Si usa AWS, es fácil asumir que la seguridad de su nube está bajo control, pero es una idea errónea y peligrosa. AWS protege su propia infraestructura, pero la seguridad dentro de un entorno de nube sigue siendo responsabilidad del cliente.
Piense en la seguridad de AWS como si estuviera protegiendo un edificio: AWS proporciona paredes fuertes y un techo sólido, pero es responsabilidad del cliente manejar las cerraduras, instalar los sistemas de alarma y asegurarse de que los objetos de valor no queden expuestos.
Comprensión del modelo de responsabilidad compartida de AWS
AWS opera con un modelo de responsabilidad compartida . En pocas palabras:
- AWS es responsable de proteger la infraestructura subyacente (por ejemplo, hardware, redes, centros de datos): las «paredes y el techo».
- El cliente es responsable de proteger sus datos, aplicaciones y configuraciones dentro de AWS: los «bloqueos y alarmas».
Comprender esta distinción es esencial para mantener un entorno de AWS seguro.
Cinco vulnerabilidades reales de AWS que debes abordar
Veamos algunas vulnerabilidades del mundo real que caen bajo la responsabilidad del cliente y qué se puede hacer para mitigarlas.
Falsificación de solicitud del lado del servidor (SSRF)
Las aplicaciones alojadas en AWS siguen siendo vulnerables a ataques como SSRF, donde los atacantes engañan a un servidor para que realice solicitudes en su nombre. Estos ataques pueden provocar acceso no autorizado a los datos y una mayor explotación.
Para defenderse de la SSRF:
- Escanee y repare periódicamente las vulnerabilidades en las aplicaciones.
- Habilite AWS IMDSv2 , que proporciona una capa de seguridad adicional contra ataques SSRF. AWS proporciona esta protección, pero la configuración es responsabilidad del cliente.
Debilidades del control de acceso
AWS Identify and Access Management (IAM) permite a los clientes gestionar quién puede acceder a qué recursos, pero su eficacia depende de su implementación. Los clientes son responsables de garantizar que los usuarios y los sistemas solo tengan acceso a los recursos que realmente necesitan.
Los errores más comunes incluyen:
- Roles y acceso excesivamente permisivos
- Controles de seguridad faltantes
- Buckets S3 públicos accidentales
Exposiciones de datos
Los clientes de AWS son responsables de la seguridad de los datos que almacenan en la nube y de cómo sus aplicaciones acceden a esos datos.
Por ejemplo, si su aplicación se conecta a un Servicio de Base de Datos Relacional (RDS) de AWS, el cliente debe asegurarse de que la aplicación no exponga datos confidenciales a atacantes. Una vulnerabilidad simple, como una Referencia Directa a Objetos Insegura (IDOR), bastaría para que un atacante con una cuenta de usuario accediera a los datos de todos los demás usuarios.
Gestión de parches
Casi no hace falta decirlo, pero AWS no aplica parches a los servidores. Los clientes que implementan instancias EC2 son totalmente responsables de mantener el sistema operativo (SO) y el software actualizados.
Tomemos como ejemplo Redis implementado en Ubuntu 24.04: el cliente es responsable de corregir las vulnerabilidades tanto del software (Redis) como del sistema operativo (Ubuntu). AWS solo gestiona las vulnerabilidades subyacentes del hardware, como los problemas de firmware.
Los servicios de AWS como Lambda reducen algunas responsabilidades de aplicación de parches, pero usted sigue siendo responsable de utilizar tiempos de ejecución compatibles y mantener las cosas actualizadas.
Cortafuegos y superficie de ataque
AWS brinda a los clientes control sobre su superficie de ataque, pero no es responsable de lo que eligen exponer.
Por ejemplo, si se implementa un servidor GitLab en AWS, el cliente es responsable de protegerlo con una VPN, usar un firewall o ubicarlo en una nube virtual privada (VPC), garantizando al mismo tiempo que su equipo tenga acceso seguro. De lo contrario, una vulnerabilidad de día cero podría comprometer sus datos, y AWS no será responsable.
La conclusión clave
Estos ejemplos dejan algo claro: la seguridad en la nube no viene preinstalada. Si bien AWS protege la infraestructura subyacente, todo lo que se construye sobre ella es responsabilidad del cliente. Pasar por alto este hecho puede exponer a una organización a graves riesgos, pero con las herramientas adecuadas, mantener la seguridad es totalmente posible.
Fuente y redacción: thehackernews.com
