Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué son Amazon Zelkova y Tiros?

AWS busca reducir los errores de configuración de S3.

[11/09/2018] Para ayudar a reducir las posibilidades de errores de configuración de AWS S3, Amazon está trabajando en dos nuevas herramientas, Zelkova y Tiros, para proporcionar una mayor claridad sobre quién tiene acceso a sus datos y recursos, y qué pueden hacer con ellos. Las herramientas analizan y evalúan los controles de acceso y mapean la apertura de su entorno de nube.

Amazon Web Services (AWS) sigue teniendo problemas para garantizar que sus clientes estén protegiendo sus entornos en la nube. Los errores de configuración incorrecta siguen siendo comunes, y han dejado enormes cantidades de datos confidenciales expuestos. Organizaciones que incluyen Verizon, Booz Allen Hamilton, WWE Foundation, Alteryx, la Federación Nacional de Crédito de EE.UU., Australian Broadcasting Corporation (ABC) y Accenture, dejaron toda la información expuesta debido a errores de configuración.

Esto a pesar de los intentos previos de AWS para ayudar a mejorar la seguridad de sus servicios y reducir la posibilidad de errores de configuración. El año pasado, la compañía lanzó Macie, una herramienta de aprendizaje automático diseñada para descubrir y proteger automáticamente datos confidenciales almacenados en AWS, así como una serie de nuevas características, diseñadas para mejorar la seguridad de S3, incluido el cifrado predeterminado, informes detallados de inventario y comprobaciones de permisos.

En febrero del 2018, solo unos días después de que se conociera la noticia de que FedEx había expuesto más de 100 mil documentos, incluidos pasaportes, licencias de conducir y registros de clientes, AWS puso a disposición de todos los usuarios el servicio S3 Bucket Permissions Check.

AWS Simple Storage Service (S3) es la oferta de almacenamiento de objetos de la compañía. Según Skyhigh Networks, el 7% de todos los segmentos de S3 tienen acceso público sin restricciones, mientras que el 35% no están cifrados. Los ejemplos recientes de datos que quedan expuestos y desprotegidos incluyen las credenciales de inicio de sesión de más de medio millón de dispositivos de seguimiento de vehículos, 200 millones de registros de votantes de los EE.UU., y datos confidenciales pertenecientes a la Inteligencia del Ejército de EE.UU. Además de robar información, los piratas informáticos han bloqueado los datos con ransomware y se han encontrado utilizando los recursos informáticos para extraer criptomonedas.

Lo que hacen Amazon Zelkova y Tiros

Zelkova y Tiros fueron creados por AWS's Automated Reasoning Group (ARG, por sus siglas en inglés), que desarrolla herramientas y técnicas de verificación para los productos de Amazon.

El razonamiento automatizado es un método de verificación formal que toma un razonamiento semántico y aplica fórmulas matemáticas para, en resumen, responder preguntas específicas y verificar que las políticas funcionen como se espera. ARG pertenece al equipo de seguridad de AWS y ha estado desarrollando herramientas internamente durante más de dos años.

Anunciado por primera vez en junio del 2018, Zelkova utiliza el razonamiento automático para analizar políticas y sus futuras consecuencias. Compatible con la Administración de Acceso e Identidad (IAM, por sus siglas en inglés), S3 y otras políticas de recursos de la compañía, permite a las organizaciones crear puntos de referencia e informarle sobre las consecuencias de la configuración actual de sus políticas. Por ejemplo, cuando se utiliza en contra de las políticas de S3, puede informarle si los usuarios no autorizados pueden leer o escribir en su cubo.

Tiros mapea las conexiones entre sus redes. Por ejemplo, puede responder preguntas sobre si alguna de sus instancias EC2 es accesible desde Internet.

Zelkova y Tiros comenzaron como herramientas internas. Zelkova se usa internamente como parte del tablero S3 y dentro de AWS Macie. La firma de gestión de inversiones Bridgewater Associates tuvo acceso anticipado para probarlos.

"Bridgewater utiliza Zelkova para verificar y garantizar que nuestras políticas no permiten la filtración de datos, las configuraciones erróneas y muchos otros comportamientos maliciosos y accidentales indeseables", señaló Dan Peebles, arquitecto principal de seguridad en la nube de Bridgewater Associates en el anuncio de Zelkova. "Zelkova permite que nuestros expertos en seguridad codifiquen su comprensión una vez y luego la apliquen mecánicamente a cualquier política relevante, evitando críticas lentas propensas a errores y, al mismo tiempo, proporcionándonos una gran confianza en la corrección y seguridad de nuestras políticas de IAM".

Ninguna herramienta está actualmente disponible para su publicación. Bridgewater dice que están en un "estado bruto", que no es especialmente fácil de usar. Amazon se negó a publicar información sobre una mayor disponibilidad o precios.

Los desafíos de la configuración en la nube de Amazon

Si bien los proveedores en la nube como Amazon y Azure de Microsoft ofrecen cierto nivel de seguridad en torno a sus servicios y brindan las mejores prácticas recomendadas, operan bajo un modelo de seguridad compartido en el que gran parte de la responsabilidad recae en el cliente, que es donde a menudo ocurren los problemas. "Los desafíos de seguridad informados alrededor de los segmentos de AWS S3 tienen poco que ver con la plataforma en sí", señala Steve Smith, ingeniero sénior de fiabilidad de sitio de MSP Claranet, con sede en Reino Unido, "pero todo tiene que ver con las personas que lo usan, esa es la mayor debilidad aquí.

"AWS establece una gran cantidad de defectos predeterminados diseñados para admitir la configuración; los contenedores S3 ahora son privados por defecto, pero desafortunadamente, es muy fácil equivocarse si no sabe cómo usar la plataforma", agrega Smith.

La falta de educación combinada con la complejidad de implementaciones y herramientas de gestión, así como un número cada vez mayor de administradores de servicios que hay que tener en cuenta, además de que los entornos en la nube, pueden propagarse fácilmente fuera de la vista de los equipos de seguridad. las filtraciones continúan siendo un problema común.

"Como consumidor, tiene que hacer su parte al comprender el modelo de responsabilidad compartida y aplicar las mejores prácticas para proteger sus datos", indica George Gerchow, CSO en Logistics y Log Manager (y cliente de AWS) Sumo Logic. "AWS no hace mucho para proporcionar esta educación, por lo que es fácil para los consumidores creer que todo se hace por ellos".

Con estas nuevas herramientas, AWS busca reducir las posibilidades de error humano y reducir la probabilidad de pérdida de datos. ¿Pero ayudarán? "Nuestro objetivo de seguridad aquí es detener la filtración de datos de AWS", anota Greg Frascadore, arquitecto de seguridad de Bridgewater Associates en una presentación sobre Zelkova y Toris durante la Cumbre de AWS 2018 en Nueva York. "Lo que estamos tratando de conseguir es un análisis formal y una manera metódica de verificar que los controles de seguridad que implementamos funcionan de la manera en que pensamos que están funcionando".

Frascadore dijo que los casos de uso para estas herramientas incluyen la verificación de controles de seguridad individuales, la creación de puntos de referencia en torno a los controles de seguridad, la ubicación de controles relevantes en una flota de cuentas, la automatización de la verificación y la verificación durante la fase de diseño. "Una cosa muy importante acerca de estas herramientas es que puede verificar las cosas durante la etapa de diseño. Una de las cosas que realmente nos gustaría poder hacer es la verificación de seguridad antes de realizar un cambio en la infraestructura real de AWS, antes de poner una vulnerabilidad en la cuenta ", anota.

Otros advierten que estas nuevas herramientas tienen ventajas y desventajas potenciales. Gerchow de Sumo Logic dice que, aunque son un buen comienzo, son caras y deben configurarse correctamente, lo que podría agregar más complejidad y no ayudará en implementaciones multi-nube o híbridas.

"Hay una tonelada de potencial para Zelkova y Tiros, pero esos equipos deben ser capaces de operacionalizar los datos, de lo contrario solo están ejecutando una herramienta", señala Matt Wilson, asesor principal de seguridad de la información de BTB Security. "Todavía requieren que alguien de la organización las ejecute, analice su producción y actúe según la información provista. Los algoritmos avanzados y una interfase elegante son geniales, pero no son suficientes".