Junio en AWS, el mes de los eventos y la seguridad.

Volvemos de nuevo a repasar y a resumir las novedades más interesantes en AWS. Si tenemos que destacar algo de junio, sin dudarlo, son todos los eventos que se han celebrado. Este mes ha estado plagado de grandes eventos en AWS, como los Summits de EMEA, incluido el de Madrid, y el AWS re:inforce de 2023.

Estaba claro que, con un evento global de AWS basado en la seguridad, la mayoría de novedades de este mes han estado focalizadas en los servicios de seguridad, pero también tenemos alguna novedad interesante fuera de este ámbito. ¡Empezamos!

Top de novedades

1 Amazon Verified Permissions

Esta novedad es quizás la más interesante que se ha lanzado durante el re:Inforce y que fue anunciada en modo preview durante el re:Invent de 2022.

La gestión de permisos dentro de una aplicación es un reto bastante complejo. Durante los últimos años hemos ido siendo más conscientes de los problemas que supone una mala gestión de permisos.

Dentro de esta gestión de permisos, hemos pasado de un modelo de autenticación propio a implantar herramientas de autenticación externas, lo cual tiene muchas ventajas, pero también complica mucho el modelo de autorización.

¿Qué diferencia hay entre autenticación y autorización? La autenticación es validar la identidad del usuario, para que un tercero no pueda asumir una identidad que no es suya. Esto ha sido un caballo de batalla, intentando generar modelos en los que se requiera un doble factor de autenticación (MFA) o incluso analizando los orígenes de autenticación para detectar posibles intentos de intrusión.

Una vez que dentro de la aplicación sabemos que el usuario es quien dice ser, queda el siguiente punto que es la autorización, es decir, que permisos tiene ese usuario autenticado.

Mientras que la autenticación es bastante habitual delegarla en sistema externo, lo que llamamos IdP (Identity Provider), la autorización se suele trabajar de forma customizada dentro de la aplicación.

Amazon Verified Permissions viene a ayudarnos en este modelo permitiendo una delegación de la autorización en un servicio de AWS para cualquier aplicación que desarrollemos.

Este nuevo servicio permite ejercer de pasarela entre cualquier IdP y nuestra aplicación, gestionando la autorización. De esta forma podemos conectar con nuestro IdP y generar políticas para diferentes usuarios o roles dentro de nuestra aplicación de forma sencilla.

Amazon Verified Permissions utiliza políticas basadas en el lenguaje Cedar, que es un lenguaje de políticas autoritativas Open Source; y utiliza todo el conocimiento que tiene AWS sobre la autorización, empleado día a día en cientos de aplicaciones con IAM, para facilitarnos la vida y ayudarnos a implementar aplicaciones seguras.

Tenéis más información en la noticia de lanzamiento, en el blog de AWS, en la documentación del servicio, en el video de lanzamiento y en la sesión dedicada del re:inforce.

2 Amazon CodeGuru Security

Otra novedad muy interesante de este re:Inforce que se lanza en modo preview pública. CodeGuru es una línea de servicios de AWS basada en Machine Learning que nos puede ayudar mucho a la hora de desarrollar aplicaciones. Este nuevo servicio, llamado CodeGuru Security, nos permite analizar nuestro código para buscar posibles vulnerabilidades de forma totalmente automática y basada en una ingente cantidad de datos que AWS posee sobre sus propias aplicaciones.

De este modo, podemos aprovecharnos del conocimiento en seguridad de los equipos de AWS y buscar vulnerabilidades en nuestro código.

Uno de los aspectos más importantes de este tipo de herramientas es la cantidad de datos a analizar y la calidad de estos. Por eso un servicio orientado únicamente a la seguridad permite que nuestra seguridad se vea incrementada por el uso de esta herramienta.

A día de hoy CodeGuru Security se integra con multitud de IDEs, así como con repositorios de código y soporta como lenguajes Python, Java, y JavaScript. Todavía es una versión preview por lo que en la versión definitiva soportará más lenguajes e integraciones.

Dentro del lanzamiento existe una versión gratuita para 90 días o 100.000 líneas de código analizadas, por lo que es un buen momento para probar esta solución.

Tenéis más información en la noticia de lanzamiento, en la documentación del servicio, y en la sesión dedicada del re:inforce.

3 AWS Glue Data Quality

AWS Glue Data Quality nos permite medir de forma automática y sencilla la calidad de los datos en nuestro Data Lake y en nuestros pipelines.

Esta nueva funcionalidad utiliza Deequ, una librería OpenSource desarrollada por ingenieros de AWS para medir la calidad de los datos. Es muy sencillo de utilizar y nos aporta información muy útil.

El coste del servicio depende de la cantidad de datos a procesar, ya que no tiene coste adicional, pero depende de la ejecución de un job de Glue que sí tiene coste.

Tenéis más información en la noticia de lanzamiento, en el blog de AWS, en la documentación del servicio. en el video de lanzamiento y en el videotutorial de AWS.

4 AWS AppFabric

A día de hoy, es muy habitual utilizar muchas herramientas SaaS para diferentes aplicaciones, esto es muy útil para mejorar nuestra productividad, pero un dolor de cabeza desde el punto de vista de seguridad, ya que tenemos múltiples puntos de gestión de esta y una visibilidad de auditoría segregada en múltiples aplicaciones.

AWS AppFabric viene a intentar ayudarnos en esa tarea, integrando la postura de seguridad de múltiples aplicaciones SaaS en un solo punto.

De esta forma con AWS AppFabric se pueden unificar los logs de auditoría en un solo punto para consultarlos de forma centralizada y así poder generar sugerencias de seguridad sobre las diferentes aplicaciones SaaS.

Esto es posible gracias al proyecto OCF (Open Cybersecurity Schema Framework). En él se está estableciendo un marco común entre diferentes compañías para generar un estándar de logging y telemetría para poder integrarse entre ellas.

Además, AWS ha anunciado que AWS AppFabric tendrá funcionalidades generative AI utilizando Amazon Bedrock, esto permitirá ejecutar automáticamente ciertas tareas sobre todos las aplicaciones SaaS integradas.

Tenéis más información en la noticia de lanzamiento, en el blog de AWS, en la documentación del servicio y en el video de lanzamiento.

5 Amazon Corretto

Amazon lanzó su propia versión de OpenJDK en 2018 como parte del soporte a entornos productivos JDK de forma empresarial que se había perdido con el licenciamiento de JDK hace unos años.

Durante estos años es la versión que ha predominado en Amazon Linux y que está funcionando muy bien con un buen soporte por parte de Amazon, pero hasta ahora solo era posible utilizar la versión estable de este OpenJDK.

Ahora es posible descargarse las nightly builds de Amazon Corretto de cara a probar y evaluar nuevas funcionalidades de este OpenJDK. Esto permite una mayor posibilidad de dar feedback sobre nuevas versiones antes de que estas se lancen y además poder generar desarrollos que permitan la utilización de las versiones estable de forma más rápida.

Tenéis más información en la noticia de lanzamiento, en el web de descargas de Corretto y en la web del servicio.

Eventos

Este mes ha estado cargado de eventos. Algunos los hemos podido disfrutar de forma presencial y otros de forma remota, pero, en cualquier cosa, los hemos aprovechado al máximo.

AWS re:Inforce

Para quien no lo sepa, re:Inforce es el evento de seguridad anual de AWS que empezó a celebrarse en 2019. A diferencia del re:Invent, este evento no tiene residencia fija y este año se ha realizado en Anaheim, California (si sois aficionados a Disney, este año la convención se ha celebrado a escasos metros de Disneyland).

Durante 2 días (13 y 14 de junio) se han producido multitud de charlas sobre seguridad, protección de datos, governance, riesgos, compliance, gestión de identidades, seguridad en networking, respuesta ante incidentes y un monton mas de temas relacionados con la seguridad.

Si queréis ver los videos de las sesiones os dejamos el link con todo el contenido. Os recomiendo explorar las sesiones porque las mejores sesiones de seguridad siempre se producen en este evento.

AWS Summit Madrid

Y este mes teníamos el evento de AWS para España, donde acudimos más de 8000 profesionales vinculados con el mundo AWS para charlar y asistir a las diferentes charlas.

Este año decidí no acudir a ninguna charla para estar en el stand de Paradigma con mis compañeros/as y saludar a todas las personas que os pasasteis. Fue uno de los más concurridos del evento, así que muchas gracias a todos los asistentes que os pasasteis por nuestro stand.

También participamos en el Gameday y aunque no ganamos 🙁 (al final de la competición descubrimos que había videos que nos ayudaban en el despliegue …), nos lo pasamos genial y disfrutamos mucho de la competición.

AWS todavía no ha liberado los videos de las sesiones, pero los últimos años hemos tenido el contenido disponible unos meses después, por lo que en el momento que tengamos las sesiones disponibles las analizaremos y os recomendaremos las más interesantes.

AWS Community Day

Aunque es un evento que se realizará el 23 de septiembre en Barcelona, este mes hemos conocido que vamos a tener el primer AWS Community Day en España y que las inscripciones están abiertas, así como la posibilidad de proponer charlas.

Más novedades

Como todos los meses, en nuestro top de novedades elegimos 5 que nos llaman la atención, pero hay muchas más. Resumimos el resto de novedades importantes que se han presentado en este mes:

AWS Control Tower

Entre las actualizaciones en el servicio gestionado de Landing Zone, por un lado, se ha ganado flexibilidad en la customización de cuentas, añadiendo la integración con IAM Identity Center de forma opcional; es decir, se puede elegir si utilizar IAM Identity Center u otro método de acceso en la creación de las nuevas cuentas.

Otra novedad también relativa a la customización de las cuentas, es que se soporta Terraform para customizar cuentas generadas o existentes en Control Tower utilizando Service Catalog, lo que da mucha flexibilidad a toda la gente que quiera utilizar Terraform con Control Tower para la customización de cuentas.

Y la última novedad y quizás la más importante es la integración de Control Tower con Security Hub, de esta forma podemos activar múltiples controles de Security Hub directamente desde Control Tower, lo cual permitirá utilizar Control Tower como único punto de control.

CloudTrail Lake

Ahora es posible activar la ingesta de CloudTrail en CloudTrail Lake para periodos de tiempo puntuales. Esto permite activar la ingesta de forma temporal en caso de un evento de seguridad para su análisis posterior. Anteriormente ,había que generar el Data Store cada vez que se activaba la ingesta y borrarlo posteriormente.

También se ha disponibilizado unos nuevos Dashboards que permiten ver la información relevante de nuestros CloudTrail de forma sencilla y rápida.

ECR (Elastic Container Registry)

Novedad muy interesante que nos permitirá firmar las imágenes de forma que solamente las imágenes firmadas y, por tanto, aprobadas se puedan desplegar dentro de EKS (Elastic Kubernetes Service). Las imágenes son uno de los puntos más vulnerables de un sistema de contenedores, ya que muchas imágenes públicas tienen bastantes vulnerabilidades conocidas.

AWS Config

Desde hace bastante tiempo era posible excluir ciertas cuentas de AWS Config, lo cual es interesante de cara a excluir cuentas que sufren de muchas modificaciones y no son interesantes de auditar, como por ejemplo las cuentas Sandbox, pero ahora es posible también excluir ciertos tipos de recursos que sufre más modificaciones, que pueden impactar bastante en la facturación de config y que no queramos auditar.

AWS Payment Cryptography

Nuevo servicio de AWS criptográfico para proteger operaciones que utilizan medios de pagos como tarjetas de crédito o identificadores bancarios y que cumple los estándares de seguridad PCI y ANSI. Es un servicio que ayudará mucho en este tipo de operaciones que requieren una seguridad mayor.

Amazon GuardDuty

Ver los hallazgos de Guard Duty a veces es complicado, pero ahora es mucho más sencillo, ya que es posible ver un sumario de los hallazgos.

Amazon S3

La encriptación en S3 es algo primordial y una maravilla, pero hay ocasiones en que necesitamos más encriptación por motivos de compliance y por esto AWS lanza esta nueva funcionalidad para permitir doble encriptación sobre ciertas cargas.

AWS Security Hub

La automatización en seguridad es algo que nos encanta y que nos facilita mucho la vida, por eso esta novedad nos encanta, porque es posible generar automatizaciones sobre los eventos de AWS Security Hub de forma sencilla y rápida en la consola de AWS. Esto ayudará muchísimo a la hora de minimizar los riesgos por malas configuraciones que AWS Security Hub detecte.

Amazon EC2

Mes con muchísimas novedades en EC2, siendo el servicio que más novedades ha presentado. Hasta ahora solo era posible conectarse a una EC2 sin necesidad de ssh y sin ip pública utilizando Session Manager, pero ahora también es posible hacerlo utilizando EC2 Instance Connect, ya que es posible utilizar VPC endpoints para conectarnos a este servicio. Así que ya tenemos pocas excusas para utilizar SSH directamente y no un servicio securizado de AWS.

Y por fin llega a la séptima generación de instancias de EC2 los procesadores AMD con la familia de instancias m7a, que curiosamente se adelantan a los procesadores intel en esta generación. Todavía es un lanzamiento en preview pero próximamente estarán disponibles de forma generalizada.

Además de esta familia también llegan las familias hpc7g y c7gn para completar el portafolio de la séptima generación de EC2.

Como última novedad está la posibilidad de arrancar con Secure Boot utilizando Amazon Linux 2023.

Amazon Aurora MySQL zero-ETL

Esta nueva funcionalidad permitirá analizar y utilizar Machine Learning en Amazon Aurora MySQL casi en tiempo real utilizando Amazon Redshift.

Esto permitirá analizar datos casi en tiempo real y además está disponible para las versiones serverless de Amazon Aurora y Redshift por lo que podemos utilizarlo con las ventajas de ser servicios Serverless.

Amazon AppStream 2.0

Se ha lanzado un nuevo gestor para las aplicaciones generadas en Amazon AppStream 2.0, lo que facilita su gestión, instalación e incluso la utilización de múltiples entornos de forma paralela.

La seguridad, en el centro

Vaya mes más completo, ¡especialmente de eventos! Amazon Verified Permissions, CodeGuru Security o AWS Glue Data Quality son algunas de las novedades principales que nos ha presentado AWS (muchas girando en torno a la seguridad). Como veis, tenemos muchas opciones para investigar y empezar a trabajar con ellas. ¿Tienes alguna preferencia? ¿Qué opinas de estas nuevas funcionalidades?