Cómo mantener el cumplimiento de AWS

A medida que las empresas siguen trasladándose a la nube, la seguridad de los datos y el cumplimiento de normativas son fundamentales. Afortunadamente, Amazon Web Services (AWS®), una plataforma de computación en la nube a petición, está certificada y cumple con regulaciones como ISO, PCI DSS y SOC 2. Sin embargo, esto no significa que la forma en que se almacenan los datos en AWS cumpla con las normativas. Al igual que la seguridad, el cumplimiento entra en el modelo de responsabilidad compartida, lo que significa que el propio AWS es responsable de cumplir con las regulaciones que se aplican a la capa de host y a la infraestructura física, mientras que los clientes de AWS son responsables del cumplimiento de las normas que se aplican a la forma en que utilizan los servicios, consumen las aplicaciones y almacenan los datos en la nube.

Demos un paso atrás para entender cómo es la gestión tradicional del cumplimiento en una infraestructura de TI: el equipo de cumplimiento de una organización hace un inventario de todos los recursos de TI de la organización. A continuación, el equipo revisa todos los recursos que contienen datos sujetos a la s regulaciones y asigna los controles existentes a los requisitos normativos correspondientes para demostrar la conformidad.

Sin embargo, en AWS, la gestión manual del cumplimiento no es suficiente. Los desarrolladores tienen el poder de implementar nuevos recursos y realizar rápidamente cambios en la infraestructura, cambios que a menudo no son controlados por los equipos de seguridad y cumplimiento. Para complicar aún más las cosas, incluso si una organización puede demostrar el cumplimiento un día, eso no significa que siga en cumplimiento dos semanas (o incluso 24 horas) después. El cumplimiento en un momento dado se vuelve rápidamente irrelevante en la nube.

Mantener el cumplimiento de AWS requiere un nuevo enfoque. Al igual que los equipos de DevOps han convertido la "entrega continua" y la "innovación continua" en parte del lenguaje de TI cotidiano, la "seguridad continua" y el "cumplimiento continuo" deben analizarse con la misma frecuencia.

El lado positivo es que, a diferencia de la gestión del cumplimiento en los centros de datos tradicionales, la infraestructura de AWS nos ofrece una vía para abordar la seguridad y el cumplimiento de forma programática y automática. Las API de los proveedores de la nube disponibles actualmente permiten una nueva era de automatización de la seguridad. AWS Config permite a una organización utilizar las API de AWS para acceder a los metadatos sobre su infraestructura, así como supervisar y medir continuamente si los nuevos cambios introducen problemas de cumplimiento.

Uso de AWS Config para el cumplimiento continuo

AWS Config permite la supervisión continua de un entorno para los cambios de configuración y el cumplimiento con las reglas de configuración deseadas, así como la visualización y gestión de las relaciones de recursos, todo ello en un único panel (consulte la figura 1).

Figura 1: Panel de gestión de AWS

Hay dos maneras de utilizar AWS Config para el cumplimiento continuo:

Opción 1: Use el servicio de notificaciones simples (Simple Notification Service) para la corrección manual. El SNS activará una alerta cuando haya cambiado algo en el entorno y deje de cumplir con las reglas de la organización. Esto permite corregir manualmente un problema en cuanto se produce.

Opción 2: Utilice AWS Lambda para la corrección automática. Un cambio en el entorno que provoque un incumplimiento activará una función de Lambda para corregirlo automáticamente. Ejemplo: Una regla de configuración establece que los registros de VPC Flow deben estar siempre habilitados. Alguien desactiva el registro de Flow, por lo que Lambda utiliza el acceso a la API para volver a activarlo.

Figura 2: Cómo funciona AWS Config

AWS Config proporciona reglas predefinidas y personalizables para administrar a través de las API. Los administradores también pueden escribir reglas de configuración específicas del equipo y de la organización para crear informes de cumplimiento más completos. Haga clic aquí para ver un repositorio comunitario seleccionado de reglas de configuración de AWS personalizadas.

Uso de los servicios de AWS para garantizar el cumplimiento

Como se ha mencionado anteriormente, según el modelo de responsabilidad compartida, AWS es responsable de la seguridad y el cumplimiento de las cargas de trabajo de la infraestructura en la nube, mientras que los clientes son responsables del cumplimiento de las cargas de trabajo. Sin embargo, AWS proporciona varias herramientas para ayudar a garantizar ese cumplimiento. Por ejemplo:

• En el Requisito 8 de PCI DSS, se establece que los propietarios de las aplicaciones deben "identificar y autenticar el acceso a los componentes del sistema". A menudo, se utiliza AWS Cognito, un servicio de autenticación que permite configurar la autenticación y la autorización para los usuarios y otros servicios de AWS, para cumplir con este requisito. 

• En el Requisito 11 de PCI DSS, se analiza el seguimiento y la supervisión de todo el acceso a los recursos de la red y a los datos de los titulares de tarjetas. Esto puede hacerse con herramientas de supervisión como CloudWatch y CloudTrail. 

Sea más minucioso

A medida que su entorno en la nube crece y su organización tiene más regulaciones, es posible que desee informes de cumplimiento de AWS más minuciosos. Por ejemplo, es posible que desee saber cómo su entorno de AWS se corresponde con regulaciones de cumplimiento específicas o habilitar diferentes vistas de cumplimiento para diferentes equipos y cuentas de AWS.

Aquí es donde las herramientas de cumplimiento de terceros basadas en API pueden ayudar. Estas herramientas están diseñadas para permitirle supervisar continuamente las configuraciones de la nube en busca de cambios en tiempo real y asignar estas configuraciones a plantillas de cumplimiento prediseñadas para normas como ISO, SOC 2, HIPAA, PCI DSS, NIST y GDPR. Con la herramienta de cumplimiento adecuada, puede generar fácilmente informes de cumplimiento, así como demostrar su postura de cumplimiento a los auditores, clientes y partes interesadas con un solo clic. Para obtener algunas pautas sobre la selección de la herramienta adecuada, consulte esta entrada del blog.

Para obtener más información sobre estos temas, descargue el libro electrónico Continuous Monitoring and Compliance in the Cloud (Supervisión y cumplimiento continuos en la nube).