ZS ofrece prácticas recomendadas de seguridad siempre activas mediante los servicios de seguridad de AWS

ZS Associates (ZS) buscaba generar mayor visibilidad y simplificar la administración de su postura de seguridad para una diversa base de clientes global, con necesidades de seguridad complejas y exigentes. Muchos de los clientes deben cumplir con los estándares de conformidad, los cuales varían según el país y la industria. ZS creaba arquitecturas de soluciones en la nube exclusivas para clientes individuales con Amazon Web Services (AWS), por lo que se encontraba en la búsqueda de una solución de seguridad replicable que pudiera escalar de forma sencilla y funcionar bien junto con los cientos de servicios de AWS que ya utilizaba. Con AWS, ZS creó un panorama de seguridad integral y escalable que automatiza los procedimientos de seguridad manuales que consumen mucho tiempo y facilita la implementación de la arquitectura de nube para los clientes.

Desde su creación en 1983, ZS utiliza software para resolver los problemas de los clientes. A lo largo de los años, la empresa creó ofertas innovadoras con capacidades de análisis e inteligencia artificial y machine learning, y las ha ofrecido como software como servicio. Por lo general, ZS crea soluciones para clientes con una plataforma propia y patentada, ZAIDYN, la cual se basa en AWS y se complementa con varios servicios administrados de AWS. La empresa cuenta con su propio centro de excelencia en la nube (CCoE), un departamento dedicado a la creación, el mantenimiento y el diseño más de 250 cuentas de AWS que forman parte de las soluciones de ZS para sus clientes. Varios servicios de AWS funcionan en conjunto para cada cliente en lo que ZS denomina una “cuenta de AWS periférica”, la cual ZS puede monitorizar con la centralización de los registros, las métricas y los eventos pertinentes.

Estos registros, métricas y eventos generan terabytes de información sin procesar, los cuales ZS almacena durante al menos un año en Amazon Simple Storage Service (Amazon S3), un servicio de almacenamiento de objetos que ofrece escalabilidad, disponibilidad de datos, seguridad y rendimiento líderes en la industria. El CCoE creó una manera de filtrar esta información, la cual consiste en enviar cientos de gigabytes a través de componentes intermedios a una plataforma de observabilidad centralizada. (Consulte el diagrama 1, Arquitectura de referencia de la plataforma de observabilidad de AWS). “Debe contar con un proceso de diligencia debida específico para su empresa, que cree diferentes niveles de datos para poder ver los registros que le brinden la mayor cantidad de información”, afirma Rujuswami Gandhi, director de Servicios en la nube de ZS. 

La seguridad es una parte importante de este flujo de información. ZS creó un panorama sólido de seguridad centrado en el marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST): identificación, protección, detección, respuesta y recuperación. ZS agregó la gobernanza, una iniciativa interna para ayudar a la empresa a prepararse para las auditorías de seguridad de terceros. “En los diferentes servicios de AWS que utilizamos con la arquitectura de tenencia única que seguimos para nuestros clientes, la seguridad es un elemento muy importante porque nuestros clientes tienen altas expectativas de seguridad de la información”, afirma Gandhi. “Nuestros clientes pueden confiar en que no solo utilizamos los servicios de AWS de forma madura, sino que también nos alineamos con los marcos estándar del sector”. Para obtener más información sobre el panorama de seguridad que creó ZS, consulte el diagrama 2, “Panorama de confianza en la nube de AWS de ZS: perspectiva de seguridad”.

Por ejemplo, como parte de su pilar de detección y respuesta, ZS utiliza ocho servicios de AWS que se complementan con numerosas soluciones de terceros. ZS logra una visibilidad centralizada casi en tiempo real con AWS Security Hub, un servicio de administración de la postura de seguridad en la nube que realiza comprobaciones de las prácticas recomendadas de seguridad, agrega alertas y es compatible con la corrección automatizada. Además, ZS simplificó la administración básica de la conformidad con capacidades de asignación para muchos de los marcos de seguridad que requieren sus clientes, como SOC 2, ISO/IEC 27001 e HITRUST. AWS Security Hub facilitó la expansión global de ZS debido a que los estándares de seguridad difieren a nivel mundial, como, por ejemplo, el Reglamento General de Protección de Datos de la UE y el marco de gobernanza de China, conocido como esquema de protección multicapa. “Con AWS Security Hub, solo tenemos que elegir entre los conjuntos de reglas empaquetados previamente y se implementa de manera automática para ofrecer información sobre el cumplimiento y las tendencias a medida que avanza el trabajo de corrección”, afirma Gandhi. “La administración de AWS Security Hub requiere poco esfuerzo”.

Amazon Inspector, un servicio de administración automatizada de vulnerabilidades que revisa continuamente las cargas de trabajo de AWS en busca de vulnerabilidades de software y exposición involuntaria a la red, es otro servicio que ZS utiliza para detectar y responder a las amenazas. Para impedir las amenazas inmediatas, ZS utiliza Amazon GuardDuty, un servicio de detección de amenazas que monitoriza de manera continua las cargas de trabajo y las cuentas de AWS para detectar actividades maliciosas y envía resultados detallados de seguridad para su visibilidad y corrección. “Amazon GuardDuty nos brindó información valiosa sobre lo que podrían haber sido incidentes de seguridad si nuestro equipo de respuesta a incidentes no se hubiera enterado rápidamente”, asegura Gandhi. Por último, para garantizar la conformidad, ZS utiliza AWS CloudTrail, el cual monitoriza y registra la actividad de las cuentas en toda la infraestructura de AWS. Esta mayor visibilidad simplifica los procedimientos de auditoría.

Como parte de su panorama, el cual se alinea con el pilar de protección del marco del NIST, ZS utiliza AWS Identity and Access Management (AWS IAM), el cual ofrece un control de acceso detallado en todo AWS. “Esto es algo que habría sido muy complejo de abordar sin usar AWS”, afirma Beeling Chang, arquitecto de nube de ZS.

Toda la carga de trabajo del CCoE se basa en conceptos de AWS Landing Zone, una solución que ayuda a los clientes a configurar con mayor rapidez un entorno de AWS seguro y con múltiples cuentas según las prácticas recomendadas de AWS. AWS Landing Zone ayuda a ahorrar tiempo gracias a la automatización de la configuración para ejecutar cargas de trabajo seguras y escalables. ZS estima que el modo de conformidad automatizado y permanente de las soluciones de AWS ahorra alrededor de 1000 horas de trabajo al mes, tiempo que se le habría dedicado a comprobar manualmente el cumplimiento de las prácticas recomendadas de seguridad. Además, ZS incorpora nuevos clientes tres veces más rápido gracias a la seguridad apilable y otros servicios de AWS.

El equipo de CCoE de ZS se enfoca en la seguridad, ya que su objetivo es mejorar el marco AWS Well-Architected Framework, el cual ayuda a los arquitectos de la nube a crear una infraestructura segura, de alto rendimiento, resiliente y eficiente para una variedad de aplicaciones y cargas de trabajo.

Además, desde que cambió su enfoque hacia las soluciones de AWS, ZS mejoró la agilidad para aprovechar las capacidades innovadoras de análisis y machine learning, al tiempo que atrae talento de calidad y empodera a sus empleados. Los empleados utilizan estas tecnologías de vanguardia para trabajar en colaboración con los clientes para resolver problemas complejos. “AWS nos ayuda a tener una visibilidad centralizada”, afirma Gandhi. “Siempre está activo y siempre en vivo. Cambia toda nuestra forma de pensar”.