Nuestras soluciones de ciberseguridad en la operación cloud de SAP

Tal como les contamos en esta nota, Novis acaba de sacar la certificación SAP® en AWS. Para lograrla, hicimos una mejora muy profunda de nuestros estándares de seguridad en cloud público que implicó, entre otras cosas, las siguientes medidas: la adopción de un marco de ciberseguridad, el desarrollo de políticas y procedimientos, la acreditación de competencias y las tecnologías necesarias. Nuestra operación actual se adhiere a los siguientes principios de ciberseguridad:

1. Gestión de la identidad y accesos

En la gestión de la identidad, de acuerdo con las mejores prácticas en esta materia, nuestro modelo cuenta con un repositorio único de gestión de identidades, con mecanismos de autenticación multifactor que validan la identidad de nuestro personal utilizando los mecanismos biométricos de sus dispositivos móviles registrados en el dominio.

En la gestión de permisos, nos regimos por el principio de least privilege access.  Sobre la base de este, nuestros usuarios avanzados tienen roles de acceso a sus cuentas en el cloud ajustados a los permisos específicos requeridos para su rol. Estos usuarios se conectan a las consolas de administración de los cloud públicos mediante un portal de single sign on que les otorga acceso a las cuentas a través de un token con una sesión que expira en un periodo de cuatro horas, reduciendo los riesgos ante un eventual robo de credenciales. El resto del personal de Novis no tiene acceso directo a los recursos en el cloud e interactúa con estos a través de un portal de servicios al cual ingresan con sus usuarios de dominio. Este portal les da acceso a las tareas específicas que requieren para cumplir sus funciones, como reiniciar un servidor o tomar un respaldo on demand.

2. Protección de las redes

En la seguridad perimetral de redes buscamos minimizar la superficie de exposición a riesgos y ataques informáticos, aprovechando la amplia oferta de funcionalidades de ciberseguridad en el cloud público. Uno de los principales ámbitos a proteger son las aplicaciones expuestas a internet, como por ejemplo, las apps de SAP Fiori o los sitios de SAP Portal. En estos casos los servidores web se despliegan en redes privadas y se publican a internet a través de balanceadores de carga protegidos por Web Application Firewall (WAF) y sistemas de prevención de ataques de denegación de servicios distribuidos (DDoS). Otra característica de nuestras configuraciones de red en el cloud es que todos los flujos son logueados, y los logs generados son analizados continuamente utilizando herramientas basadas IA, las que buscan identificar patrones de acceso inusuales que puedan alertar tempranamente de un intento de ataque.

3. Protección de los datos

Este tema nos enfocamos en tres subdominios:

• Clasificación de los datos
  Categorizamos los activos de información que administramos y establecimos políticas específicas para cada tipo. Hemos definido reglas que regulan el acceso a: bases de datos, respaldos, programas informáticos y su configuración, datos de contacto de los clientes, contratos, etc.
• Por ejemplo, las políticas de manejo de respaldos consideran lo siguiente:
  • Las cuentas donde se almacenan los respaldos son distintas de las cuentas de los sistemas de origen.
  • Los respaldos se almacenan encriptados.
  • El ciclo de vida de los respaldos se administra programáticamente sin intervención humana.
  • El personal operativo de Novis no tiene acceso a los repositorios de respaldos.
  • Los respaldos solo se pueden recuperar desde servidores en la misma cuenta y región de los sistemas protegidos.

• Encriptación en el flujo de los datos (encryption data flow)
  Nuestras políticas no permiten flujos de datos fuera del ambiente cloud sin encriptación, de modo que si son interceptados por alguien no autorizado, no se revele información. Contamos con mecanismos de continuous compliance que notifican a nuestro equipo de seguridad cuándo se publica a internet un servicio por un puerto no autorizado como, por ejemplo, los puertos 22 (SSH), 80 (Http) y 3389(Rdp). Y, por último, también se encripta el tráfico que comunica redes seguras (redes aisladas o redes de cliente) utilizando VPN.
• Encriptación de los datos en reposo (encryption at rest)
  Mantenemos encriptados discos de servidores y los volúmenes de respaldo. Cuando se habilita la encriptación, se requiere de dos tipos permisos para leer los datos: el de acceso o de administración y el permiso asociado a las llaves de encriptación. Esta segregación de roles permite establecer políticas más finas de protección de datos, las que pueden impedir, por ejemplo, que personal no autorizado pueda sacar la información fuera de la cuenta en la que fue creada a otra región del cloud.

4. Detective controls

Nuestra política de este tema establece mecanismos para proteger y analizar los logs datos, a fin de detectar eventos de seguridad, tanto en forma activa con herramientas de inteligencia artificial (IA), como en auditorías posteriores.

• Uso de logs: Dado que todos los datos de AWS se consumen a través de API, guardamos registro de todas las llamadas a esas API, con sus parámetros asociados (quién la llamó, a qué hora fue, qué operaciones ejecutó, etc.) Así garantizamos la seguridad desde el origen, pues desde que se crea una cuenta se activan los logs de seguridad, a los cuales solo los niveles de más alta responsabilidad tienen acceso.
  De igual manera, guardamos registro de todos los cambios de configuración y las relaciones entre los elementos de infraestructura en el cloud. Todos estos logs se protegen de tal manera que nadie, ni siquiera el superadministrador, puede borrarlos o modificarlos. Además, se están analizando de manera proactiva y automatizada con servicios basados en IA. Este nivel de seguridad es muy difícil de asegurar en el mundo on premise.  
• Monitores de compliance
  Contamos con una serie de monitores para verificar de manera automática y continua el cumplimiento de las normas de seguridad (continuous compliance monitoring). En la consola de compliance que hemos implementado podemos indicar las distintas normas o estándares internacionales que deseamos cumplir y recibimos un diagnóstico de qué se está logrando, qué falta y cuáles son las recomendaciones a fin de corregir. Por otra parte, permite a las entidades que periódicamente nos certifican revisar no solo “fotos” del estado al momento de hacer la auditoría, sino verificar el cumplimiento en el tiempo de las distintas normas, a través de la evidencia de cumplimiento, la que se genera en forma continua.

En Novis tenemos el conocimiento especializado que se requiere para proteger con los más altos estándares sus soluciones SAP de los crecientes riesgos de ciberseguridad a los que están expuestos. Le invitamos a contactarnos para conversar al respecto.

Feedback/discusión con el autor Patricio Renner, Gerente de Tecnología, en patricio.renner@noviscorp.com