El modelo de responsabilidad compartida es un principio fundamental en AWS que define cómo se dividen las responsabilidades de seguridad entre AWS y sus clientes.
AWS gestiona la seguridad de la infraestructura subyacente, mientras que los clientes son responsables de proteger sus datos, aplicaciones y configuraciones.
Comprender este modelo es esencial para mantener un entorno seguro en la nube.
¿Qué significa responsabilidad compartida en un entorno de trabajo?
AWS y sus clientes trabajan juntos para garantizar la seguridad en la nube, pero cada uno tiene roles específicos. Míralo de la siguiente manera:
- AWS: es responsable de la seguridad DE la nube.
- Cliente: es responsable de la seguridad EN la nube.
Veámoslo al detalle:
Responsabilidad de AWS
AWS se encarga de proteger la infraestructura física y los servicios subyacentes que soportan la nube. Esto incluye:
- Centros de datos: Seguridad física, como vigilancia 24/7, controles de acceso biométricos y redundancia.
- Hipervisor y virtualización: Protección contra vulnerabilidades en la infraestructura de virtualización.
- Hardware y red: Mantenimiento y protección contra ataques como DDoS.
Ejemplo práctico:
AWS asegura que sus servidores estén protegidos contra accesos no autorizados y que las redes subyacentes sean seguras.
Responsabilidad del cliente
Los clientes son responsables de cómo configuran y gestionan los servicios que utilizan en AWS. Esto incluye:
- Gestión de accesos: Configurar usuarios, roles y políticas en IAM.
- Protección de datos: Cifrar datos en reposo y en tránsito, y garantizar su integridad.
- Configuración de redes: Definir firewalls, políticas de acceso y reglas de seguridad en VPC.
- Cumplimiento normativo: Asegurarse de que el uso de AWS cumpla con regulaciones como GDPR o HIPAA (aunque recuerda que AWS también es responsable de obtener las certificaciones y acreditaciones necesarias para sus servicios).
Ejemplo práctico:
Un cliente configura un bucket de S3 para almacenar datos sensibles. Si no limita el acceso adecuadamente, esos datos podrían quedar expuestos, y la responsabilidad recaería en el cliente.
Ejemplo de AWS y un Comercio Electrónico
Imagina una tienda online que utiliza AWS para alojar su plataforma.
- Responsabilidad de AWS: Proteger los centros de datos donde se alojan los servidores y garantizar la disponibilidad de los servicios.
- Responsabilidad del cliente: Configurar correctamente los permisos de acceso a los datos de los clientes, implementar cifrado y proteger las aplicaciones contra vulnerabilidades.
Ejemplo de fallo en seguridad:
Si el negocio configura mal las políticas IAM, permitiendo acceso amplio a datos sensibles, una brecha de seguridad sería responsabilidad del cliente, no de AWS.
Si AWS sufre una vulnerabilidad en la infraestructura subyacente del servicio IAM que permite a un atacante bypasear el sistema de autenticación independientemente de cómo el cliente haya configurado sus políticas, esa brecha sería responsabilidad de AWS, no del cliente.
Pregunta para reflexionar:
¿Por qué es crucial que las empresas comprendan el límite de sus responsabilidades al usar servicios en la nube?
Herramientas de Cumplimiento en AWS
AWS ofrece herramientas que ayudan a los clientes a cumplir con normativas y estándares de seguridad, facilitando el monitoreo, auditoría y gestión de la conformidad.
1. AWS CloudTrail
CloudTrail registra todas las acciones realizadas en tu cuenta de AWS, proporcionando visibilidad sobre quién hizo qué y cuándo.
Ejemplo práctico:
Si un servidor deja de responder, puedes usar los logs de CloudTrail para identificar si alguien cambió su configuración o eliminó recursos críticos.
Pregunta para reflexionar:
¿Cómo podrías usar CloudTrail para verificar que no hubo cambios no autorizados en tu infraestructura?
2. AWS Audit Manager
Audit Manager automatiza la recopilación de datos para auditorías, ayudando a cumplir con normativas como GDPR o HIPAA.
Ejemplo práctico:
Si necesitas preparar una auditoría GDPR, Audit Manager recolecta automáticamente evidencia sobre la protección de datos y políticas de acceso.
Pregunta para reflexionar:
¿Cómo AWS Audit Manager puede reducir el tiempo y esfuerzo necesario para una auditoría de cumplimiento?
3. AWS Config
AWS Config monitorea y evalúa la configuración de tus recursos para asegurarse de que cumplen con las reglas definidas.
Ejemplo práctico:
Si necesitas garantizar que ningún bucket de S3 sea público, AWS Config puede alertarte si detecta un incumplimiento.
Pregunta para reflexionar:
¿Cómo usarías AWS Config para garantizar que todas tus bases de datos cumplen con las políticas de cifrado de datos en reposo?
El modelo de responsabilidad compartida es clave para mantener un entorno seguro en AWS. AWS protege la infraestructura subyacente, pero los clientes son responsables de cómo configuran y gestionan los servicios.
Al usar herramientas como CloudTrail, Audit Manager y AWS Config, puedes monitorear y reforzar la seguridad de tus recursos.
Comprender y aplicar este modelo no solo mejora la seguridad, sino que también asegura el cumplimiento de normativas y estándares.
