AWS re:Inforce: “La seguridad está en los cimientos de la innovación cloud”

La ciudad norteamericana de Filadelfia está acogiendo esta semana una nueva edición del congreso AWS re:Inforce, donde el principal proveedor de nube pública está recalcando su compromiso por la seguridad y su importancia como base para poder proporcionar a sus clientes el resto de servicios cloud con eficiencia y agilidad.

No en vano, este congreso nació en 2019 como un ‘spin-off’ de AWS re:Invent, su congreso principal, para poder ofrecer más protagonismo al área de la ciberseguridad, intrínseca en cualquiera de los servicios del hiperescalar de una forma o de otra.

Amy Herzog, recientemente nombrada CISO de AWS, destacó durante la ponencia inaugural del evento que en el entorno digital actual, la innovación y la seguridad no son conceptos opuestos, sino aliados inseparables: “El objetivo principal de AWS es ganar y mantener la confianza de sus clientes, desde startups hasta gobiernos nacionales, proporcional el entorno más seguro posible”.

Miles de profesionales están encontrando aquí habilidades prácticas y estrategias para fomentar la innovación segura en la nube a través de las últimas herramientas proporcionadas tanto por AWS como por sus partners.

Este año, con otro de los protagonistas del sector tecnológico: la IA generativa, que está acelerando su adopción y madurez, pero que también debe securizarse para evitar fugas de datos y brechas frente a posibles ataques.

Durante la primera jornada, AWS ha ofrecido detalles en áreas clave donde debe aplicarse una base sólida de seguridad: gestión de identidades y accesos, seguridad de los datos y las redes, monitorización y migración/modernización a la nube.

Gestión de identidades y accesos

En los sistemas modernos, la gestión de identidades y accesos no es solo una parte de la seguridad, sino que es fundamental para todas las operaciones, tal y como explicaba Herzog. La identidad es sinónimo de confianza, asegurando que se sabe quién es un usuario y, por lo tanto, a qué puede acceder.

AWS Identity and Access Management (IAM) está diseñado para abordar las complejas necesidades de autenticación y autorización en la nube a una escala masiva, manejando aproximadamente 1.200 millones de llamadas API por segundo en todo el mundo. En otras palabras, la arquitectura de AWS es capaz de permitir o denegar esa cantidad de llamadas sin que el rendimiento global del servicio se vea afectado.

Para conseguirlo, el proveedor asegura que ha desarrollado un lenguaje de políticas único y potente que permite un control de acceso granular a todos los recursos, desde el lanzamiento de una instancia EC2 hasta el uso de modelos en Amazon Bedrock.

Una de las herramientas clave en este campo es IAM Access Analyzer. Antes, la configuración de permisos era una tarea inicial y compleja, pero AWS reconoció que es un proceso continuo que evoluciona con las necesidades del negocio. Access Analyzer escanea proactivamente las políticas de recursos para detectar exposiciones no intencionadas, identifica roles, usuarios y permisos no utilizados recientemente, y puede crear automáticamente políticas IAM basadas en los registros de AWS CloudTrail.

AWS ha anunciado la disponibilidad general de Internal Access Findings, una nueva capacidad de Access Analyzer. Impulsada por razonamiento automatizado, esta función permite ver exactamente quién dentro de la compañía tiene acceso a recursos importantes de AWS. La herramienta analiza varios tipos de políticas (identidad, recursos, políticas de control de servicios) e identifica qué roles y usuarios de AWS tienen acceso a recursos específicos. Toda la información de acceso se consolida en un único panel, facilitando la detección y corrección de problemas de seguridad. Por si fuera poco el sistema verifica automáticamente los permisos de acceso cada día, notificando cuando alguien nuevo obtiene acceso a algo crítico.

La CISO de AWS enfatizaba la necesidad de eliminar las credenciales a largo plazo, ya que crean un riesgo de seguridad persistente. Si bien la rotación de credenciales es una medida a corto plazo, la estrategia a largo plazo es reemplazarlas con credenciales temporales de menor privilegio. Herramientas como IAM Instance Profiles, federación de identidad, IAM Roles (que proporcionan producciones temporales sin necesidad de rotación) e IAM Anywhere (para cargas de trabajo híbridas y multinube) facilitan esta transición.

Para terminar el bloque relacionado con IAM, la compañía anunciaba que se ha convertido en el primer proveedor de nube en exigir el uso de MFA (Autenticación Multifactor) para la administración y cuentas independientes con acceso root. “Hemos logrado el 100% de cumplimiento de MFA para usuarios root en todos los tipos de cuentas de AWS. Además, hemos facilitado el uso de MFA fuerte mediante el soporte de passkeys FIDO2 y la capacidad de soportar hasta ocho dispositivos MFA por usuario root o IAM para evitar problemas con tokens perdidos”.

Seguridad de datos y redes: protección en profundidad y escalabilidad

Mientras que IAM controla el acceso, la seguridad de los datos requiere capas adicionales de protección y control. En un mundo con dinámicas cambiantes y políticas en evolución, el control sobre la ubicación de los datos se ha vuelto crucial. “AWS ofrece el conjunto más avanzado de controles y características de soberanía en la nube, incluyendo el control sobre la ubicación de los datos, control verificable sobre quién puede acceder a ellos, opciones soberanas y resilientes, y la capacidad de cifrar todo en todas partes”, resaltaba Herzog, que también explicaba que la encriptación de datos, que antes era costosa y compleja, ahora es gratuita en AWS.

AWS no se basa en una única capa de protección, sino en una defensa en profundidad. El tráfico en la red de AWS está cifrado de forma ubicua en el enlace físico, y el tráfico en las VPC (Redes Privadas Virtuales) se cifra de forma transparente, a menudo resultando en tres o más capas de cifrado mientras se mueve a través de la red, todo ello manteniendo un rendimiento de red extremadamente alto.

La gestión de certificados digitales es otro desafío clave. AWS Certificate Manager (ACM) simplifica el aprovisionamiento, la gestión y el despliegue de certificados TLS.

Aquí entra en juego otra de las novedades anunciadas, los Certificados Públicos Exportables de ACM. Ahora es posible solicitar certificados públicos emitidos por ACM y sus claves privadas para uso tanto dentro como fuera de AWS. Al solicitar un certificado público a través de ACM, se tiene la opción de designarlo como exportable, permitiendo descargar el certificado y la clave privada para usarlos donde se desee. Esto proporciona el valor de la gestión centralizada de certificados, renovaciones gestionadas y notificaciones de rotación automática, todo a un precio más bajo que otras autoridades de certificación comerciales, según AWS.

En cuanto a la protección de la red, AWS Shield ha sido la defensa contra eventos DDoS. Sin embargo, “la identificación de recursos que requieren protección puede ser compleja”, proseguía la directiva, que daba paso a otra de las novedades (en esta ocasión en fase previa): AWS Shield Network Security Director. Se trata de “un servicio que ofrece protección desde la defensa DDoS hasta una gestión integral de la seguridad de la red”.

La nueva interfaz de AWS Shield ofrece un panel intuitivo que clasifica los problemas según su gravedad, junto con instrucciones paso a paso para remediarlos rápidamente. Además, los clientes pueden ahora utilizar Amazon Q, el asistente generativo con IA más avanzado para entornos profesionales, para obtener orientación mediante conversaciones naturales, simplificando así la navegación por configuraciones de seguridad complejas.

Por su parte, AWS Web Application Firewall (WAF) bloquea los intentos de explotar las aplicaciones, permitiendo la creación de reglas de seguridad precisas para filtrar tráfico malicioso, como intentos de inyección SQL o cross-site scripting, o para bloquear el acceso desde ubicaciones geográficas específicas.

La novedad en este servicio es que se simplifica la experiencia de uso de la consola, transformando el proceso de configuración de seguridad de aplicaciones y APIs en un asistente de incorporación que “puede reducir los pasos necesarios para la configuración inicial de la seguridad de la aplicación en un 80%, permitiendo a los equipos de seguridad proteger sus aplicaciones en minutos en lugar de horas”.

La importancia de la monitorización proactiva

La monitorización es fundamental para la seguridad, pero el desafío radica en saber qué monitorizar y cómo hacerlo de manera eficaz. A menudo, “la seguridad gravita hacia la detección de lo fácil de identificar”, lo que Herzog comparaba con el “efecto de la farola” en ciberseguridad: se busca donde la luz es más brillante, no necesariamente donde está la mayor amenaza.

“AWS inspecciona más de 36.000 millones de eventos de telemetría en promedio cada día en busca de signos de reconocimiento, acceso no autorizado, movimiento lateral u otras técnicas de ataque”, aseguraba.

En este apartado destacan herramientas como Amazon CloudWatch, AWS CloudTrail y Amazon Security Lake, que proporcionan visibilidad sobre la seguridad de los recursos y el uso de la APIs. Por su parte, Amazon GuardDuty, utiliza IA para minimizar falsos positivos y facilitar automatizaciones confiables.

Pues bien, AWS ha ofrecido más detalles de Amazon GuardDuty Extended Threat Detection (XTD), que utiliza IA y ML para correlacionar automáticamente señales de seguridad entre servicios de AWS y detectar amenazas críticas y más sofisticadas.

Por ejemplo, ha añadido capacidades mejoradas a GuardDuty XTD como el análisis de comportamiento avanzado, mayor precisión con menos falsos positivos y nueva cobertura para clústeres de EKS (Elastic Kubernetes Service).

Por último, AWS ha anunciado la vista previa de AWS Security Hub mejorado. Se trata de una solución unificada de seguridad en la nube que combina señales de todos los servicios de seguridad de AWS y las transforma en información procesable, ayudando a priorizar los problemas de seguridad críticos y responder a escala. Las nuevas capacidades correlacionan y enriquecen señales de seguridad amplias y profundas para detectar y priorizar los riesgos activos.

Migración y modernización, el camino hacia una mayor seguridad

Migrar a la nube representa un cambio transformador en la gestión de la seguridad, ofreciendo un modelo de responsabilidad compartida donde AWS se encarga del trabajo de asegurar la infraestructura, permitiendo a los clientes centrarse en la seguridad de sus propios recursos. “A diferencia de los entornos locales, donde las organizaciones asumen la carga total de la seguridad, los clientes de AWS heredan la seguridad física de clase mundial y los servicios de AWS integran la seguridad directamente en su diseño”, declaraba Herzog.

El objetivo final debe ser la modernización, que implica mover las soluciones más arriba en la pila tecnológica y aprovechar más servicios gestionados como Lambda, S3 o KMS. Esto no solo aumenta la seguridad, sino que también reduce la dependencia de la configuración manual (propensa a errores humanos), ya que la infraestructura de estos servicios es parcheada y gestionada por AWS.

Mientras tanto, el parcheado regular es un papel crítico como defensa de primera línea contra vulnerabilidades. AWS promueve una mentalidad donde estas actualizaciones se integran en las prácticas de seguridad y operaciones, utilizando la entrega continua automatizada a través de pipelines CI/CD.

AWS proporciona diversas herramientas para facilitar el parcheados en toda la pila tecnológica:

* AWS Systems Manager: Parcheado a nivel de sistema operativo.

* Amazon ECR Scanning:  Verifica automáticamente las imágenes de contenedores en busca de vulnerabilidades y proporciona posibles soluciones.

* AWS CodeArtifact: Ayuda a mantener repositorios privados de dependencias parcheadas y verificadas.

* Amazon Inspector: Evalúa automáticamente las aplicaciones en busca de vulnerabilidades y desviaciones de las mejores prácticas, integrándose directamente con Security Hub para proporcionar recomendaciones priorizadas por el nivel de riesgo.

Herzog finalizaba su presentación explicando que “la migración y modernización, aunque complejas, ofrecen beneficios transformadores en escalabilidad, resiliencia y seguridad, y los socios de AWS son muy importantes para ayudar a los clientes a hacer frente a estos desafíos”.

Durante los próximos días seguiremos informando sobre todo lo acontecido en AWS re:Inforce 2025.