# Seguridad
El pilar de seguridad engloba la capacidad de proteger datos, sistemas y activos para sacar partido de las tecnologías de nube con el fin de mejorar su nivel de seguridad.
El pilar de seguridad ofrece una visión general de principios de diseño, prácticas recomendadas y preguntas. Encontrará recomendaciones de implementación en el [documento técnico Pilar de seguridad](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html?ref=wellarchitected-wp).
**Topics**
+ [Principios de diseño](sec-design.md)
+ [Definición](sec-def.md)
+ [Prácticas recomendadas](sec-bp.md)
+ [Recursos](sec-resources.md)
# Principios de diseño
Existen siete principios de diseño de seguridad en la nube:
+ **Implemente sólidas bases de identidad**: aplique el principio del privilegio mínimo y haga cumplir la separación de funciones con la autorización adecuada para cada interacción con los recursos de AWS. Centralice la administración de identidades y establézcase como objetivo eliminar la dependencia de las credenciales estáticas a largo plazo.
+ **Posibilite la trazabilidad**: supervise, cree alertas y audite acciones y cambios en su entorno en tiempo real. Integre la recopilación de registros y métricas con sistemas para investigar y tomar medidas automáticamente.
+ **Implemente seguridad en todos las capas**: aplique un enfoque de defensa exhaustivo con varios controles de seguridad. Impleméntelo en todas las capas (por ejemplo, red periférica, VPC, equilibrio de carga, cada instancia y servicio de computación, sistema operativo, aplicación y código).
+ **Automatice las prácticas recomendadas de seguridad**: los mecanismos de seguridad automatizados basados en software mejoran la capacidad de escalar de forma segura, más rápida y más rentable. Cree arquitecturas seguras, como la implementación de controles definidos y administrados como código en plantillas controladas por versión.
+ **Cifre datos en tránsito y en reposo**: clasifique sus datos en niveles de confidencialidad y utilice mecanismos como el cifrado, la tokenización y el control de acceso cuando corresponda.
+ **Mantenga a las personas alejadas de los datos**: use mecanismos y herramientas para reducir o eliminar la necesidad de acceso directo o de procesamiento manual de datos. De esta forma, se reducen los errores humanos y el riesgo de una mala praxis o modificación al tratar con información confidencial.
+ **Prepárese para eventos de seguridad**: prepárese para un incidente teniendo a su disposición procesos y políticas de investigación y administración de incidentes que se ajusten a los requisitos de su organización. Ejecute simulaciones de respuesta frente a incidencias y use herramientas con automatización para aumentar la velocidad de detección, investigación y recuperación.
# Definición
Existen seis áreas de prácticas recomendadas para la seguridad en la nube:
+ **Seguridad**
+ **Identity and Access Management**
+ **Detección**
+ **Protección de la infraestructura**
+ **Protección de los datos**
+ **respuesta frente a incidencias**
Antes de diseñar una carga de trabajo, hay que adoptar prácticas que influyen en la seguridad. Debe controlar quién puede hacer qué. Además, debe poder identificar los incidentes de seguridad, proteger sus sistemas y servicios, y mantener la confidencialidad e integridad de los datos a través de la protección de datos. Debe tener un proceso ben definido y practicado para responder a los incidentes de seguridad. Estas herramientas y técnicas son importantes porque respaldan objetivos como la prevención de pérdidas económicas o la conformidad con las obligaciones reglamentarias.
El modelo de responsabilidad compartida de AWS permite que las organizaciones que adoptan la nube logren alcanzar sus metas de seguridad y cumplimiento. Puesto que AWS protege físicamente la infraestructura que sustenta nuestros servicios en la nube, como cliente de AWS puede centrarse en utilizar servicios para alcanzar sus metas. La nube de AWS también ofrece más acceso a los datos de seguridad y un enfoque automatizado para responder a los eventos de seguridad.
# Prácticas recomendadas
**Topics**
+ [Seguridad](sec-security.md)
+ [Identity and Access Management](sec-iam.md)
+ [Detección](sec-detection.md)
+ [Protección de la infraestructura](sec-infrastructure.md)
+ [Protección de los datos](sec-dataprot.md)
+ [Respuesta ante incidentes](sec-incresp.md)
# Seguridad
Para utilizar la carga de trabajo de forma segura, debe adoptar prácticas recomendadas globales en cada área de seguridad. Lleve los requisitos y los procesos que ha definido en la excelencia operativa a un nivel de organización y carga de trabajo, y aplíquelo a todas las áreas.
Mantenerse al día con las recomendaciones de AWS y el sector y la inteligencia de amenazas le ayudan a desarrollar el modelo de amenaza y controlar los objetivos. La automatización de los procesos de seguridad, las pruebas y la validación le ayudan a escalar las operaciones de seguridad.
Las siguientes preguntas se centran en las consideraciones de seguridad. (Para ver una lista de preguntas y prácticas recomendadas sobre la seguridad, consulte el [Apéndice](a-security.md)).
| SEC 1: ¿Cómo utiliza la carga de trabajo de forma segura? |
| --- |
| Para utilizar la carga de trabajo de forma segura, debe adoptar prácticas recomendadas globales en cada área de seguridad. Lleve los requisitos y los procesos que ha definido en la excelencia operativa a un nivel de organización y carga de trabajo, y aplíquelo a todas las áreas. Mantenerse al día con las recomendaciones de AWS, las fuentes del sector y la inteligencia de amenazas le ayudan a desarrollar el modelo de amenaza y controlar los objetivos. La automatización de los procesos de seguridad, las pruebas y la validación le ayudan a escalar las operaciones de seguridad. |
En AWS, se recomienda separar las distintas cargas de trabajo por cuenta, según su función y los requisitos de cumplimiento o confidencialidad de los datos.
# Identity and Access Management
La administración de identidades y accesos representa una parte clave de un programa de seguridad de la información, ya que garantiza que solo los usuarios y componentes autorizados e identificados puedan acceder a sus recursos (y solo de la forma prevista). Por ejemplo, debería definir las entidades principales (es decir, cuentas, usuarios, roles y servicios que pueden intervenir en su cuenta), crear políticas que hagan referencia a estas entidades e implementar una administración sólida de credenciales. Estos elementos de administración de privilegios constituyen el núcleo de la autenticación y la autorización.
En AWS, la administración de privilegios se apoya principalmente en el servicio AWS Identity and Access Management (IAM), que permite controlar el acceso de usuarios y programas a los servicios y recursos de AWS. Procure aplicar políticas granulares que asignen permisos a cada usuario, grupo, función o recurso. También puede exigir prácticas de contraseñas seguras; por ejemplo, puede establecer el nivel de complejidad, impedir la reutilización y emplear autenticación multifactor (MFA). Puede usar la federación con su servicio de directorio existente. Cuando las cargas de trabajo requieren que los sistemas tengan acceso a AWS, IAM posibilita un acceso seguro mediante la asignación de roles, perfiles de instancia, federación de identidades y credenciales temporales.
Las siguientes preguntas se centran en estas consideraciones de seguridad.
| SEC 2: ¿Cómo administra las identidades de personas y máquinas? |
| --- |
| Hay dos tipos de identidades que debe administrar cuando tenga que utilizar cargas de trabajo de AWS seguras. Entender el tipo de identidad que necesita administrar y a la que debe otorgar acceso ayuda a garantizar que las identidades adecuadas tengan acceso a los recursos correctos bajo las condiciones adecuadas. Identidades humanas: los administradores, desarrolladores, operadores y clientes finales requieren una identidad para acceder a sus aplicaciones y entornos de AWS. Estos son miembros de la organización o usuarios externos con los que colabora y que interactúan con sus recursos de AWS a través de un navegador web, una aplicación cliente o herramientas de línea de comandos interactivas. Identidades de máquinas: las aplicaciones de servicio, las herramientas operativas y las cargas de trabajo requieren una identidad para realizar solicitudes a los servicios de AWS, por ejemplo, para leer datos. Entre estas identidades se incluyen máquinas que se ejecutan en su entorno de AWS, como instancias de Amazon EC2 o funciones de AWS Lambda. También puede administrar identidades de máquinas para terceros que necesiten acceso. Además, es posible que también tenga máquinas fuera de AWS que necesiten acceso a su entorno de AWS. |
| SEC 3: ¿Cómo administra los permisos de personas y máquinas? |
| --- |
| Administre permisos para controlar el acceso a identidades de personas y de máquinas que requieran acceso a AWS y sus cargas de trabajo. Los permisos controlan quién puede acceder a qué y en qué condiciones. |
Las credenciales no se deben compartir entre usuarios o sistemas. El acceso de los usuarios se debe conceder empleando un enfoque de privilegio mínimo con prácticas recomendadas, como los requisitos de contraseña y la obligatoriedad de usar MFA. El acceso programático, incluidas las llamadas a la API de los servicios de AWS, debe realizarse mediante credenciales temporales y de privilegio limitado como las emitidas por AWS Security Token Service.
AWS ofrece recursos que pueden ayudar a administrar la identidad y el acceso. Para conocer las prácticas recomendadas, explore los laboratorios prácticos sobre [la administración de credenciales y autentificación](https://wellarchitectedlabs.com/Security/Quest_Managing_Credentials_and_Authentication/README.html?ref=wellarchitected-wp), [el control del acceso humano](https://wellarchitectedlabs.com/Security/Quest_Control_Human_Access/README.html?ref=wellarchitected-wp)y [el control del acceso programático](https://wellarchitectedlabs.com/Security/Quest_Control_Programmatic_Access/README.html?ref=wellarchitected-wp).
# Detección
Puede usar los controles detectores para identificar una incidencia o amenaza potencial de seguridad. Son una parte fundamental de los marcos de gobernanza y se pueden usar como complemento de procesos de calidad, para una obligación legal o de conformidad y para la identificación de amenazas y respuestas. Hay distintos tipos de controles de detección. Por ejemplo, realizar un inventario de activos y de sus atributos detallados facilita la toma de decisiones (y los controles del ciclo de vida) para ayudar a establecer líneas de base operativas. También puede usar auditorías internas, un examen de los controles relacionados con los sistemas de información, para garantizar que las prácticas cumplan con las políticas y los requisitos, así como que haya establecido las notificaciones correctas de alertas automatizadas basadas en las condiciones definidas. Estos controles son factores reactivos importantes que ayudan a su organización a identificar la actividad anómala y comprender sus repercusiones.
AWS le permite realizar controles de detección mediante procesamiento de registros y eventos y supervisión que posibilitan aplicar auditorías, análisis automatizados y alarmas. Los registros de CloudTrail, las llamadas a la API de AWS y CloudWatch permiten supervisar las métricas con alarmas, y AWS Config proporciona el historial de configuración. Amazon GuardDuty es un servicio administrado de detección de amenazas que supervisa de forma continua comportamientos malintencionados o no autorizados y ayuda a proteger sus cargas de trabajo y cuentas de AWS. También dispone de registros de nivel de servicio; por ejemplo, puede utilizar Amazon Simple Storage Service (Amazon S3) para registrar las solicitudes de acceso.
Las siguientes preguntas se centran en las consideraciones de seguridad.
| SEC 4: ¿Cómo detecta e investiga los eventos de seguridad? |
| --- |
| Capte y analice eventos de registros y métricas para obtener visibilidad. Tome medidas sobre eventos de seguridad y posibles amenazas para ayudar a proteger su carga de trabajo. |
La administración de registros es una parte importante de una carga de trabajo de Well-Architected por razones que van desde la seguridad y el análisis forense hasta los requisitos normativos o legales. Es fundamental que analice los registros y actúe al respecto para identificar posibles incidentes de seguridad. AWS proporciona una funcionalidad que facilita la puesta en práctica de la administración de registros, ya que permite definir un ciclo de vida de retención de datos y decidir dónde se conservarán, archivarán y eliminarán los datos. Así es más sencillo y rentable lograr que el manejo de datos sea predecible y fiable.
# Protección de la infraestructura
La protección de la infraestructura abarca las metodologías de control, como la defensa en profundidad, necesarias para ajustarse a las prácticas recomendadas y las obligaciones organizativas o normativas. El uso de estas metodologías es fundamental para el éxito de las operaciones en curso, ya sea en la nube o en las instalaciones.
En AWS puede implementar la inspección de paquetes con y sin estado, ya sea mediante tecnologías incluidas en AWS o mediante los productos y servicios de socios disponibles en AWS Marketplace. Se recomienda usar Amazon Virtual Private Cloud (Amazon VPC) para crear un entorno privado, seguro y escalable en el que pueda definir su topología, incluidas puertas de enlace, tablas de enrutamiento y subredes públicas y privadas.
Las siguientes preguntas se centran en estas consideraciones de seguridad.
| SEC 5: ¿Cómo protege sus recursos de red? |
| --- |
| Cualquier carga de trabajo que tenga forma de conexión de red, ya sea internet o una red privada, requiere varias capas de defensa para protegerse de amenazas internas y externas basadas en la red. |
| SEC 6: ¿Cómo protege sus recursos informáticos? |
| --- |
| Los recursos informáticos en su carga de trabajo requieren varias capas de defensa para ayudar a protegerse de amenazas externas e internas. Entre los recursos informáticos se incluyen instancias EC2, contenedores, funciones de AWS Lambda, servicios de bases de datos, dispositivos IoT, etc. |
Tener varias capas de defensa es aconsejable en cualquier tipo de entorno. En el caso de la protección de la infraestructura, muchos de los conceptos y métodos son válidos para los modelos de nube y para los locales. En un plan eficaz de seguridad de la información, es esencial imponer la protección de los límites, monitorear los puntos de entrada y salida y aplicar de forma exhaustiva registros, monitoreo y alertas.
Los clientes de AWS pueden adaptar o reforzar la configuración de Amazon Elastic Compute Cloud (Amazon EC2), un contenedor de Amazon Elastic Container Service (Amazon ECS) o una instancia de AWS Elastic Beanstalk, y mantener esta configuración de forma persistente en una imagen de máquina de Amazon (AMI) inmutable. Así, todos los nuevos servidores virtuales (instancias) que se inicien con esta AMI reciben la configuración reforzada, tanto si los activa Auto Scaling como si se activan de forma manual.
# Protección de los datos
Antes de diseñar un sistema, hay que adoptar prácticas que influyen en la seguridad. Por ejemplo, la clasificación de datos ofrece una manera de categorizar los datos de la organización según los niveles de confidencialidad, mientras que el cifrado protege los datos haciéndolos ininteligibles para el acceso no autorizado. Estas herramientas y técnicas son importantes porque respaldan objetivos como la prevención de pérdidas económicas o la conformidad con las obligaciones reglamentarias.
En AWS, las siguientes prácticas facilitan la protección de datos:
+ Como cliente de AWS, controla por completo sus datos.
+ AWS simplifica el cifrado de los datos y la administración de claves, incluyendo la rotación regular de las claves, que puede realizar de forma manual o automatizar fácilmente con AWS.
+ Dispone de un registro detallado con contenidos importantes, como el acceso a los archivos y los cambios.
+ AWS ha diseñado sistemas de almacenamiento con una resiliencia excepcional. Por ejemplo, Amazon S3 Standard, S3 Standard–IA, S3 One Zone-IA y Amazon Glacier están todos diseñados para proporcionar una durabilidad de objetos del 99,999999999 % en un año determinado. Este nivel de durabilidad corresponde a una pérdida media anual esperada del 0,000000001 % de los objetos.
+ El control de versiones, que puede formar parte de un proceso más amplio de administración del ciclo de vida de los datos, puede protegerlos contra sobrescrituras o eliminaciones accidentales y daños similares.
+ AWS nunca inicia un traslado de datos a otras regiones. El contenido situado en una región permanece en esa región a menos que se habilite explícitamente una característica o se emplee un servicio que proporcione esa funcionalidad.
Las siguientes preguntas se centran en estas consideraciones de seguridad.
| SEC 7: ¿Cómo clasifica sus datos? |
| --- |
| La clasificación proporciona una forma de categorizar los datos basada en el nivel de importancia y la confidencialidad para ayudarle a determinar los controles de protección y conservación adecuados. |
| SEC 8: ¿Cómo protege los datos en reposo? |
| --- |
| Para proteger los datos en reposo debe implementar varios controles para reducir el riesgo de acceso no autorizado o mala gestión. |
| SEC 9: ¿Cómo protege sus datos en tránsito? |
| --- |
| Para proteger los datos en tránsito debe implementar varios controles para reducir el riesgo de acceso no autorizado o pérdida. |
AWS proporciona múltiples medios para cifrar los datos en reposo y en tránsito. Nuestros servicios incorporan características que facilitan el cifrado de los datos. Por ejemplo, hemos implementado el cifrado del servidor (SSE) en Amazon S3 para facilitar el almacenamiento de datos de forma cifrada. También puede hacer que Elastic Load Balancing (ELB) maneje todo el proceso de cifrado y descifrado HTTPS (generalmente conocido como terminación SSL).
# Respuesta ante incidentes
Incluso con controles detectores y de prevención extremadamente eficaces, la organización debería continuar aplicando procesos para responder a incidencias de seguridad y mitigar su posible impacto. La arquitectura de la carga de trabajo afecta considerablemente a la capacidad de los equipos de operar de forma eficaz durante una incidencia, aislar o contener sistemas y restaurar operaciones a un estado conocido correcto. Si prepara las herramientas y el acceso en previsión de un incidente de seguridad, y practica periódicamente la respuesta a incidentes durante los días de juego, se asegurará de que su arquitectura posibilite una investigación y una recuperación sin demoras.
En AWS, las siguientes prácticas facilitan una respuesta efectiva frente a incidencias:
+ Dispone de un registro detallado con contenidos importantes, como el acceso a los archivos y los cambios.
+ Los eventos pueden procesarse automáticamente y activan herramientas que automatizan las respuestas mediante el uso de las API de AWS.
+ Puede preaprovisionar herramientas y una sala blanca con AWS CloudFormation. Esto permite realizar análisis forenses en un ambiente seguro y aislado.
Las siguientes preguntas se centran en las consideraciones de seguridad.
| SEC 10: ¿Cómo anticipa, responde y se recupera de los incidentes? |
| --- |
| La preparación es fundamental para investigar de forma oportuna y efectiva, dar respuesta a incidentes de seguridad, así como recuperarse para minimizar las interrupciones en su organización. |
Asegúrese de tener una forma de conceder rápidamente el acceso a su equipo de seguridad y automatice tanto el aislamiento de las instancias como la captura de datos y estado para el análisis forense.
# Recursos
Consulte los siguientes recursos para obtener más información sobre nuestras prácticas recomendadas en materia de seguridad.
## Documentación
+ [Seguridad en la nube de AWS](https://aws.amazon.com/security/?ref=wellarchitected-wp)
+ [Conformidad de AWS](https://aws.amazon.com/compliance/?ref=wellarchitected-wp)
+ [Blog de seguridad de AWS](http://blogs.aws.amazon.com/security/?ref=wellarchitected-wp)
## Documento técnico
+ [Pilar de seguridad](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html?ref=wellarchitected-wp)
+ [Información general de seguridad de AWS](https://d1.awsstatic.com/whitepapers/Security/AWS%20Security%20Whitepaper.pdf?ref=wellarchitected-wp)
+ [Riesgo y conformidad de AWS](https://d1.awsstatic.com/whitepapers/compliance/AWS_Risk_and_Compliance_Whitepaper.pdf?ref=wellarchitected-wp)
## Vídeo
+ [Informe de seguridad de AWS](https://youtu.be/Wvyc-VEUOns?ref=wellarchitected-wp)
+ [Información general sobre responsabilidad compartida](https://www.youtube.com/watch?v=U632-ND7dKQ&ref=wellarchitected-wp)