CEBSA

CEBSA es una empresa de la industria eléctrica, que alojaba sus servidores en una infraestructura física, el principal problema se debe a su tipo de información y su mantenimiento era necesario para tener una fuerte seguridad, por lo que debería ser suficiente para proteger toda la información en toda la capa de la aplicación.

Debido a estar en una infraestructura física, la empresa decidió migrar a la nube, para aprovechar todos los beneficios y características que un proveedor de AWS puede ofrecer.

El equipo técnico de CEBSA tiene experiencia en la resolución de problemas de seguridad, a pesar de que no disponía de una base de conocimientos que pudiera ayudar a la organización a resolver el problema de forma estandarizada, y la monitorización continua de la infraestructura que les ayudaría a detectar desviaciones de seguridad.

Propuesta de solución por Compucloud

El equipo de expertos de compucloud ofreció una consultoría para comenzar con las remediaciones pertinentes y las mejores practicas en la nube de AWS, para resolver los problemas presentados, con nuestra experiencia como Managed Service Provider, Well Architected Framework y como Service Delivery Program WAF, así como el soporte y conocimiento de Trend Micro, desarrollamos una propuesta de solución basada en las mejores practicas de seguridad y el Well Architected Framework así como, el conocimiento del modelo de madurez de AWS.

De acuerdo con el problema del cliente, la solución mas adecuada para implementar fueron los siguientes servicios, 4 instancias EC2, que tienen un entorno de red configurado correctamente, compuesto por un par de subredes publicas y privadas, con sus respectivas Gateway de Internet y Nat Gateway para permitir el trafico de Internet, los grupos de seguridad correspondientes para los servidores, así mismo dos de las instancias tienen su respectiva IP elástica, esto debido a que son servidores de terminales licenciados por TSPLUS con el fin de realizar un acceso mas filtrado y limitado a los recursos dentro del servidor.

Además de los recursos principales, inicialmente se implementó un servicio de seguridad de terceros a nivel de SO, solución que permite fortalecer la seguridad

de escritorio remoto ya que evita que se abran sesiones remotas externas, incluye una lista negra de direcciones IP sospechosas y proporciona una gestión:

centralizada de políticas, así como protección contra ransomware. Al mismo tiempo, se agregaron servicios de recopilación de registros a nivel de VPC y se

complementó con el servicio GuardDuty para que analice y encuentre posibles riesgos de seguridad, esta solución se complementó con un script lambda que

permite llevar a cabo el bloqueo de IPs atacantes en la NACL de la VPC, ademas de los recursos mencionados anteriormente, con la estrategia de modernización

que se implementé, se mejoré la postura de seguridad tras recomendar otras soluciones existentes en los Addons de Compucloud.

1. Análisis de vulnerabilidades de infraestructura

CEBSA, es una empresa que se encuentra en la industria eléctrica, el tipo de información que maneja es critico, por lo tanto, debido a todos los procesos y tipo

de carga de trabajo, se recomendó el uso de soluciones de seguridad para el análisis de vulnerabilidades dentro de sus instancias EC2, con el objetivo de aumentar su postura de seguridad y reducir las desviaciones y vulnerabilidades que puedan existir dentro de sus servidores.

2. Visibilidad del inventario de recursos de AWS

Uno de los beneficios que tienen los clientes al formar parte de Compucloud es que ponemos a disposición de nuestros clientes una aplicación web que pueden

consultar para obtener un seguimiento de sus cambios de inventario y eventos realizados dentro de su infraestructura de trabajo. La aplicación desarrollada por

Compucloud permite al cliente ver de forma centralizada todos los activos y movimientos a través de una interfaz GUI, Esto hace que la recopilación de información sea más fácil y rápida.

3. Monitorización de prácticas recomendadas de seguridad de AWS

Como parte de su política de soporte, Compucloud realiza auditorías de seguridad recurrentes de las mejores prácticas de seguridad recomendadas por AWS, estas son ejecutadas y presentadas al cliente con las recomendaciones y acciones a tomar.

4. Monitorización de prácticas recomendadas de seguridad de AWS

   CEBSA debido al tipo de carga de trabajo y los procesos gestionados dentro de sus organización, el cliente debe cumplir con las siguientes certificaciones:

   • ISO 27001 2013

   • CIS AWS Foundation Benchmark 1.2.0

     Esta es la razón por la que integramos servicios que tenemos con un de nuestros partners de seguridad y que nos brindan soporte de primera mano TrendMicro.

5. Monitorear y clasificar eventos de seguridad

CEBSA tiene una política de soporte de Compucloud que brinda soporte 24/7, así como un monitoreo constante de su seguridad. Una póliza de soporte que le brinda, automatizaciones e informes que se llevan a cabo constantemente para tener una amplia visibilidad de toda sus postura de seguridad.

• Soporte 24/7.

• Monitoreo continuo de eventos de seguridad a través de Zendesk.

• Diferentes medios de comunicación directa con los agentes de Compucloud.

• Automatizaciones de respuestas a incidentes.

• Entrega continua de informes de seguridad.

• Base de conocimientos de incidentes de seguridad.

  6. Mitigación de Denegación de Servicios (DDoS)

  Como parte de la mejora continua de la seguridad, el cliente tiene dentro de sus servicios de seguridad una solución, que ayuda a proteger sus servidores contra diferentes tipos de amenazas, entre las que ofrece protección contra DDOS.

  7. Sistema administrado de prevención de intrusiones y detección y respuesta administrada para AWS End Points

  Debido a la carga de trabajo, tipo de aplicación e información manejada por el cliente de Cebsa, fue necesario implementar una solución que permitiera la protección en todas las capas, por lo que se recomendó el uso de las soluciones que maneja Compucloud dentro de CLOUD FORTRESS, entre las que se encuentran: Seguridad y conformidad de la carga de trabajo. Estas Soluciones en conjunto con los servicios de AWS nos permiten aumentar la postura de seguridad de toda la infraestructura para cumplir con los más altos estándares de seguridad.

Servicios de AWS que impulsaron el desarrollo de un proyecto más robusto

Se recomendó la implementación de instancias de tipo de familia R5 de próxima generación optimizadas para memoria, ya que son adecuadas para aplicaciones de uso intensivo de memoria, aumentan el rendimiento y reducen la latencia.

Las instancias M5 son la última generación de instancias de uso general y proporcionan un rendimiento mejorado con respecto a M4. Esta familia proporciona un equilibrio de recursos informáticos, de memoria y de red, y es una buena opción para muchas cargas de trabajo de bases de datos.

Las instancias M5a son la ultima generación de instancias de uso general con procesadores AMD EPYC serie 7000. Se recomendó esta familia, ya que ofrece hasta un 10 % de ahorro de costes en comparación con otros tipos de instancias.

A su vez, al ingresar al programa de modernización, se realizaron mejoras a nivel de base de datos, dado que CEBSA requiere trabajo continuo, ya que forma parte

de la industria eléctrica, se recomend6 la implementación de un clúster Aurora MySQL Serverless. v2 (de 1 a 4 ACU) con versión 8.0.mysql aurora.3.02.1, esto debido a las diversas ventajas que tiene, como ser uno de los recursos más rentables durante periodos de baja actividad, o relacionado con el escalado más rápido y fácil que ayudara a dar una mejor respuesta a una contingencia.

También se utilizaron volúmenes respaldados por SSD ya que están optimizados para ejecutar cargas de trabajo transaccionales que implican operaciones frecuentes de lectura/escritura, debido a que la transaccionalidad no requiere el aprovisionamiento de IOPS adicionales, ya que las IOPS predeterminadas que tiene gp2 cumplen con el rendimiento deseado.

En referencia a la red, se implementé una VPC para toda la infraestructura, esta para tener control de acceso hacia y desde las subredes, en este sentido, se configuraron 4 subredes publicas para la capa de aplicación, 4 subredes RDS para la base de datos y 4 subredes privadas para el entorno privado.

Para el entorno de red, se habilité la compilación del flujo de red (VPC Flow Logs), lo que permite monitorear el trafico dentro del entorno de red y ayuda a resolver problemas de configuración, red y seguridad. Por otro lado, el servicio GuardDuty fue habilitado para detectar y monitorear continuamente las cargas de trabajo del

cliente y poder detectar actividad inusual y maliciosa, de la misma manera el servicio se complementó con el script desarrollado por Compucloud para proporcionar respuestas en un a los eventos de seguridad encontrados por el servicio mediante la detección de hallazgos de Amazon Guardduty y bloquea automáticamente al actor del hallazgo a nivel de Lista de control de acceso a la red (NACL)

Servicios de AWS que forman parte de la solución

• CloudTrail

• CloudWatch

• Elastic Compute Cloud

• Glue

• GuardDuty

• Key Management Service

• Lambda

• Relational Database Services

• Secret Manager

• Simple Email Service

• Simple Notification Service

• Simple Queue Service

• Simple Storage Service

• Workdocs

A través de los servicios de AWS que se implementan, es posible resolver los problemas del cliente, que fueron alta disponibilidad, baja latencia, seguridad, flexibilidad y escalabilidad, cabe mencionar que la seguridad de su infraestructura esta protegida aún más con el uso de servidores TSPLUS ya que permiten un mejor filtrado de acceso a los recursos de acuerdo al nivel de permiso que tenga el usuario dentro de la organización, sin embargo, esto solo resuelve la conectividad con el recurso principal, la integración de recopilación de logs para ser analizados por un servicio de monitoreo de seguridad como GuardDuty, permite tomar decisiones informadas sobre aquellos recursos que pueden volverse vulnerables.