El contenido de esta guía muestra el despliegue y configuración para cargas de trabajo en la nube pública de Amazon Web Services (AWS) siguiendo las exigencias del Esquema Nacional de Seguridad (ENS).
Siguiendo los pasos de configuración descritos en esta guía se pueden validar los siguientes principios de seguridad:
- Implementación de una base de identidades solidas.
- Trazabilidad.
- Seguridad en todas las capas.
- Automatización de las buenas prácticas de seguridad.
- Protección de los datos en tránsito y en reposo.
- Automatización en el procesamiento de datos.
- Gestión de eventos de seguridad.
La principal utilidad de esta guía es explicar y referir a los servicios ofrecidos por AWS para cumplir con las diferentes medidas de seguridad del ENS. Algunos de estos servicios y su nomenclatura pueden ser nuevos para el lector, por lo que se ha incluido un glosario de términos como anexo al documento, así como referencias a la documentación oficial del fabricante de modo que se facilite la lectura y comprensión por parte del usuario de esta guía.
Por cada una de las medidas de seguridad del ENS se han descrito, según el caso, todos o algunos de los siguientes apartados:
- Tecnologías de referencia en AWS: Descripción de las herramientas y servicios disponibles en AWS para el cumplimiento de los controles o familia de controles.
- Requisitos y elementos de configuración: Explicación prescriptiva sobre cómo usar las herramientas y servicios de AWS para el cumplimiento de las medidas de seguridad del ENS.
- Recomendaciones: Explicaciones adicionales de carácter voluntario para una mejor seguridad en el entorno de AWS y/o cumplimiento del ENS.
La aplicabilidad de las diferentes medidas de seguridad en ENS queda definida en la guía CCN-STIC 887 Perfil de cumplimiento específico para AWS Servicio de Cloud Corporativo, en el que se ofrece el detalle de qué medidas del ENS son de aplicación al ámbito de AWS y deberán implementarse para acogerse al perfil de cumplimiento, así como criterios interpretativos para su correcta adopción. Quedan fuera de la presente guía aquellas medidas de seguridad que se encuentran fuera del ámbito de AWS bien por ser de carácter organizativo o procedimental o bien por requerir una operativa manual ajena a AWS para su cumplimiento.
Muchas de las configuraciones incluidas en este documento tienen la posibilidad técnica de ser validadas de manera automática durante su planificación en el tiempo (programática). Para todas estas medidas se incluye una referencia a un identificador que corresponde a un chequeo de Prowler. Prowler es una herramienta de software libre que permite analizar múltiples servicios y recursos desplegados en AWS de forma manual o automática. Tanto la documentación como el código de la herramienta se encuentra en la siguiente dirección web.
