Modelo de Seguridad Compartida de AWS

Amazon ofrece una compleja gama de servicios para garantizar la seguridad de implementaciones específicas. Para ayudar a los usuarios a comprender conceptualmente estos servicios, el Modelo de seguridad compartida de AWS establece qué controles de seguridad son responsabilidad de AWS y cuáles son responsabilidad de los clientes.

A medida que las empresas buscan una mayor eficiencia operativa para asegurar una ventaja competitiva, recurren a proveedores de servicios en la nube como Amazon Web Services para gestionar su infraestructura de TI.

Esta medida puede percibirse como arriesgada: el valor añadido de AWS es que los usuarios ceden parte del control sobre la infraestructura subyacente. Sin embargo, los proveedores de servicios en la nube como AWS siguen invirtiendo considerablemente en la seguridad de sus servicios, con el objetivo de que los servicios en la nube sean más seguros que una infraestructura local.

Responsabilidades de seguridad de AWS

En general, AWS se considera responsable de la seguridad de la nube en su conjunto, mientras que los clientes deben mantener la responsabilidad de la seguridad de sus instancias específicas.

• Hardware e infraestructura global de AWS: esto incluye las zonas regionales, de disponibilidad y de periferia de la infraestructura de nube de Amazon. Esto se realiza mediante protecciones de seguridad física y mantenimiento constante de TI.
• Software de AWS (computación, almacenamiento, base de datos, redes): Amazon garantiza una plataforma de software segura en todos sus servicios. Este aspecto de la responsabilidad de Amazon también se refiere a los servicios de seguridad de AWS que Amazon ha creado para que los clientes los utilicen. Esto puede incluir claves de cifrado, herramientas de supervisión de red, protección de bases de datos y más.

Responsabilidades de seguridad del cliente

La responsabilidad del control de seguridad del cliente se determina por el servicio de AWS Cloud que elija. Cuando un cliente elige cualquiera de los servicios de «Infraestructura como Servicio» de Amazon (EC2, VPC, S3), el cliente debe realizar todas las tareas necesarias de configuración y gestión de seguridad. Esto incluye lo siguiente:

• Datos de los clientes: protección de los datos empresariales en la red, al entrar y salir del servicio en la nube.
• Gestión de plataformas, aplicaciones, identidades y accesos: el cliente es responsable del mantenimiento y la protección de la plataforma que se ejecuta en la nube, así como de todos los aspectos relacionados. Por ejemplo, un cliente que gestiona una tienda de ropa en línea deberá garantizar la protección de las identidades y cuentas de sus compradores.
• Cifrado de datos del lado del cliente: ya sea mediante una clave de cifrado gestionada por AWS o mediante una clave personal no proporcionada por AWS.
• Cifrado del sistema de archivos: al proteger sus datos en reposo, el cliente puede utilizar un sistema de protección independiente o la protección del sistema de archivos proporcionada por AWS.
• Protecciones de tráfico de red: los clientes deben garantizar la seguridad de todo el tráfico que entra y sale del servidor.
• Protección de servicios y comunicaciones: un cliente es responsable de enrutar y zonificar los datos dentro de entornos de seguridad específicos.

Responsabilidades compartidas de seguridad

AWS proporciona los requisitos para la infraestructura y el cliente debe proporcionar su propia implementación de control dentro de su uso de los servicios de AWS:

• Controles de TI: no solo se comparten las operaciones de TI entre AWS y sus clientes, sino también la gestión y las operaciones de dichos controles. AWS puede ayudar a moderar la carga de los clientes en cuanto a métodos de seguridad como el mantenimiento del firewall y el cifrado a nivel de red, mientras supervisa la implementación de controles de TI para asegurar el cumplimiento adecuado de las regulaciones de seguridad de AWS.
• Gestión de parches: AWS es responsable de aplicar parches y corregir fallos dentro de la infraestructura, pero los clientes son responsables de aplicar parches al sistema operativo y aplicaciones invitados.
• Gestión de la configuración: AWS mantiene la configuración de sus dispositivos de infraestructura, pero el cliente es responsable de configurar sus propios sistemas operativos, bases de datos y aplicaciones invitados.
• Sensibilización y formación: AWS capacita a sus empleados, pero el cliente debe capacitar a los suyos.
• Específico del cliente: controles que son responsabilidad exclusiva del cliente según la aplicación que esté implementando en los servicios de AWS.
• Protección de servicios y comunicaciones: o seguridad por zonas, que puede requerir que un cliente enrute o zonifique los datos dentro de entornos de seguridad específicos.

El modelo de responsabilidad compartida de AWS está diseñado para incrementar el nivel total de seguridad de la infraestructura de nube de Amazon. Al educar a sus clientes sobre cómo pueden gestionar y mantener sólidas protecciones operativas, tanto los clientes de Amazon como los de Web Services pueden sentirse más seguros. El beneficio mutuo de la seguridad compartida ofrece garantías a Amazon de que no tiene que mantener directamente todos los aspectos de su seguridad, y ayuda a los clientes a sentir que Amazon puede adaptarse a sus necesidades específicas de seguridad. Para asegurar un modelo de seguridad exitoso cuando se comparte la responsabilidad, la concienciación del cliente es fundamental, junto con una sólida comprensión de los riesgos asociados a confiar en un tercero.

La libertad de no tener responsabilidad total puede ser un gran activo para reducir los costes y aumentar la calidad de la seguridad.