CEBSA es una empresa de la industria
eléctrica, que alojaba sus servidores en una infraestructura física, el
principal problema se debe a su tipo de información y su mantenimiento era
necesario para tener una fuerte seguridad, por lo que debería ser suficiente
para proteger toda la información en toda la capa de la aplicación. Debido a
estar en una infraestructura física, la empresa decidió migrar a la nube, para
aprovechar todos los beneficios y características que un proveedor de AWS puede
ofrecer.
El equipo técnico de CEBSA tiene
experiencia en la resolución de problemas de seguridad, a pesar de que no
disponía de una base de conocimientos que pudiera ayudar a la organización a
resolver el problema de forma estandarizada, y la monitorización continua de la
infraestructura que les ayudaría a detectar desviaciones de seguridad.
Propuesta de solución por Compucloud
El equipo de expertos de compucloud ofreció una consultoría para
comenzar con las remediaciones pertinentes y las mejores prácticas en la nube
de AWS, para resolver los problemas presentados, con nuestra experiencia como
Managed Service Provider, Well Architected Framework y como Service Delivery
Program WAF, así como el soporte y conocimiento de Trend Micro, desarrollamos
una propuesta de solución basada en las mejores prácticas de seguridad y el
Well Architected Framework así como, el conocimiento del modelo de madurez de
AWS.
De acuerdo con el problema del
cliente, la solución más adecuada para implementar fueron los siguientes
servicios, 4 instancias EC2, que tienen un entorno de red configurado
correctamente, compuesto por un par de subredes públicas y privadas, con sus
respectivas Gateway de Internet y Nat Gateway para permitir el tráfico de
Internet, los grupos de seguridad
correspondientes para los servidores, así mismo dos de las instancias tienen su
respectiva IP elástica, esto debido a que son servidores de terminales
licenciados por TSPLUS con el fin de realizar un acceso más filtrado y limitado
a los recursos dentro del servidor.
Además de los recursos
principales, inicialmente se implementó un servicio de seguridad de terceros a
nivel de SO, solución que permite fortalecer la seguridad de escritorio remoto
ya que evita que se abran sesiones remotas externas, incluye una lista negra de
direcciones IP sospechosas y proporciona una gestión centralizada de políticas,
así como protección contra ransomware. Al mismo tiempo, se agregaron servicios
de recopilación de registros a nivel de VPC y se complementó con el servicio
GuardDuty para que analice y encuentre posibles riesgos de seguridad, esta
solución se complementó con un script lambda que permite llevar a cabo el
bloqueo de IPs atacantes en la NACL de la VPC, además de los recursos
mencionados anteriormente, con la
estrategia de modernización que se implementó, se mejoró la postura de seguridad
tras recomendar otras soluciones existentes en los Addons de Compucloud.
1.- Análisis de vulnerabilidades
de infraestructura
CEBSA, es una empresa que se encuentra en
la industria eléctrica, el tipo de información que maneja es crítico, por lo
tanto, debido a todos los procesos y tipo de carga de trabajo, se recomendó el
uso de soluciones de seguridad para el análisis de vulnerabilidades dentro de
sus instancias EC2, con el objetivo de aumentar su postura de seguridad y
reducir las desviaciones y vulnerabilidades que puedan existir dentro de sus
servidores.
2.- Visibilidad del inventario
de recursos de AWS
Uno de los beneficios que tienen los
clientes al formar parte de Compucloud es que ponemos a disposición de nuestros
clientes una aplicación web que pueden consultar para obtener un seguimiento de
sus cambios de inventario y eventos realizados dentro de su infraestructura de trabajo.
La aplicación desarrollada por Compucloud permite al cliente ver de forma
centralizada todos los activos y movimientos a través de una interfaz GUI. Esto
hace que la recopilación de información sea más fácil y rápida.
3.- Monitorización de prácticas recomendadas de
seguridad de AWS.
Como parte de su política de soporte,
Compucloud realiza auditorías de seguridad recurrentes de las mejores prácticas
de seguridad recomendadas por AWS, estas son ejecutadas y presentadas al
cliente con las recomendaciones y acciones a tomar.
4.- Monitorización de prácticas recomendadas de seguridad de AWS.
CEBSA debido al tipo de carga de trabajo y los
procesos gestionados dentro de su organización, el cliente debe cumplir con las
siguientes certificaciones:
·
ISO 27001 2013
·
CIS AWS Foundation
Benchmark 1.2.0
Esta es la razón por la que integramos servicios que
tenemos con uno de nuestros partners en seguridad y que nos brindan soporte de
primera mano TrendMicro
5.- Monitorear y clasificar
eventos de seguridad
CEBSA tiene una política de soporte de Compucloud que brinda
soporte 24/7, así como un monitoreo constante de su seguridad. Una póliza de soporte que le brinda,
automatizaciones e informes que se llevan a cabo constantemente para tener una
amplia visibilidad de toda su postura de seguridad
• Soporte 24/7
• Monitoreo continuo de eventos de seguridad a través de
Zendesk.
• Diferentes medios de comunicación directa con los
agentes de Compucloud.
• Automatizaciones de respuesta a incidentes.
• Entrega continua de informes de seguridad.
• Base de conocimientos de incidentes de seguridad.
6.- Mitigación de Denegación de Servicio (DDoS)
Como parte de la mejora continua de la
seguridad, el cliente tiene dentro de sus servicios de seguridad una solución,
que ayuda a proteger sus servidores contra diferentes tipos de amenazas, entre
las que ofrece protección contra DDOS.
6.- Sistema administrado de prevención
de intrusiones y detección y respuesta administrada para AWS End Points
Debido a la carga de trabajo, tipo de aplicación e información manejada
por el cliente de Cebsa, fue necesario implementar una solución que permitiera
la protección en todas las capas, por lo que se recomendó el uso de las
soluciones que maneja Compucloud dentro de CLOUD FORTRESS, entre las que se
encuentran: Seguridad y conformidad de la carga de trabajo. Estas soluciones en
conjunto con los servicios de AWS nos permiten aumentar la postura de seguridad
de toda la infraestructura para cumplir con los más altos estándares de
seguridad.
Servicios de AWS que impulsaron el desarrollo de un
proyecto más robusto
Se recomendó la implementación de instancias de tipo de familia R5 de
próxima generación optimizadas para memoria, ya que son adecuadas para
aplicaciones de uso intensivo de memoria, aumentan el rendimiento y reducen la
latencia.
Las instancias M5 son la última generación de instancias de uso general
y proporcionan un rendimiento mejorado con respecto a M4. Esta familia
proporciona un equilibrio de recursos informáticos, de memoria y de red, y es
una buena opción para muchas cargas de trabajo de bases de datos.
Las instancias M5a son la última generación de instancias de uso general
con procesadores AMD EPYC serie 7000. Se recomendó esta familia, ya que ofrece
hasta un 10 % de ahorro de costes en comparación con otros tipos de instancias.
A su vez, al ingresar al programa de modernización, se realizaron
mejoras a nivel de base de datos, dado que CEBSA requiere trabajo continuo, ya
que forma parte de la industria eléctrica, se recomendó la implementación de un
clúster Aurora MySQL Serverless. v2 (de 1 a 4 ACU) con versión 8.0.mysql
aurora.3.02.1, esto debido a las diversas ventajas que tiene, como ser uno de
los recursos más rentables durante períodos de baja actividad, o relacionado
con el escalado más rápido y fácil que ayudará a dar una mejor respuesta a una
contingencia.
También se utilizaron volúmenes respaldados por SSD ya que están
optimizados para ejecutar cargas de trabajo transaccionales que implican
operaciones frecuentes de lectura/escritura, debido a que la transaccionalidad
no requiere el aprovisionamiento de IOPS adicionales, ya que las IOPS
predeterminadas que tiene gp2 cumplen con el rendimiento deseado.
En referencia a la red, se implementó una VPC para toda la
infraestructura, esta para tener control de acceso hacia y desde las subredes,
en este sentido, se configuraron 4 subredes públicas para la capa de
aplicación, 4 subredes RDS para la base de datos y 4 subredes privadas para el
entorno privado.
Para el entorno de red, se habilitó la compilación del flujo de red (VPC
Flow Logs), lo que permite monitorear el tráfico dentro del entorno de red y
ayuda a resolver problemas de configuración, red y seguridad. Por otro lado, el
servicio GuardDuty fue habilitado para detectar y monitorear continuamente las
cargas de trabajo del cliente y poder detectar actividad inusual y maliciosa,
de la misma manera el servicio se complementó con el script desarrollado por
Compucloud para proporcionar respuestas en un a los eventos de seguridad
encontrados por el servicio mediante la detección de hallazgos de Amazon
Guardduty y bloquea automáticamente al actor del hallazgo a nivel de Lista de
control de acceso a la red (NACL).
Servicios de AWS que forman parte de la solución.
·
CloudTrail
·
CloudWatch
·
Elastic
Compute Cloud
·
Glue
·
GuardDuty
·
Key
Management Service
·
Lambda
·
Relational
Database Services
·
Secret
Manager
·
Simple
Email Service
·
Simple
Notification Service
·
Simple
Queue Service
·
Simple
Storage Service
·
Workdocs
A través de los servicios de AWS que se implementan,
es posible resolver los problemas del cliente, que fueron alta disponibilidad,
baja latencia, seguridad, flexibilidad y escalabilidad, cabe mencionar que la
seguridad de su infraestructura está protegida aún más con el uso de servidores
TSPLUS ya que permiten un mejor filtrado de acceso a los recursos de acuerdo al
nivel de permiso que tenga el usuario dentro de la organización, sin embargo, esto solo resuelve la
conectividad con el recurso principal, la integración de recopilación de logs
para ser analizados por un servicio de monitoreo de seguridad como GuardDuty,
permite tomar decisiones informadas sobre aquellos recursos que pueden volverse
vulnerables.
Los servicios de
AWS son muy efectivos para resolver diversos problemas, una de las ventajas es
que el rendimiento de la nube es superior al rendimiento de una infraestructura
local, además a través de los servicios de AWS podemos cumplir con los
requerimientos del cliente, como alta disponibilidad, escalabilidad, que en
este caso específico son de gran importancia para el cliente.
Conoce más del uso de servicios administrados de
seguridad
https://www.compucloud.com.mx/SecurityMSSP
Otros casos de exito
Empresa dedicada al análisis, desarrollo e integración de soluciones financieras a nivel nacional e internacional.
Comercializador de llantas más grande de México. Con más de 20 años en el mercado.
Empresa de bróker de seguros, dedicada al servicio al cliente y comercialización de esquemas de aseguramiento específico, adaptó un servicio administrado de respaldos automatizados que se encuentra alojado en la nube de AWS.
Empresa dedicada al desarrollo de soluciones transaccionales para la nube, enfocados en nómina, recursos humanos, ERP entre otros, operan a través de la nube de AWS para brindar seguridad y tranquilidad a sus clientes
Conoce por qué TLapps eligió a Compucloud y la nube de AWS, tras haber enfrentado un ataque por medio de un Malware, comprometiendo la información del servidor on-premise.
Conoce como Compucloud apoyó a una empresa con características para el desarrollo y ejecución de proyectos electromecánicos, entendió las necesidades, a través de los servicios de AWS que se implementan, fue posible lograr resolver la problemática del cliente, brindando alta disponibilidad, baja latencia, seguridad, flexibilidad y escalabilidad.
