Proteger los datos en Amazon EC2

El modelo de responsabilidad compartida de AWS se aplica a la protección de datos en Amazon Elastic Compute Cloud (EC2). Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Usted es responsable de mantener el control sobre el contenido alojado en esta infraestructura. Usted también es responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el Modelo de responsabilidad compartida de AWS y GDPR en el Blog de seguridad de AWS.

Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

• Utilice autenticación multifactor (MFA) en cada cuenta.

• Utilice SSL/TLS para comunicarse con los recursos de AWS. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.

• Configure la API y el registro de actividad del usuario con AWS CloudTrail.

• Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.

• Utilice servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.

• Si necesita módulos criptográficos validados FIPS 140-2 al acceder a AWS a través de una interfaz de la línea de comandos o una API, utilice un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte Estándar de procesamiento de la información federal (FIPS) 140-2.

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como, por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye cuando trabaja con Amazon EC2 u otros Servicios de AWS mediante la consola, la API, la AWS CLI o los AWS SDK. Cualquier dato que ingrese en etiquetas o campos de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.

Seguridad de datos de Amazon EBS

Los volúmenes de Amazon EBS se presentan como dispositivos de bloques sin formatear y sin procesar. Estos dispositivos son dispositivos lógicos que se crean en la infraestructura de EBS, y el servicio Amazon EBS garantiza que los dispositivos estén vacíos de forma lógica (es decir, los bloques sin procesar se establecen en cero o contienen datos criptográficamente pseudoaleatorios) antes de cualquier uso o reutilización por parte de un cliente.

Si tiene procedimientos que requieren que todos los datos se borren mediante un método específico, ya sea después o antes de su uso (o ambos), como los que se detallan en DoD 5220.22-M (National Industrial Security Program Operating Manual) o NIST 800-88 (Guidelines for Media Sanitization), puede hacerlo en Amazon EBS. Esa actividad de bloques se reflejará en los medios de almacenamiento subyacentes del servicio Amazon EBS.

Cifrado en reposo

Volúmenes de EBS

El cifrado de Amazon EBS es una solución de cifrado para volúmenes e instantáneas de EBS. Utiliza AWS KMS keys. Para obtener más información, consulte Cifrado de Amazon EBS en la Guía del usuario de Amazon EBS.

Volúmenes de almacén de instancias

Los datos incluidos en los volúmenes de almacén de instancias de NVMe se cifran con un cifrado XTS-AES-256 en un módulo de hardware de la instancia. Las claves utilizadas para cifrar los datos escritos en dispositivos de almacenamiento NVMe conectados localmente son por cliente y por volumen. Las claves las genera el módulo de hardware, al que no puede acceder el personal de AWS, y residen dentro de este. Las claves de cifrado se destruyen cuando se detiene o termina la instancia y no se pueden recuperar. No puede deshabilitar este cifrado ni tampoco proporcionar su propia clave de cifrado.

Los datos incluidos en los volúmenes de almacén de instancias de HDD en las instancias H1, D3 y D3en están cifrados con XTS-AES-256 y claves de un solo uso.

Cuando una instancia se detiene, se termina o se pone en hibernación, se restablecen todos los bloques de almacenamiento del volumen de almacén de instancias. Por lo tanto, no se puede obtener acceso a los datos a través del almacén de instancias de otra instancia.

Memoria

El cifrado de memoria se encuentra habilitado en las siguientes instancias:

• Instancias con procesadores AWS Graviton. AWS Graviton2, AWS Graviton3 y AWS Graviton3E admiten el cifrado de memoria siempre activo. Las claves de cifrado se generan de forma segura dentro del sistema host, no salen del sistema host y se destruyen al reiniciar o apagar el host. Para obtener más información, consulte Procesadores AWS Graviton.

• Instancias con procesadores escalables Intel Xeon de tercera generación (Ice Lake), como las instancias M6i, y procesadores escalables Intel Xeon de cuarta generación (Sapphire Rapids), como las instancias M7i. Estos procesadores admiten el cifrado de memoria siempre activo mediante Intel Total Memory Encryption (TME).

• Instancias con procesadores AMD EPYC de tercera generación (Milan), como las instancias M6a, y procesadores AMD EPYC de cuarta generación (Genoa), como las instancias M7a. Estos procesadores admiten el cifrado de memoria siempre activo mediante el cifrado seguro de memoria (SME) de AMD. Las instancias con procesadores AMD EPYC de tercera generación (Milan) también son compatibles con la virtualización cifrada segura y la paginación anidada segura (SEV-SNP) de AMD.

Cifrado en tránsito

Cifrado en la capa física

Todos los datos que fluyen en las regiones de AWS a través de la red global de AWS se cifran automáticamente en la capa física antes de salir de las instalaciones seguras de AWS. Todo el tráfico entre las zonas de disponibiliad está cifrado. Las capas adicionales de cifrado, incluidas las que aparecen en esta sección, pueden proporcionar una protección adicional.

Cifrado proporcionado por la interconexión entre regiones de Amazon VPC y Transit Gateway.

Todo el tráfico entre regiones que utiliza la interconexión de Amazon VPC y Transit Gateway se cifra de forma masiva automáticamente cuando sale de una región. De manera automática, se proporciona una capa adicional de cifrado en la capa física para todo el tráfico entre regiones, como se indicó anteriormente en esta sección.

Cifrado entre instancias

AWS proporciona conectividad privada y segura entre instancias EC2 de todo tipo. Además, en algunos tipos de instancia, se utilizan las capacidades de descarga del hardware Nitro System subyacente para cifrar de manera automática el tráfico en tránsito entre instancias. Este cifrado utiliza algoritmos de encriptación autenticada con datos asociados (AEAD), con cifrado de 256 bits. No hay impacto en el rendimiento de la red. Para admitir este cifrado adicional del tráfico en tránsito entre instancias, se deben cumplir los siguientes requisitos:

• Las instancias utilizan los siguientes tipos de instancias:

  • De uso general: M5dn, M5n, M5zn, M6a, M6i, M6id, M6idn, M6in, M7a, M7g, M7gd, M7i, M7i-flex

  • Optimizadas para computación: C5a, C5ad, C5n, C6a, C6gn, C6i, C6id, C6in, C7a, C7g, C7gd, C7gn, C7i

  • Optimizadas para memoria: R5dn, R5n, R6a, R6i, R6idn, R6in, R6id, R7a, R7g, R7gd, R7i, R7iz, U-3tb1, U-6tb1, U-9tb1, U-12tb1, U-18tb1, U-24tb1, X2idn, X2iedn, X2iezn

  • Optimizadas para almacenamiento: D3, D3en, I3en, I4g, I4i, Im4gn, Is4gen

  • De computación acelerada: DL1, DL2q, G4ad, G4dn, G5, G6, Gr6, Inf1, Inf2, P3dn, P4d, P4de, P5, Trn1, Trn1n, VT1

  • De computación de alto rendimiento: Hpc6a, Hpc6id, Hpc7a, Hpc7g

• Las instancias se encuentran en la misma región.

• Las instancias están en la misma VPC o VPC interconectadas, y el tráfico no pasa a través de un dispositivo o servicio de red virtual, como un balanceador de carga o una gateway de tránsito.

De manera automática, se proporciona una capa adicional de cifrado en la capa física para todo el tráfico antes de dejar las instalaciones seguras de AWS, como se indicó anteriormente en esta sección.

Para ver los tipos de instancias que cifran el tráfico en tránsito entre instancias mediante la AWS CLI

Utilice el siguiente comando: describe-instance-types.

aws ec2 describe-instance-types \
    --filters Name=network-info.encryption-in-transit-supported,Values=true \
    --query "InstanceTypes[*].[InstanceType]" \
    --output text | sort

Cifrado hacia y desde AWS Outposts

Un puesto de Outposts crea conexiones de red especiales llamadas enlaces de servicio en su región de inicio de AWS y, opcionalmente, conectividad privada a una subred VPC que especifique. Todo el tráfico a través de esa conexión está completamente cifrado. Para obtener más información, consulte Conectividad mediante enlaces de servicio y Cifrado en tránsito en laGuía del usuario de AWS Outposts.

Cifrado de acceso remoto

SSH proporciona un canal de comunicaciones seguro para el acceso remoto a las instancias de Linux, ya sea de forma directa o mediante EC2 Instance Connect. El acceso remoto a las instancias mediante AWS Systems Manager Session Manager o Run Command está cifrado con TLS 1.2, y las solicitudes para crear una conexión se firman con SigV4 y autentican y autorizan con AWS Identity and Access Management.

Es su responsabilidad utilizar un protocolo de cifrado como Transport Layer Security (TLS) para cifrar la información confidencial en tránsito entre los clientes y sus instancias de Amazon EC2.