Como escoger un cloud provider?
(La verdad esto solo divide a los chicos de los grandes porque todos los grandes deben cumplir)
- El trabajo se puede compartamentalizar
- Tiene security policies definidas
- Sus auditorias son públicas
- Contrato bien definido
- BC/DC policies definidas
- Configuration y patch management
- Robusta y documentada API
- Y en general si priorizan la seguridad.
Cuando revisas las auditorias te tienes que fijar en:
- El Scope y el timeframe
- Que lo que vas a usar este cubierto
- Quien esta auditando (si es bueno o no)
Incident Response en la nube
- Cambian los riesgos, especialmente las probabilidades (un DoS es casi imposible pero el management plane lo tienes que revisar ahora)
- Lo que le afecte a tu provider te va a afectar a ti
- Tus prioridades y las del cloud provider son diferentes (por ejemplo si te usan para atacar a otros, simplemente te bloquearan en lo que descubren que paso ja)
IR lifecycle
Preparation
- Checar el data lifecycle
- Entender los SLA y los contratos (quien es responsable de que)
- A quien contactar con out-of-band authentication
- Que hacer en caso de incidente
- Cloud jump kit (que hacer en caso de incidente y lo más automático posible)
- Architect para faster detection, investigation y remediation (Inmutable, infrastructure as a code siempre ayudan)
- Prueba el plan y todo lo demás. No debes probar a la hora de un incidente, debes probar antes!
Detection y Analysis
- Todo depende del acceso a la información (donde estan tus logs y asegurarte que los hayas configurado)
- Tu visibilidad es limitada ( no vas a poder sacar el hard drive de una maquina para analizar)
Containment, eradication y recovery
- Siempre empieza la investigación en el management plane
- El cloud provider le dará prioridad “a todos” sobre ti en osea en caso de que te esten usando para atacar, primero te bloquearan y luego preguntarán que paso.
- Tu eres responsable de todo el proceso no el cloud provider
- Puedes simplemente clonar todo y volver a empezar en caso de emergencias
- Idealmente el provider debe tener la capacidad de ayudarte (te va a cobrar un chingo) pero la capacidad debe estar ahí.
Post-Morten
- Es el que más se parece a la infraestructura clásica, pero hay que prestarle más atención al management plane y a tu relación y comunicación con el cloud provider
SECaaS
Security as a service: Producto o servicio de seguridad que se maneja desde la nube y cubre las características de NIST. (The NIST definition lists five essential characteristics of cloud computing: on-demand self-service, broad network access, resource pooling, rapid elasticity or expansion, and measured service.)
Ejemplos:
- IAM services (como federation identity brokers, MFA, )
- CASB (cloud access security broker)
- Web security gateway (web filtering)
- Email security (phishing, spam, malware)
- Security assessments (vuln scans, cloud platform configuration)
- WAF
- Encryption y key management
- SIEM (Security information and event management)
- BC/DR