Tema 10: Seguridad en Cloud y Redes Virtuales

Questions and Answers

¿En qué consiste principalmente la seguridad en la nube como servicio (SECaaS)?

• En la implementación de firewalls de hardware dedicados a la protección de la infraestructura en la nube.
• En la gestión y el control de acceso físico a los centros de datos que alojan los servicios en la nube.
• En la creación de redes privadas virtuales (VPN) exclusivamente para el acceso a servicios de seguridad.
• En ofrecer servicios de seguridad que tradicionalmente se despliegan dentro de las redes de las empresas, ahora ofrecidos en un entorno en la nube. (correct)

¿Cuál de las siguientes NO es una ventaja de usar servicios de seguridad ofrecidos desde la nube (SECaaS)?

• Escalabilidad, adaptando los recursos de seguridad a las necesidades cambiantes del negocio.
• Disponibilidad del servicio constante, asegurando la protección continua de los recursos.
• Gestión simplificada, reduciendo la carga administrativa en el equipo de seguridad.
• Control total sobre el hardware de seguridad, permitiendo la personalización a nivel de firmware. (correct)

¿Qué aspecto importante se debe considerar al delegar la seguridad de la organización a un proveedor de servicios en la nube (SECaaS)?

• La reducción del presupuesto de seguridad a cero, al no requerir inversión en infraestructura propia.
• La eliminación completa de la responsabilidad sobre la seguridad, ya que recae totalmente en el proveedor.
• La necesidad de acotar muy bien los acuerdos del servicio para definir claramente las responsabilidades y expectativas en la seguridad. (correct)
• La estandarización automática de todas las políticas de seguridad de la organización al modelo del proveedor.

¿Qué función principal desempeña Identity and Access Management (IAM) en la seguridad en la nube?

Administrar quién puede acceder a los recursos y qué acciones puede ejecutar. (A)

En el contexto de IAM, ¿cuál es la diferencia entre autenticación y autorización?

La autenticación verifica la identidad del usuario, mientras que la autorización determina qué acciones puede realizar. (B)

¿Qué son los Amazon Resource Names (ARN) en AWS y cuál es su propósito principal?

Son identificadores únicos globales que hacen referencia a objetos de AWS. (B)

¿Cuál es la función del campo effect en una directiva de IAM y qué valores puede tomar?

Indica si se habilitan o deniegan las acciones sobre los recursos y puede tomar valores como 'Allow' o 'Deny'. (B)

¿Qué opciones existen para que un usuario pueda acceder a las APIs de AWS?

A través de un SDK o la herramienta de línea de comandos (CLI), utilizando una clave y un secreto adicionales. (B)

¿Cuál es el propósito de rotar las claves de acceso a las APIs de AWS y por qué es importante?

Para cumplir con las regulaciones de seguridad y reducir el riesgo de acceso no autorizado en caso de compromiso de las claves. (C)

¿Cómo se aplican los roles de IAM en AWS y cuál es su principal ventaja?

Se aplican a una instancia en el momento del arranque, proporcionando credenciales temporales y evitando la necesidad de gestionar claves a largo plazo. (A)

¿Qué se necesita para que una aplicación que se ejecuta en una instancia de EC2 pueda utilizar los permisos especificados por el rol de IAM asignado?

No se requiere ninguna configuración adicional, ya que los SDK de AWS y awscli están preparados para leer estas claves automáticamente. (B)

Además de a instancias de EC2, ¿a qué otros servicios de AWS se pueden aplicar los roles de IAM?

A servicios como Lambda y API Gateway, usuarios (dentro y fuera de la organización), aplicaciones móviles o a terceras entidades. (B)

¿Cuál es la principal ventaja de utilizar roles para dar permisos en otras cuentas de AWS?

Ofrece más flexibilidad para administrar recursos, presupuestos y credenciales en entornos con múltiples cuentas de AWS. (C)

En un escenario donde un usuario de la cuenta B necesita operar sobre recursos de la cuenta A, ¿cómo se gestionan los permisos?

El usuario de la cuenta B asume un rol de la cuenta A, y las acciones que puede llevar a cabo están delimitadas por las directivas aplicadas a ese rol en la cuenta A. (D)

¿Cuál es el concepto de 'redes virtuales' en un entorno de nube como AWS?

Son representaciones lógicas de una red que permiten a los usuarios lanzar recursos en un entorno de red aislado y configurable. (D)

¿Qué beneficios adicionales ofrecen las redes virtuales en la nube en comparación con las redes locales on-premise?

Escalabilidad y alta disponibilidad, proporcionadas por la infraestructura nativa de la nube. (A)

¿Cuáles son los elementos principales que componen una red virtual en la nube?

Espacio de direcciones, subredes, regiones y suscripciones. (C)

Cuando se crea una red virtual, ¿qué se debe especificar en relación con el espacio de direcciones?

Un espacio de direcciones IP privadas para los recursos dentro de la red virtual. (A)

¿Cuál es la función de las subredes dentro de una red virtual?

Segmentar la red virtual en una o más redes, asignando una parte del espacio de direcciones a cada subred. (A)

¿Cuál es el propósito de las 'regiones' en el contexto de las redes virtuales en la nube?

Definir la ubicación geográfica de los recursos de red y proporcionar redundancia y baja latencia en las comunicaciones. (B)

¿Cómo se pueden conectar varias redes virtuales de diferentes regiones en la nube?

Mediante el emparejamiento de redes virtuales. (A)

¿A qué está asociada una red virtual en la nube?

A una cuenta de usuario. (C)

Una vez que se tiene una red virtual configurada, ¿qué escenarios de interconexión se pueden presentar?

Conexión con Internet, conexión con otros recursos en la nube y conexión con recursos locales. (D)

¿Cómo se permite la comunicación saliente desde una red virtual hacia Internet?

De forma predeterminada, todos los recursos en una red virtual pueden iniciar comunicación saliente hacia Internet. (C)

¿Cómo se conectan los recursos en la nube que están situados en diferentes redes virtuales?

Mediante el emparejamiento de las redes virtuales. (D)

¿Cómo se pueden conectar los recursos locales con las redes virtuales en la nube?

A través de una VPN. (C)

¿Con qué formato se indican los recursos a los que aplica una directiva de IAM?

ARN. (D)

¿Qué permisos por defecto recibe un usuario al que no se le aplica ninguna directiva de IAM?

Ninguno. (C)

¿Qué valor debe tener el campo effect para permitir una acción?

Allow. (C)

¿Qué elemento me permite reducir el número de permisos que debo especificar para acceder a un recurso?

Comodines. (D)

¿Cuál de los siguientes elementos es parte de las redes virtuales?

Todas las opciones son correctas. (B)

¿Con qué formato se indican las directivas de IAM?

JSON. (A)

¿Qué es Secaas?

Ofrecer un servicio de seguridad desde un entorno en la nube. (B)

¿Cuál de las siguientes características nos ofrecen los servicios de seguridad dados desde la nube?

Todas las opciones son correctas. (A)

Los roles en AWS:

Se pueden aplicar a usuarios de dentro y de fuera de la organización. (C)

¿Cómo se gestiona en AWS el acceso a las API?

Con una clave y un secreto adicionales. (D)

Flashcards

¿Qué son las redes virtuales?

Permiten que recursos se comuniquen de forma segura, tanto internamente como con Internet y redes locales. Ofrecen escalabilidad y alta disponibilidad.

¿Qué es el espacio de direcciones?

Espacio de direcciones IP privadas asignado al crear la red.

¿Qué son las subredes?

Segmentos de una red virtual, permitiendo una asignación de direcciones más eficiente y una mayor seguridad.

¿Qué son las regiones en redes virtuales?

Conjunto de centros de datos con baja latencia interconectados regionalmente.

¿Qué es la suscripción?

Asociación de las redes virtuales a una cuenta específica dentro de un proveedor de nube.

¿Qué es IAM?

Permite administrar quién accede a los recursos y qué acciones puede ejecutar.

¿Qué es un ARN?

Identificador único global de los recursos en AWS.

¿Qué son las directivas de IAM?

Documentos JSON que especifican qué acciones puede realizar un usuario sobre los recursos.

¿Qué es un permiso?

Una acción específica permitida o denegada sobre un recurso.

¿Qué son los statements?

Parte de la directiva que enlaza acciones y recursos, indicando si se permiten o deniegan.

¿Qué indica el campo 'effect'?

Indica si una acción está permitida (Allow) o denegada (Deny) sobre un recurso.

¿Qué son los usuarios en IAM?

Entidad que puede ser un humano o un programa que interactúa con AWS, con permisos definidos.

¿Qué son los roles en IAM?

Conjunto de directivas IAM aplicadas a una instancia EC2 al arrancar, otorgando permisos automáticos.

¿Qué es Secaas?

Ofrecer servicios de seguridad desde la nube, gestionados por un tercero.

¿Cuáles son las ventajas de Secaas?

Ventajas de Secaas: disponibilidad constante, gestión simplificada y escalabilidad.

Study Notes

Tema 10. Seguridad en Cloud

• Este tema abarca los elementos esenciales para desplegar servicios de forma segura en la nube.
• Con una perspectiva de redes virtuales y cómo facilitan la conexión de recursos en la nube con despliegues locales.
• Se explica el concepto de IAM en entornos de nube.
• Se detalla cómo especificar permisos de usuario granulares, tomando a AWS como un caso práctico.
• Se explora la tendencia emergente donde los servicios de seguridad se ofrecen directamente en la nube en lugar de desplegarse localmente.

10.2. Redes Virtuales

• Las redes virtuales en la nube posibilitan la comunicación segura entre varios recursos, como máquinas virtuales, tanto internas como externas.
• Ofrecen beneficios adicionales como escalabilidad y alta disponibilidad inherentes a la infraestructura de la nube.
• Sirven como base para arquitecturas de nube nativas e híbridas, en donde se conectan, de forma segura, recursos nativos e infraestructura de nube con centros de datos físicos.
• Elementos esenciales:
• Al crear una red virtual, se debe definir un espacio de direcciones IP privadas.
• Las subredes dividen la red virtual en segmentos más pequeños, asignando una parte del espacio de direcciones a cada uno.
• La segmentación de subredes emula a las redes tradicionales, aumentando la eficiencia en la asignación de direcciones.
• Se ofrecen grupos de seguridad para proteger los recursos dentro de las subredes.
• Región: Una región es un conjunto de centros de datos de baja latencia en un área.
• Emparejamiento de redes virtuales: las redes virtuales se limitan a una región, pero se pueden entrelazar mediante el emparejamiento.
• Suscripción: las redes virtuales se vinculan a una cuenta, en la que se pueden definir tantas redes virtuales como sea necesario.

Escenarios De Interconexión De Redes Virtuales

• Conexión con Internet: De manera predeterminada, cualquier recurso en una red virtual empieza una comunicación saliente hacia Internet.
• Los recursos son accesibles desde Internet con una dirección IP pública, un balanceador de carga, y el tráfico se permite con un grupo de seguridad de red.
• Conexión con otros recursos en la nube: Se conectan a través de la red virtual o por medio del emparejamiento de redes, si se encuentran en diferentes redes virtuales.
• Conexión con recursos locales: Los recursos locales y las redes virtuales en la nube se conectan a través de una VPN.

10.3. Identity and Access Management

• IAM sirve para gestionar el acceso de usuarios a recursos y las acciones que pueden realizar.
• Una política bien planificada de IAM es un componente clave de la seguridad.
• IAM distingue entre autenticación, basada en usuarios y grupos, y autorización, que depende de políticas.
• AWS gestiona el acceso a recursos a través de Amazon Resource Names (ARN), un identificador único global para los objetos de AWS.
• El formato general de un ARN es: arn:partition:service:region:account-id:resource-type/resource-id, donde:
• partition: es un grupo de regiones de AWS; ejemplo aws
• service: el servicio de AWS que ofrece el recurso
• region: la región en la que se encuentra el recurso; no es necesaria en recursos globales
• account-id: el ID de la cuenta propietaria del recurso; se omite en algunos recursos globales
• resource-id: es el identificador del recurso
• Las directivas de IAM separan a usuarios y grupos de las acciones que realizan.
• Las directivas de IAM son documentos JSON que detallan qué acciones permite realizar un usuario.
• Se aplican a usuarios o grupos, otorgando acceso únicamente a los servicios especificados en el documento.
• Los elementos principales para definir una directiva son los statements o declaraciones, que enlazan acciones y recursos.
• El atributo effect indica si las acciones sobre los recursos se permiten (Allow) o se deniegan (Deny).
• De forma predeterminada, un usuario sin directivas no puede ejecutar acción alguna sobre ningún recurso.
• action especifica las acciones permitidas o denegadas con un texto, un campo o una lista.
• Los permisos admiten comodines para reducir el número requerido para lograr un acceso.
• resource determina el recurso o recursos afectados por la declaración, identificado con ARN, un texto o una lista.

Usuarios y Grupos

• Usuarios: Un humano que inicia sesión en la consola de administración web o un programa con credenciales de acceso para interactuar con las API de AWS.
• Las directivas de IAM a un usuario determinan las acciones que pueden realizar.
• Al crear un usuario, se puede permitir el inicio de sesión en la consola o el acceso directo a las API con un SDK o la herramienta de línea de comandos.
• El acceso a las API requiere una clave y un secreto adicionales, aleatorios y más complejos que las credenciales de inicio de sesión.
• Los usuarios pueden tener dos claves activas; y en caso de no poder cambiar la contraseña, es necesario tener al menos dos claves para rotarlas.

Roles

• Características:
• Al igual que los usuarios y grupos, los roles de IAM también tienen directivas aplicadas que otorgan permisos.
• Los roles se aplican a una instancia en el momento del arranque: AWS genera y proporciona automáticamente la clave y el secreto de acceso mediante la API de metadatos.
• Se pueden usar credenciales para acceder a servicios de AWS con los permisos delineados por las políticas del rol.
• Los SDK de AWS y awscli pueden leer las claves de manera automática, sin ajustes de desarrolladores o administradores, solo se requiere que la aplicación se ejecute en una instancia de EC2.
• Los roles también se pueden aplicar a otros servicios de AWS como Lambda o API Gateway, usuarios, aplicaciones móviles o entidades externas para permitir la gestión de recursos en la cuenta del cliente.
• Se pueden asignar roles de una cuenta (A) a usuarios de otra cuenta (B):
• Cuando el usuario de la cuenta B desea acceder a los recursos de la cuenta A, el usuario asume un rol de la cuenta B.
• Las acciones permitidas son las que delimitan las directivas aplicadas a ese rol.

10.4. Seguridad en la Nube como Servicio

• Definición: Consiste en ofrecer servicios de seguridad, que normalmente se ejecutan localmente, dentro de un entorno en la nube.
• Lista de servicios de seguridad ofrecidos en la nube
• Gestión de identidades y accesos
• Prevención de pérdida de datos
• Seguridad web: filtrado web, análisis de vulnerabilidades, monitorización, etc.
• Seguridad del correo electrónico
• SIEM
• VPN
• Herramientas de seguridad perimetral: firewalls, IDS, etc.
• Ventajas de delegar servicios de seguridad en entornos de nube:
• Disponibilidad del servicio constante
• Gestión simplificada
• Escalabilidad
• Se debe tener en cuenta que la seguridad de la organización se delega a un tercero con rigurosos acuerdos de servicio.