Construyendo arquitecturas zero trust sobre entornos cloud

Transcript

1. Construyendo arquitecturas zero trust sobre entornos cloud José Manuel Ortega

   Candel

2. Agenda • Introducción a DevSecOps y modelado de amenazas •

   Modelo de confianza cero(zero trust) en la nube • Mejoras prácticas a nivel de permisos y estrategias de seguridad al trabajar en entornos cloud • Herramientas de análisis orientadas al pentesting en entornos cloud

3. Introducción a DevSecOps

4. Introducción a DevSecOps

5. Introducción a DevSecOps https://www.cidersecurity.io/wp-content/uploads/2022/06/Top-10-CICD-Security-Risks-.pdf

6. Introducción a DevSecOps • CICD-SEC-1: Insufficient Flow Control Mechanisms •

   CICD-SEC-2: Inadequate Identity and Access Management • CICD-SEC-3: Dependency Chain Abuse • CICD-SEC-4: Poisoned Pipeline Execution (PPE) • CICD-SEC-5: Insufficient PBAC (Pipeline-Based Access Controls) • CICD-SEC-6: Insufficient Credential Hygiene • CICD-SEC-7: Insecure System Configuration • CICD-SEC-8: Ungoverned Usage of 3rd Party Services • CICD-SEC-9: Improper Artifact Integrity Validation • CICD-SEC-10: Insufficient Logging and Visibility

7. Modelado de amenazas

8. Modelado de amenazas • El beneficio inmediato y más importante

   de implementar el modelado de amenazas es identificar las amenazas que pueden aparecer a lo largo del proceso de diseño para que se puedan implementar las contramedidas adecuadas.

9. Modelo de confianza cero en la nube

10. Modelo de confianza cero en la nube

11. Modelo de confianza cero en la nube • Zero Trust

    es un paradigma de ciberseguridad centrado en la protección de los recursos y la premisa de que la confianza nunca se otorga implícitamente, sino que debe evaluarse continuamente. • El enfoque inicial debería estar en restringir los recursos para aquellos que necesitan acceder y otorgar sólo los privilegios mínimos necesarios para cumplir sus objetivos.

12. Modelo de confianza cero en la nube • Desarrollo de

    aplicaciones • Aprovisionamiento de infraestructura • Conectividad de servicios • Autenticación de personas

13. Modelo de confianza cero en la nube • ¿Qué están

    intentando proteger? • ¿De quién intentan protegerlo?

14. Modelo de confianza cero en la nube • Uso de

    arquitecturas proxy • Proteger los datos mediante políticas granulares basadas en el contexto • Reducir el riesgo eliminando la superficie de ataque • Acciones de defensa y protección

15. Modelo de confianza cero en la nube

16. Modelo de confianza cero en la nube • Todas las

    entidades de una red suponen una amenaza • Acceso a los recursos basado en autenticar y autorizar tanto el usuario como al host que va a acceder

17. Modelo de confianza cero en la nube • Ninguna parte

    de la red es confiable. Debemos actuar como si el atacante estuviese siempre presente. • Nunca confiar en la conexión a la red. Cualquier conexión que se establezca es insegura. • Verificar explícitamente. Siempre hay que verificar, nunca confiar. • Privilegios mínimos. Restringir los recursos para aquellos únicamente que necesitan acceder. • Microsegmentación. Aplicar políticas dinámicas basadas en información de contexto. • Visibilidad. Es importante inspeccionar y evaluar continuamente los riesgos.

18. Arquitecturas zero trust

19. Arquitecturas zero trust

20. Arquitecturas zero trust https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf

21. Arquitecturas zero trust

22. Arquitecturas zero trust

23. Uso de soluciones de IAM • Normalización de las identidades

    en la organización • Funcionalidades que garantizan unas políticas de contraseñas apropiadas • Ágil aprovisionamiento de usuarios • Privileged Session Management(PSM) • Monitorizar en tiempo real las sesiones de los usuarios • Si cualquier credencial se ve comprometida, se puede gestionar la revocación de secretos o sesiones

24. Uso de soluciones de IAM • Gobernanza de identidades: gestiona

    el ciclo de vida de la cuenta de usuario, incluidos los derechos y su concesión. • Gestión de acceso: controla las políticas de acceso unificado a menudo con la activación de la conexión única (SSO) y la autenticación multifactor (MFA). • Servicios de directorio: gestión y sincronización de credenciales centralizadas y consolidadas. • Aprovisionamiento de usuarios: automatiza la creación y la asignación de nuevas cuentas de usuario. • Análisis de identidades: detecta y evita actividades de identidad sospechosas mediante el aprendizaje automático. • Conexión única (SSO): consolida la contraseña de usuario y las credenciales de una única cuenta con una activación de contraseña segura para simplificar el acceso a los servicios. • Autenticación multifactor (MFA): incrementa la autenticación con controles secundarios para garantizar la autenticidad de los usuarios y reducir la exposición a credenciales robadas. • Autenticación basada en riesgos: utiliza algoritmos para calcular los riesgos de las acciones de los usuarios. Bloquea y denuncia actividades calificadas de alto riesgo. • Administración y gobernanza de identidades (IGA): reduce el riesgo asociado a un acceso y privilegios excesivos mediante el control de derechos.

25. Estrategias de seguridad entornos cloud

26. Herramientas de análisis https://cloudcustodian.io

27. Herramientas de análisis https://cloudcustodian.io

28. Herramientas de análisis https://github.com/prowler-cloud/prowler • Prowler es una herramienta de

    seguridad de código abierto para realizar evaluaciones de las mejores prácticas de seguridad de AWS y Azure • Permite realizar auditorías, respuesta a incidentes, monitorización continua, hardening y gestionar la revocación de secretos.

29. Herramientas de análisis

30. Herramientas de análisis aws configure export AWS_ACCESS_KEY_ID="ASXXXXXXX" export AWS_SECRET_ACCESS_KEY="XXXXXXXXX" export

    AWS_SESSION_TOKEN="XXXXXXXXX" arn:aws:iam::aws:policy/SecurityAudit arn:aws:iam::aws:policy/job-function/ViewOnlyAccess

31. Herramientas de análisis

32. Herramientas de análisis

33. Principales servicios de seguridad en AWS

34. Principales servicios de seguridad en AWS

35. Mejores prácticas de seguridad

36. Mejores prácticas de seguridad • Funciones y permisos de IAM

    • Funciones y permisos específicos de Cloud Compose • Uso compartido restringido al dominio (DRS)

37. Conclusiones • Estrategia de empresa a largo plazo • Gestión

    centralizada de la seguridad • Solución centrada en la identidad del usuario

38. Conclusiones • Zero Trust Container Security • https://more.suse.com/zero-trust-security-for-dummies.html

39. Conclusiones • How to Enable Zero Trust Security for Your

    Data Center • https://www.brighttalk.com/webcast/10903/235239

40. ¡Gracias! @jmortegac https://www.linkedin.com /in/jmortega1 https://jmortega.github.io ¿Preguntas?