Información general - Arquitectura estandarizada para marcos de seguridad basados en NIST en AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información general

Arquitecturas de conformidad

Las soluciones de conformidad de AWS ayudan a simplificar, automatizar e implementar un marco de referencia seguro en AWS— desde el diseño inicial hasta los preparativos para la seguridad de las operaciones. Incluyen los conocimientos de los arquitectos de soluciones de AWS y del personal de seguridad y conformidad para ayudarle a crear fácilmente una arquitectura segura y de confianza a través de la automatización.

Este inicio rápido incluye plantillas de AWS CloudFormation que pueden integrarse con AWS Service Catalog para automatizar la creación de una arquitectura de referencia estandarizada que cumpla los requisitos de NIST SP 800-53, NIST SP 800-171, el proyecto piloto FedRAMP TIC Overlay y DoD Cloud SRG. Incluye también una matriz de controles de seguridad, que correlaciona los controles y requisitos de seguridad con las decisiones de arquitectura, características y configuración del marco de referencia para mejorar la capacidad de su organización de comprender y evaluar la configuración de seguridad del sistema.

Marcos de seguridad basados en NIST

Este inicio rápido admite los siguientes requisitos:

  • NIST SP 800-53 (revisión 4)

  • NIST SP 800-122

  • NIST SP 800-171

  • La iniciativa OMB TIC - FedRAMP Overlay (piloto)

  • DoD Cloud Computing SRG

Los controles de seguridad de NIST SP 800-53 [1] se aplican de forma general a los sistemas de información federales "…operados por una agencia ejecutiva, un contratista u otra organización en nombre de una agencia ejecutiva". [2] Suelen ser sistemas que deben someterse a un proceso formal de evaluación y autorización para garantizar que cuentan con medidas de protección suficientes para la confidencialidad, integridad y disponibilidad de los datos y sistemas de información, en función de la categoría de seguridad y el nivel de impacto del sistema (bajo, moderado o alto), así como la determinación de los riesgos. Los controles de seguridad se seleccionan del catálogo de controles de seguridad de NIST SP 800-53 y el sistema se evalúa con respecto a los requisitos de estos controles de seguridad.

NIST SP 800-122 está pensada para "ayudarle las agencias federales en la protección de la confidencialidad de la información de identificación personal (PII) en sistemas de información". [3] Sección 4 del NIST SP 800-122 documento se describen la confidencialidad protege que las organizaciones podría utilizar en un enfoque basado en el riesgo para proteger los datos PII. Los controles propuestos en la misma sección son un subconjunto del catálogo de controles de seguridad de NIST SP 800-53.

NIST SP 800-171 se suele aplicar a los sistemas de información no federales que almacenan o procesan información sin clasificar controlada (CUI, por sus siglas en inglés) federal, pero que deben proteger debidamente los datos CUI de acuerdo con el reglamento de adquisición federal (FAR). [4] Suelen ser empresas, instituciones educativas y organizaciones de investigación que almacenan y procesan legítimamente datos CUI federales en sus propios sistemas. NIST SP 800-171, capítulo 3, contiene un conjunto de requisitos de seguridad que se corresponden con los requisitos de confidencialidad moderada de los controles de seguridad de NIST SP 800-53.

La iniciativa OMB Trusted Internet Connection (TIC) se ha diseñado para reducir el número de conexiones perimetrales de red del gobierno de los Estados Unidos (USG), incluidos los puntos de presencia (POP) de Internet, para optimizar los servicios de red federales y para mejorar las funciones de protección, detección y respuesta. [5] En su formato actual, una arquitectura compatible con TIC evita el acceso directo a las aplicaciones que se ejecutan en la nube. Sin embargo, el programa de TIC ha propuesto recientemente un borrador de la iniciativa Federal Risk and Authorization Management (FedRAMP)–TIC Overlay que ofrece una correspondencia entre los controles de seguridad de NIST SP 800-53 y las funcionalidades exigidas por TIC. En mayo de 2015, GSA y DHS invitaron a AWS a participar en una iniciativa piloto de FedRAMP–TIC Overlay. El objetivo de esta iniciativa era determinar si era factible usar el programa TIC Overlay como referencia para los controles de seguridad moderada de FedRAMP. En colaboración con GSA y DHS, AWS evaluó cómo los usuarios de agencias remotas podían usar la capa adicional de TIC para tener acceso a los recursos basados en la nube y si las prestaciones de AWS existentes permitirían a una agencia imponer funcionalidades TIC.

La guía de requisitos de seguridad de DoD Cloud Computing (SRG) ofrece requisitos y directrices de seguridad para el uso de servicios en la nube por parte de propietarios de misiones DoD.[6] Proporciona directrices de implementación de controles de seguridad para los proveedores de servicios en la nube (CSP) que desean que sus ofertas de servicios en la nube (CSO) estén acreditadas para su uso por parte de componentes y propietarios de misiones DoD. En agosto de 2014, AWS se convirtió en uno de los primeros CSP en recibir una autorización provisional para operar (P-ATO) para almacenar y procesar datos DoD de nivel de impacto 4. Los propietarios de misiones DoD que operan sus cargas de trabajo en AWS puede utilizar nuestra P-ATO como parte de la documentación complementaria que el agente de autorización (AO) utiliza para conceder a la carga de trabajo una autorización para operar (ATO).

[1] Publicación especial de NIST 800-53, revisión 4, “Security and Privacy Controls for Federal Information Systems and Organizations”, abril de 2013, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf.

[2] Ley sobre la administración de la seguridad de la información (40 U.S.C., Sec. 11331).

[3] Publicación especial de NIST 800-122 "Guía para la protección de la confidencialidad de la información personalmente identificable (PII)" http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf

[4] Publicación especial de NIST 800-171, “Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations”, junio de 2015, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171.pdf.

[5] Memorando M-08-05, “Implementation of Trusted Internet Connections (TIC)”, 20 de noviembre de 2007, https://www.whitehouse.gov/sites/default/files/omb/assets/omb/memoranda/fy2008/m08-05.pdf.

[6] “Department of Defense Cloud Computing Security Requirements Guide”, 18 de marzo de 2016, http://iasecontent.disa.mil/cloud/SRG/index.html.

Arquitectura para lograr la conformidad en AWS

La implementación de este inicio rápido crea una aplicación web basada en Linux de varias capas en la nube de AWS. Las figuras 2 y 3 ilustran la arquitectura.

nota

También puede descargar estos diagramas en formato de Microsoft PowerPoint y editar los iconos de forma que reflejen su carga de trabajo específica.


        Arquitectura web estándar de tres capas que ilustra la integración con varias VPC (se muestra la implementación teórica de VPC)

Figura 2: Arquitectura web estándar de tres capas que ilustra la integración con varias VPC (se muestra la implementación teórica de VPC)


        Figura 3: Diseño de VPC en producción

Figura 3: Diseño de VPC en producción

La arquitectura de ejemplo incluye los siguientes componentes y características:

  • Configuración básica de AWS Identity and Access Management (IAM) con políticas personalizadas (IAM) con grupos, roles y perfiles de instancia asociados

  • Arquitectura estándar de Amazon Virtual Private Cloud (Amazon VPC) de acceso externo en varias zonas de disponibilidad (Multi-AZ) con subredes independientes para las diferentes capas de aplicación y subredes privadas (back-end) para la aplicación y la base de datos

  • Buckets de Amazon Simple Storage Service (Amazon S3) para el contenido web cifrado, el registro y los datos de copia de seguridad

  • Grupos de seguridad de Amazon VPC estándar para las instancias Amazon Elastic Compute Cloud (Amazon EC2) y los balanceadores de carga usados en la pila de aplicaciones de ejemplo

  • Aplicación web Linux de tres capas que utiliza Amazon EC2 Auto Scaling y Elastic Load Balancing, y que se puede modificar o arrancar con la aplicación del cliente

  • Un host bastión de inicio de sesión protegido para facilitar el acceso de Secure Shell (SSH) mediante la línea de comandos a las instancias Amazon EC2 para la resolución de problemas y actividades de administración de sistemas

  • Base de datos cifrada MySQL de Amazon Relational Database Service (Amazon RDS) de varias zonas de disponibilidad

  • Registro, monitorización y alertas mediante reglas de AWS CloudTrail, Amazon CloudWatch, y AWS Config

Servicios de AWS

Los componentes básicos de AWS utilizados en este inicio rápido incluyen los siguientes servicios de AWS. (Si no está familiarizado con AWS, consulte la sección Primeros pasos de la documentación de AWS).

  • AWS CloudTrail: AWS CloudTrail registra las llamadas API de AWS y proporciona archivos de registro que incluyen la identidad del intermediario, la hora, la dirección IP de origen, los parámetros de la solicitud y los elementos de respuesta. El historial de llamadas y los detalles proporcionados por CloudTrail permiten realizar análisis de seguridad, seguimiento de cambios en los recursos y auditorías de conformidad.

  • Amazon CloudWatch: Amazon CloudWatch es un servicio de monitorización de los recursos de la nube de AWS y de las aplicaciones que se ejecutan en AWS. Puede utilizar CloudWatch para recopilar y realizar el seguimiento de métricas, recopilar y monitorizar archivos de registro, establecer alarmas y reaccionar automáticamente a los cambios en sus recursos de AWS.

  • AWS Config: AWS Config es un servicio completamente administrado que ofrece un inventario de los recursos de AWS, así como el historial de configuración y las notificaciones de los cambios en la configuración, para garantizar seguridad y gobernanza. Las reglas de AWS Config le permiten comprobar automáticamente la configuración de los recursos de AWS registrados por AWS Config.

    nota

    La característica de reglas de AWS Config está disponible actualmente en las regiones de AWS que figuran en la página web Regiones y puntos de enlace de AWS.

  • Amazon EBS: Amazon Elastic Block Store (Amazon EBS) proporciona volúmenes de almacenamiento de bloques persistentes para su uso con instancias Amazon EC2 en la nube de AWS. Cada volumen de Amazon EBS se replica automáticamente dentro de su zona de disponibilidad para protegerle en caso de que se produzca un error en algún componente y disfrutar así de una disponibilidad y durabilidad elevadas. Los volúmenes de Amazon EBS ofrecen el desempeño constante y de baja latencia necesario para ejecutar sus cargas de trabajo.

  • Amazon EC2: el servicio Amazon Elastic Compute Cloud (Amazon EC2) le permite lanzar instancias de máquina virtual con una serie de sistemas operativos. Puede elegir alguna de las imágenes de máquina de Amazon (AMI) existentes o importar sus propias imágenes de máquina virtual.

  • Elastic Load Balancing: Elastic Load Balancing distribuye automáticamente el tráfico entre varias instancias EC2 para ayudarle a mejorar la tolerancia a errores y la disponibilidad.

  • Amazon S3 Glacier: Amazon S3 Glacier es un servicio de almacenamiento optimizado para archivar y realizar copias de seguridad a largo plazo de datos usados con poca frecuencia. Proporciona almacenamiento seguro, duradero y muy económico, admite la transferencia de datos a través de SSL y cifra automáticamente los datos en reposo. Con S3 Glacier, puede almacenar sus datos durante meses, años o incluso décadas a un precio muy económico.

  • Amazon RDS: Amazon Relational Database Service (Amazon RDS) le permite configurar, operar y escalar una base de datos relacional en la nube de AWS. También se ocupa de muchas tareas de administración de la base de datos, como los backups de base de datos, la aplicación de parches de software, la detección automática de errores y la recuperación, para productos como MySQL, MariaDB, PostgreSQL, Oracle, Microsoft SQL Server y Amazon Aurora. Este inicio rápido incluye una base de datos MySQL de forma predeterminada.

  • Amazon VPC – el servicio de Amazon Virtual Private Cloud (Amazon VPC) le permite aprovisionar una sección privada y aislada de forma lógica de la nube de AWS, donde puede lanzar servicios de AWS y otros recursos en la red virtual que defina. Puede controlar todos los aspectos del entorno de red virtual, incluida la selección de su propio rango de direcciones IP, la creación de subredes y la configuración de tablas de ruteo y puertas de enlace de red.

Prácticas recomendadas de

La arquitectura creada por este inicio rápido admite las prácticas recomendadas de AWS de alta disponibilidad y seguridad:

  • Arquitectura Multi-AZ diseñada para una alta disponibilidad

  • Aislamiento de instancias entre subredes públicas y privadas

  • Grupos de seguridad que limitan el acceso solo a los servicios necesarios

  • Reglas de lista de control de acceso (ACL) para filtrar el tráfico en las subredes como una capa adicional de seguridad de red

  • Una instancia de host bastión protegida para facilitar el acceso de inicio de sesión restringido para las acciones del administrador del sistema

  • Políticas de IAM estándar asociadas a grupos y roles, con el principio de privilegios mínimos

  • Monitorización y registro; alarmas y notificaciones de eventos críticos

  • Buckets de S3 (con características de seguridad habilitadas) para el registro, el archivado y los datos de aplicación

  • Implementación de las funciones adecuadas de balanceo de carga y Auto Scaling

  • Balanceadores de carga de Elastic Load Balancing (ELB) compatibles con HTTPS con política de seguridad reforzada

  • Backup y cifrado de bases de datos de Amazon RDS

Cómo usar este inicio rápido

Puede crear un entorno que sirva como ejemplo para el aprendizaje, como un entorno modelo, o como marco de referencia para la personalización.

Como AWS proporciona un conjunto de opciones de configuración de larga existencia (y se publican servicios nuevos con frecuencia), este inicio rápido incluye plantillas de seguridad que puede utilizar para su propio entorno. Estas plantillas de seguridad (en formato de plantillas de AWS CloudFormation) proporcionan un conjunto de reglas exhaustivo que se puede aplicar de forma sistemática. Puede utilizar estas plantillas como punto de partida y personalizarlas para ajustarlas a sus casos de uso específicos.

Costo

Usted es responsable de los costos de los servicios de AWS usados mientras ejecuta esta implementación de referencia de inicio rápido. No se aplica ningún cargo adicional por el uso de el inicio rápido.

La plantilla de AWS CloudFormation para este inicio rápido incluye parámetros de configuración que puede personalizar. Algunos de estos ajustes afectarán al costo de la implementación. Para obtener estimaciones de costos, consulte las páginas de precios de cada servicio de AWS que utilizará o use la calculadora de precios de AWS. Los precios están sujetos a cambios.