Amazon se suma al programa STAR de la Cloud Security Alliance

Amazon Web Services (AWS) ha lanzado un documento técnico actualizado en el que destaca que sus prácticas de seguridad han entrado en la lista del programa STAR. El documento, de 42 páginas, repasa las distintas certificaciones y normativas que AWS tiene para su nube y responde a más de 190 preguntas de la CSA como parte del cuestionario del programa STAR. En el texto, AWS afirma que su servicio ha recibido las auditorías SAS70 (Statement on Auditing Standards) Type II, así como la certificación ISO 27001. AWS tiene, además, un informe SOC1 (Service Organization Controls) bajo SSAE16 (Statement on Standards for Attestation Engagements), certificación financiera de la Auditing Standards Board of the American Institute of Certified Public Accountants (AICPA). AWS es, asimismo, autoridad como proveedor de servicios Payment Card Industry Level 1 y figura con nivel “moderado” en los controles FISMA (Federal Information Security Management Act).

El cuestionario proporciona también más datos de la arquitectura de seguridad de la cloud de AWS. Por ejemplo, AWS afirma que proporciona informes SOC de tipo II a los clientes para que los visualicen bajo un acuerdo de no revelación. Para prevenir la fuga de datos, el proveedor de IaaS utiliza software de virtualización que aísla los datos de los clientes en entornos multipropietario y evita que los clientes accedan a información que no les está asignada. Cuando un cliente no necesita más una instancia de máquina virtual, el proceso de desmantelamiento se hace según las guías del NIST (National Institutes of Standards in Technology) estadounidense para el borrado de los datos del cliente. Si esto no se puede llevar a cabo, el dispositivo puede ser desmagnetizado o destruido físicamente, explica AWS en el cuestionario.

La compañía afirma que son los clientes quienes dictan dónde se almacenan los datos en la nube que AWS tiene en distintas regiones. Asimismo, apunta que “AWS no moverá el contenido de los clientes de las regiones seleccionadas sin notificárselo al cliente salvo que se requiera para cumplir con las leyes o peticiones gubernamentales”. AWS también explica que es decisión de los clientes utilizar sus propios mecanismos de encriptación, aunque ellos ofrecen encriptación de servidor en su propuesta S3 (Simple Storage Service) y en su nube privada virtual, de único propietario.



Para las pruebas de los sistemas y si el proveedor lleva a cabo evaluaciones de vulnerabilidades a nivel de aplicaciones y de red, AWS dice que son los clientes quienes mantienen el control sobre sus sistemas operativos invitados, software y aplicaciones y, por tanto, “son responsables de realizar escaneos de vulnerabilidades y de parchear sus propios sistemas”, y añade que los clientes pueden solicitar permiso para realizar escaneos de la infraestructura cloud que tienen asignada, siempre y cuando no impacte en las instancias de otros usuarios.

Programa STAR de la Cloud Security Alliance
Seis meses antes del lanzamiento del programa STAR de la CSA solo había tres peticiones de entrada. Microsoft Azure fue el mayor proveedor cloud en unirse al registro el pasado abril, mientas que en las últimas semanas, los proveedores de Infraestructura como servicio (IaaS) Amazon Web Services, Terremark –propiedad de Verzion- y Box.com se han inscrito en el registro y el número asciende ahora a una docena de compañías.

La incorporación de estos tres proveedores marca, además, un hito en el programa, pues AWS está considerado como el proveedor IaaS líder del mercado en la cloud. Representantes de la CSA afirman que esperan que en los próximos meses se unan al programa más proveedores. Cuando la CSA anunció STAR, dijo que grandes compañías como Google, Intel y McAfee tenían planes de unirse a él, pero aún no lo han hecho.