VIVRI, una empresa de comercialización de productos nutricionales
tenía un comercio electrónico en una infraestructura física, lo que causaba
problemas de alta disponibilidad, baja latencia y escalabilidad limitada. Sin
embargo, el principal problema que surgió fue la seguridad del sitio e incluso
ataques aleatorios que podrían robar información bancaria de sus clientes o
información sensible de la empresa, además de no contar con el respaldo de una
certificación y acreditaciones de conformidad que brindara tranquilidad a sus
clientes.
No contaban con un monitoreo proactivo que les ayudara a detectar
anomalías en sus cargas de trabajo, lo que hacía que su comercio electrónico
fuera más vulnerable.
El equipo de desarrollo de TI de VIVRI no tenía procesos documentados
para resolver problemas enfocados en sus cargas de trabajo y la falta de un
Plan de Recuperación de Desastres. Lo que resulta en una caída del servicio que
afecta la continuidad porque solo se encontraban en la región de Virginia.
Propuesta de solución por Compucloud
El equipo de expertos de compucloud ofreció una consultoría para
comenzar con las remediaciones pertinentes y las mejores prácticas en la nube
de AWS, para resolver los problemas presentados, con nuestra experiencia como
Managed Service Provider, Well Architected Framework y como Service Delivery
Program WAF, así como el soporte y conocimiento de Trend Micro, desarrollamos
una propuesta de solución basada en las mejores prácticas de seguridad y el
Well Architected Framework así como, el conocimiento del modelo de madurez de
AWS.
1.- Análisis de vulnerabilidades
de infraestructura
VIVRI es actualmente un cliente que cuenta con información sensible
dentro de sus aplicaciones, para lo cual fue necesario implementar una solución
de análisis de vulnerabilidades dentro de sus instancias EC2, con el objetivo
de minimizar el porcentaje de ataques de vulnerabilidad y configuraciones
erróneas dentro de sus servidores. Por esta razón, se recomendó el uso de una
solución que proporciona protección a nivel de red y host.
2.- Visibilidad del inventario
de recursos de AWS
Para VIVRI es importante tener visibilidad de todos los recursos,
cambios y eventos que ocurrieron dentro de la consola de AWS. Compucloud tiene
una aplicación que permite al cliente ver centralmente todos los activos y
movimientos a través de una interfaz GUI. Esto hace que la recopilación de
información sea más fácil y rápida.
3.- Monitorización de las
prácticas recomendadas de seguridad en AWS
Seguir las buenas prácticas de seguridad recomendadas por AWS es parte
fundamental para el cliente, ya que su consola es constantemente analizada en
busca de desviaciones de mala configuración que puedan afectar la seguridad de
la consola del cliente, por lo que Compucloud realiza el envío continuo de
informes de seguridad basados en las mejores prácticas de seguridad de los
servicios que tiene el cliente.
4.- Monitoreo de conformidad de
AWS
Debido al tipo de información que maneja el cliente vivri, se optó por
el uso de soluciones de seguridad para el monitoreo continuo de altos
estándares y regulaciones de seguridad, como el PCI DSS y el CIS AWS Benchmark
v1.2.0.
5.- Monitorear y clasificar
eventos de seguridad
VIVRI, al tener un E-Commerce, es importante que monitoreen constantemente los eventos de seguridad que ocurren en su infraestructura AWS, por lo que actualmente cuentan con una política de soporte que brinda soporte 24/7 así como monitoreo constante de su seguridad. Ofreciendo actividades, automatizaciones e informes que se llevan a cabo constantemente para tener una amplia visibilidad de toda su postura de seguridad.
- Soporte 24/7
- Monitoreo continuo de eventos de seguridad a través de Zendesk.
- Diferentes medios de comunicación directa con los agentes de Compucloud.
- Automatizaciones de respuesta a incidentes.
- Entrega continua de informes de seguridad.
- Base de conocimientos de incidentes de seguridad.
6.- Sistema administrado de
prevención de intrusiones y detección y respuesta administrada para AWS End Points
Debido a la carga de trabajo, tipo de aplicación e información manejada
por el cliente vivri, fue necesario implementar una solución que permitiera la
protección en todas las capas, entre las que se encuentran: Workload Security,
Compliance y soluciones de seguridad de almacenamiento de archivos. Estas
soluciones, junto con los servicios de AWS, le permiten aumentar la postura de
seguridad de toda la infraestructura para cumplir con los más altos estándares
de seguridad.
7.- Firewall de
Aplicaciones Web Administradas
El cliente VIVRI presentaba problemas de seguridad a sus cargas de
trabajo con diferentes ataques dirigidos a sus aplicaciones web, por lo que
Compucloud recomendó el uso de WAF para comenzar a filtrar todo el tráfico
malicioso dentro de sus cargas de trabajo y tener una reducción significativa
de los ataques al mejorar la seguridad de la infraestructura y sus datos.
Servicios de AWS que impulsaron el desarrollo de un
proyecto más robusto
Se recomendó la implementación de instancias de la familia T3. Las
instancias T3 son instancias de uso general, escalables y de última generación
que proporcionan un nivel óptimo de rendimiento de la CPU, pero ofrecen la
capacidad de escalar el uso de la CPU en cualquier momento. La razón principal
de esto es que las instancias T3 acumulan créditos de CPU cuando una carga de
trabajo funciona por debajo del nivel base predeterminado.
Las instancias M5 son la última generación de instancias de uso general
y proporcionan un rendimiento mejorado con respecto a M4. Esta familia
proporciona un equilibrio de recursos informáticos, de memoria y de red, y es
una buena opción para muchas cargas de trabajo de bases de datos.
Complementando los componentes que forman parte de las instancias
anteriores, se implementaron volúmenes SSD de propósito general EBS tipo GP2.
La razón por la que se utilizan volúmenes respaldados por SSD es porque están
optimizados para ejecutar cargas de trabajo transaccionales que implican
operaciones frecuentes de lectura/escritura, ya que la transaccionalidad no
requiere el aprovisionamiento de IOPS adicionales, ya que las IOPS
predeterminadas que tiene gp2 cumplen con el rendimiento deseado.
Debido a que nuestro cliente tiene un Ecommerce, necesita una conexión segura del usuario final, por esta razón proponemos un Application Load Balancer para redirigir las peticiones http a la conexión https.
De igual manera implementamos algunas reglas que
permiten aumentar la seguridad de su Ecommerce:
1. Dada la naturaleza de la carga de trabajo, es necesario protegerse de aquellas IPs que el equipo de inteligencia de AWS ha detectado como maliciosas o como bots, por lo tanto, esta regla nos permite evitar que estas IPs realicen peticiones a la carga de trabajo.
2. Reglas que permitan minimizar la explotación o el descubrimiento de vulnerabilidades.
3. Reglas para bloquear patrones de solicitud asociados con la explotación de bases de datos SQL, como ataques de inyección SQL, ya que la carga de trabajo tiene un RDS
4. Reglas que bloquean los patrones de solicitud asociados con el aprovechamiento de vulnerabilidades específicas de Windows, como la ejecución remota de comandos de PowerShell y la carga de instancias ec2 que ejecutan Windows Server
5. Reglas para bloquear y administrar solicitudes de bot.
En referencia a la red, se implementó una VPC para toda la
infraestructura, esta para tener control de acceso hacia y desde las subredes,
en este sentido se configuraron 2 subredes, una subred pública, en la cual se
configuran las instancias EC2, que permite tener una conexión a internet a
través del Gateway de Internet, además de una subred privada para una instancia
RDS, y el entorno de red se complementó
con la recopilación de VPC Flowlogs, que almacena todas las transacciones que
llegan a las interfaces de los recursos del entorno, esto se complementó con
Amazon Guardduty para poder detectar y monitorizar el entorno del cliente,
pudiendo así responder automáticamente a los eventos de seguridad encontrados
por el servicio a través de un script desarrollado que detecta los hallazgos de
Amazon GuardDuty y bloquea automáticamente al actor de el descubrimiento en el
nivel WAF y Lista de control de acceso a redes (NACL).
Servicios de AWS que forman parte de la solución.
- AWS VPCs
- Amazon Ec2 instance
- Amazon EBS
- Amazon RDS
- Internet-gateway
- Application Load Balancer
- Security Groups
- Amazon Cloud Watch
- Amazon Cloud Trail
- Amazon S3
- AWS Lambda
- Elastic IPs
- AWS IAM
- Amazon Route 53
- ACM
- WAF
- BOT CONTROL
- RULES
- VPC Flowlogs
- GuardDuty
A través de los servicios de AWS que se implementan,
es posible resolver los problemas del cliente, que fueron alta disponibilidad,
baja latencia, seguridad, flexibilidad y escalabilidad, cabe mencionar que la
seguridad de su infraestructura se protege aún más con la implementación de un
host Bastion, que permite una conexión segura a la instancia, ya que la
instancia de comercio electrónico solo permite el acceso a través de la IP
bastión, sin embargo eso solo resuelve
la conectividad al recurso principal, la integración de recopilación de logs
para ser analizados por un servicio de monitoreo de seguridad como GuardDuty,
permite tomar decisiones informadas sobre aquellos recursos que pueden volverse
vulnerables, y finalmente, la integración del WAF permite fortalecer la entrega
de contenido web del cliente con la configuración de reglas que brindan
protección relacionada con los tipos de solicitudes que se pueden hacer al
principal. Además, cuando surge el problema con la región, el principal
problema que tenía el cliente era con más de 10.000 proveedores que no podían
acceder al contenido web y eso conlleva una pérdida de 20.000 USD, es por ello
que al llevarse a cabo la modernización de la carga de trabajo, se logró
mejorar la disponibilidad de la aplicación, logrando reducir la probabilidad de
que este incidente vuelva a ocurrir.
Los servicios de
AWS son muy efectivos para resolver diversos problemas, una de las ventajas es
que el rendimiento de la nube es superior al rendimiento de una infraestructura
local, además a través de los servicios de AWS podemos cumplir con los
requerimientos del cliente, como alta disponibilidad, escalabilidad, que en
este caso específico son de gran importancia para el cliente.
Conoce más del uso de servicios administrados de
seguridad
Otros casos de exito
Empresa dedicada al análisis, desarrollo e integración de soluciones financieras a nivel nacional e internacional.
Comercializador de llantas más grande de México. Con más de 20 años en el mercado.
Empresa de bróker de seguros, dedicada al servicio al cliente y comercialización de esquemas de aseguramiento específico, adaptó un servicio administrado de respaldos automatizados que se encuentra alojado en la nube de AWS.
Empresa dedicada al desarrollo de soluciones transaccionales para la nube, enfocados en nómina, recursos humanos, ERP entre otros, operan a través de la nube de AWS para brindar seguridad y tranquilidad a sus clientes
Conoce por qué TLapps eligió a Compucloud y la nube de AWS, tras haber enfrentado un ataque por medio de un Malware, comprometiendo la información del servidor on-premise.
Conoce como Compucloud apoyó a una empresa con características para el desarrollo y ejecución de proyectos electromecánicos, entendió las necesidades, a través de los servicios de AWS que se implementan, fue posible lograr resolver la problemática del cliente, brindando alta disponibilidad, baja latencia, seguridad, flexibilidad y escalabilidad.
