones a la vez que agiliza la auditabilidad. Además, con las barreras de protección y la reparación automática personalizada, el equipo de desarrollo puede innovar a la velocidad del mercado, sabiendo que la seguridad de AWS se consigue de forma coherente.