Cómo conseguir que los entornos de AWS cumplan la normativa en todo momento

En un contexto en que las empresas siguen migrando a la nube, la seguridad de los datos y el cumplimiento normativo son cruciales. Afortunadamente, la plataforma de computación en la nube Amazon Web Services (AWS®) cuenta con certificaciones ISO y SOC 2, además de cumplir la norma de seguridad de datos para el sector de las tarjetas de pago (PCI DSS, por sus siglas en inglés). Pero esto no significa que la forma de almacenar los datos en AWS se ciña necesariamente a la normativa aplicable. Al igual que la seguridad, el cumplimiento normativo se rige por un modelo de responsabilidad compartida. A AWS le corresponde cumplir las normativas aplicables a la capa del host y a la infraestructura física, mientras que sus clientes deben respetar aquellas relativas al almacenamiento de datos en la nube y al uso de los servicios y las aplicaciones.

Según el modelo tradicional, la gestión del cumplimiento normativo en la infraestructura de TI es responsabilidad de un departamento de la organización dedicado en exclusiva a esta tarea. Este equipo hace inventario de todos los recursos de TI, evalúa aquellos cuyos datos están sujetos a normativas y, para demostrar que todo está en orden, coteja los controles existentes con los requisitos normativos correspondientes.

En AWS, sin embargo, la gestión manual del cumplimiento normativo deja bastante que desear. Ahora que los desarrolladores pueden implementar nuevos recursos y modificar la infraestructura con rapidez, muchas veces los equipos de seguridad y cumplimiento normativo ni siquiera llegan a percatarse de los cambios. Y también hay otro problema: aunque una organización sea capaz de demostrar que cumple la normativa en un momento dado, ¿quién dice que seguirá haciéndolo dos semanas después o incluso al día siguiente? En la nube, todo puede cambiar de un momento a otro.

Para que los entornos de AWS cumplan la normativa en todo momento, hace falta un nuevo enfoque. Al igual que nos acostumbramos a los términos «entrega continua» e «innovación continua» a fuerza de oírselos a los equipos de DevOps, ahora tendremos que habituarnos a otros dos: «seguridad continua» y «cumplimiento normativo continuo».

Lo bueno es que, a diferencia de los centros de datos tradicionales, la infraestructura de AWS permite gestionar la seguridad y el cumplimiento normativo programática y automáticamente. Lo hace a través de las API, interfaces de programación de aplicaciones que los proveedores de servicios en la nube ponen a nuestra disposición para que por fin podamos automatizar la seguridad. Con AWS Config, cualquier organización puede utilizar las API de AWS para acceder a los metadatos sobre su infraestructura, supervisar los cambios y determinar si alguno de ellos incumple la normativa.

Uso de AWS Config para garantizar un cumplimiento normativo continuo

AWS Config permite supervisar un entorno de forma ininterrumpida para detectar cambios en su configuración, comprobar si cumple determinadas reglas y ver o gestionar la relación entre diferentes recursos, todo ello desde un solo panel (véase la figura 1).

Figura 1: Panel de gestión de AWS

Hay dos maneras de utilizar AWS Config para garantizar un cumplimiento normativo continuo:

Opción 1: corregir los problemas manualmente con Simple Notification Service. Cuando SNS detecta que algún cambio en el entorno contraviene las normas de la organización, emite una alerta para que la infracción pueda corregirse a mano de inmediato.

Opción 2: automatizar la corrección de problemas con AWS Lambda. En este caso, si un cambio en el entorno provoca una infracción, se ejecutará una función Lambda que la corregirá de forma automática. Por ejemplo, si hay una regla de configuración según la cual los logs de flujo de VPC deban estar siempre activados y alguien los desactiva, Lambda los activará de nuevo por medio de la API.

Figura 2: Funcionamiento de AWS Config

AWS Config facilita reglas personalizables y predefinidas que pueden administrarse a través de API. Los administradores también pueden redactar reglas de configuración aplicables a determinados equipos o a la organización en su conjunto, para así ir creando un sistema de elaboración de informes de cumplimiento normativo más completo. Haga clic aquí para acceder a un repositorio de reglas personalizadas de AWS Config, con aportaciones de multitud de usuarios.

Cumplimiento normativo con AWS Services

Como señalábamos antes, AWS se rige por un modelo de responsabilidad compartida. AWS vela por la seguridad y el cumplimiento normativo en la infraestructura en la nube donde se ejecutan las cargas de trabajo, y a los clientes les corresponde asegurarse de que las propias cargas de trabajo cumplen la normativa, tarea que facilitan diferentes herramientas de AWS. Por ejemplo:

• El requisito n.° 8 de la norma PCI DSS exige a los propietarios de las aplicaciones «identificar y autenticar el acceso a los componentes del sistema». Para satisfacerlo, suele utilizarse Amazon Cognito, un servicio pensado para configurar la autenticación y autorización de usuarios o de otros servicios de AWS. 

• El requisito n.° 11 de la norma PCI DSS analiza aspectos relacionados con el seguimiento y la supervisión del acceso a los recursos de red y los datos de los titulares de las tarjetas. Estas tareas pueden realizarse con herramientas de supervisión como CloudWatch y CloudTrail. 

Obtenga información más detallada

Cuanto mayor sea el tamaño de su entorno en la nube, más normas deberá cumplir su organización. Es posible que, llegado un punto, necesite informes más detallados para demostrar que está haciendo un uso adecuado de AWS. Tal vez quiera averiguar si su entorno de AWS cumple normativas concretas, o puede que le interese crear vistas con información de cumplimiento normativo relativa a diferentes equipos y cuentas de AWS.

Todas estas tareas le resultarán más fáciles si utiliza herramientas de control del cumplimiento normativo de terceros basadas en API. Con ellas, podrá supervisar constantemente su entorno en la nube, ver los cambios de configuración en tiempo real y cotejar las configuraciones más recientes con plantillas prediseñadas correspondientes a diferentes normativas, como las normas ISO, los requisitos para obtener la certificación SOC 2, la Ley de Transferibilidad y Responsabilidad del Seguro Sanitario (HIPAA, por sus siglas en inglés), la norma de seguridad de datos para el sector de las tarjetas de pago (PCI DSS), las normas publicadas por el Instituto Nacional de Estándares y Tecnología estadounidense (NIST, por sus siglas en inglés) y el RGPD. Si elige la herramienta adecuada, podrá crear fácilmente informes que demuestren que cumple la normativa y despejar con un clic las dudas de auditores, clientes o quienquiera que trate con su organización. En esta publicación del blog (disponible en inglés) le damos algunos consejos para no equivocarse.

Si desea más información sobre estos temas, descargue el libro electrónico Continuous Monitoring and Compliance in the Cloud (disponible en inglés).