2 min read.
Protección de datos en la nube de AWS...
A todos los que somos usuarios de servicios de Cloud Computing nos surgen dudas que tienen que ver...
El COVID-19 nos dejó tan marcados en este año y al menos en los 2 posteriores que, la distancia se volvió algo común y salir lo menos posible es una prioridad. Esto tal vez suene trágico, pero ha sido una gran oportunidad para que las PYMES abran sus tiendas en línea y por lo tanto se expandan inmediatamente a nuevos mercados.
Entonces así como un punto de venta, necesita de seguridad. Ya sea un local, persona, muebles, etc; también los E-Commerce requieren de varios aspectos de infraestructura que tal vez no estabas considerado pero que te aseguro son imprescindibles.
Servidores en la nube
Conocidos en AWS como instancias hay que elegirlas dependiendo de la capacidad que se requiera y tipo de procesamiento se realice, existen algunas idóneas para sitios cómo:
- T3
- Light Sail
- Spot Instances.
Estas últimas son tipo subasta donde se rentan instancias, por decirlo así, que se encuentran desocupadas temporalmente por un precio muy muy bajo, y así el sitio no reside en una sola instancia, sino que va saltando y economizando en el precio.
La seguridad
Una vez que tengamos aprovisionado el servidor, entonces se deberá considerar los aspectos de seguridad:
Dentro del ambiente de AWS ¿Estará solo el sitio o están otras aplicaciones? Esto para ver si se designa una VPC para él en exclusivo o estará en una que ya existe, también dentro de la VPC se debe asignar una subnet si es que se requiere que esté separado del resto de los aplicativos que conviven en la VPC.
Es necesario considerar que como el E-commerce está expuesto a internet, en dado caso, que se integre con sistemas sensibles como SAP o Bases de datos. Por lo tanto, tiene que tener la mayor seguridad posible para ello, adicional a la VPC; y podemos construir una access list para delimitar tanto puertos abiertos e identificar tráfico anómalo.
También, considerar cómo será la comunicación con estos otros sistemas ¿Dónde viven? Ya que si están on premise, hay que ver como se va a consumir si por vía API o VPN, si están en AWS o enlace directo; esto es importante porque también ayuda a determinar en primer lugar el costo del proyecto y que todo funcione de manera óptima, ágil, mitigando riesgos de seguridad.
Hablando de seguridad si o si es importante tener servicios enfocados a la prevención y monitoreo de ataques, que están enfocados a incrementar la ciberseguridad del sitio, los cuales desarrollamos en este artículo.
1. Amazon WAF
Amazon WAF funciona como un escudo y es especialmente bueno en ataques DDos, de los que ya hablamos en este artículo.
Por sus siglas, Web Application Firewall nos ayudan a describirlo mejor y es un servicio que cuenta con reglas ya administradas por lo que ahorra tiempo y conocimiento en la configuración. Es posible agregar las propias conforme sea necesario.
2. GuardDuty y Trusted Advisor
Su misión es detectar amenazas y monitoreo continuo para también identificar ataques, actividades maliciosas y comportamientos no autorizados. Es una herramienta sumamente completa y lo mejor de todo es que cuenta con cierto aspecto de automatización, por lo que es posible responder ante las amenazas que identifique con ciertos lineamientos ya configurados; según el negocio en particular y Trusted Advisor.
Básicamente es una herramienta que recomienda mejoras en todos los aspectos de la infraestructura, no solamente de seguridad sino de costos, optimización etc.
También otro aspecto para mantener buena salud de un sitio web, es el autoscalling ya que es esto lo que permite la tranquilidad de poder atender a los usuarios cuando se llegue a crecer la demanda.
3. RDS y API Gateaway
Contar con un RDS es un must para las tiendas en línea, pero no cualquier RDS deberías de ser capaz de colocar una read replica y Elastic Cache para que así se aligere la carga a la base de datos otorgando gran eficiencia.
Otro aspecto importante de una arquitectura es API Gateway, en dado caso que el E-commerce consuma datos de otras aplicaciones, por ejemplo: precios inventarios, pedidos, información de clientes; con este servicio todo se consume vía “API”, sin importar que estos servicios o aplicaciones estén en otra nube u On Premise.
4. Cloud Watch
Es el servicio básico por excelencia no solo de una arquitectura de E-commerce, sino de cualquiera que esté en AWS; este servicio esta diseñado para generar alertas sobre los recursos en la nube que van desde las instancias hasta el WAF o Guard Duty. Cuenta con paneles que permiten al usuario visualizar todavía mejor lo que sucede, establecer parámetros de qué, cuando y a como cada uno de los aspectos a monitorear e integrarse con un servicio que se llama SNS – con el que cuenta con alertas de carácter crítico para notificar por celular, como un ejemplo.
5. Route 53
Uno opcional también sería Route 53, enfocado al manejo de los dominios y los DNS. Aunque puede controlarse desde otra aplicación sin problema, lo ideal es que todo esté basado en la nube.
Por último, y sin olvidar IAM para control de usuarios, especialmente importante son los snapshots así como una política de respaldos para que se generen de manera automática en la hora y día de su preferencia.
Estos servicios presentados, van enfocados a una arquitectura básica– por otro lado, una mucho más completa y enfocada al usuario, además del crecimiento exponencial, debería incluir:
- Un Chatbot inteligente con Amazon Lex.
- Contenido personalizado para clientes con Amazon Personalize.
- Una herramienta de live chat con AWS Connect
- Una herramienta de llamadas con AWS Connect
- Integración con el CRM con Amazon Connect.
- Esquema de detección de movimientos fraudulentos con Anti Fraud.
- Amazon EKS, Amazon Glue, RedShift para el procesamiento de todos los datos recopilados.
- También paneles donde se puedan tomar decisiones y de una visión más comercial con Amazon Quicksight.
¿Qué te parecieron? Si tienes algún caso de uso o proyecto y tienes dudas podemos revisarlo. ¡Contáctame!
Lee otros artículos relacionados en nuestro blog:
