Proteger los datos en Amazon EC2 - Amazon Elastic Compute Cloud

Proteger los datos en Amazon EC2

El modelo de responsabilidad compartida de AWS se aplica a la protección de datos en Amazon Elastic Compute Cloud (EC2). Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Usted es responsable de mantener el control sobre el contenido alojado en esta infraestructura. Este contenido incluye la configuración de seguridad y las tareas de administración para el que utiliza Servicios de AWS. Para obtener más información sobre la privacidad de los datos, consulte las Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog AWSShared Responsability Model and GDPR en el Blog de seguridad de AWS.

Con fines de protección de datos, recomendamos proteger las credenciales de Cuenta de AWS y configurar cuentas de usuario individuales con AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir con sus obligaciones laborales. También recomendamos proteger sus datos de las siguientes formas:

  • Utilice Multi-Factor Authentication (MFA) con cada cuenta.

  • Utilice SSL/TLS para comunicarse con los recursos de AWS. Recomendamos TLS 1.2 o una versión posterior.

  • Configure la API y el registro de actividad del usuario con AWS CloudTrail.

  • Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de AWS.

  • Utilice avanzados servicios de seguridad administrados, como Amazon Macie, que lo ayuden a detectar y proteger los datos personales almacenados en Amazon S3.

  • Si necesita módulos criptográficos validados FIPS 140-2 al acceder a AWS a través de una interfaz de línea de comandos o una API, utilice un punto de enlace de FIPS. Para obtener más información sobre los puntos de enlace de FIPS disponibles, consulte Estándar de procesamiento de la información federal (FIPS) 140-2.

Recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como, por ejemplo, direcciones de email de sus clientes, en etiquetas o en los campos de formato libre, como el campo Name (Nombre). No debe especificar esta información cuando trabaje con Amazon EC2 u otros servicios de AWS a través de la consola, la API, la AWS CLI o los AWS SDK. Los datos que ingresa en etiquetas o campos de formato libre utilizados para los nombres se pueden utilizar para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.

Seguridad de datos de Amazon EBS

Los volúmenes de Amazon EBS se presentan como dispositivos de bloques sin formatear y sin procesar. Estos dispositivos son dispositivos lógicos que se crean en la infraestructura de EBS, y el servicio Amazon EBS garantiza que los dispositivos estén vacíos de forma lógica (es decir, los bloques sin procesar se establecen en cero o contienen datos criptográficamente pseudoaleatorios) antes de cualquier uso o reutilización por parte de un cliente.

Si tiene procedimientos que requieren que todos los datos se borren mediante un método específico, ya sea después o antes de su uso (o ambos), como los que se detallan en DoD 5220.22-M (National Industrial Security Program Operating Manual) o NIST 800-88 (Guidelines for Media Sanitization), puede hacerlo en Amazon EBS. Esa actividad de bloques se reflejará en los medios de almacenamiento subyacentes del servicio Amazon EBS.

Cifrado en reposo

Volúmenes de EBS

El cifrado de Amazon EBS es una solución de cifrado para volúmenes e instantáneas de EBS. Utiliza AWS KMS keys. Para obtener más información, consulte Cifrado de Amazon EBS .

También puede utilizar permisos de Microsoft EFS y NTFS para el cifrado a nivel de carpeta y de archivo.

Volúmenes de almacén de instancias

Los datos incluidos en los volúmenes de almacén de instancias de NVMe se cifran con un cifrado XTS-AES-256 en un módulo de hardware de la instancia. Las claves utilizadas para cifrar los datos escritos en dispositivos de almacenamiento NVMe conectados localmente son por cliente y por volumen. Las claves las genera el módulo de hardware, al que no puede acceder el personal de AWS, y residen dentro de este. Las claves de cifrado se destruyen cuando se detiene o termina la instancia y no se pueden recuperar. No puede deshabilitar este cifrado ni tampoco proporcionar su propia clave de cifrado.

Los datos incluidos en los volúmenes de almacén de instancias de HDD en las instancias H1, D3 y D3en están cifrados con XTS-AES-256 y claves de un solo uso.

Cuando una instancia se detiene, se termina o se pone en hibernación, se restablecen todos los bloques de almacenamiento del volumen de almacén de instancias. Por lo tanto, no se puede obtener acceso a los datos a través del almacén de instancias de otra instancia.

Memoria

El cifrado de memoria se encuentra habilitado en las siguientes instancias:

  • Instancias con procesadores AWS Graviton2, como instancias M6g. Estos procesadores admiten el cifrado de memoria siempre activo. Las claves de cifrado se generan de forma segura dentro del sistema host, no salen del sistema host y se destruyen al reiniciar o apagar el host.

  • Instancias con procesadores Intel Xeon Scalable (Ice Lake), como instancias M6i. Estos procesadores admiten el cifrado de memoria siempre activo mediante Intel Total Memory Encryption (TME).

  • Instancias con procesadores AMD EPYC de tercera generación (Milan), como las instancias M6a. Estos procesadores admiten el cifrado de memoria siempre activo mediante Transparent Single Key Memory Encryption (TSME) de AMD.

Cifrado en tránsito

Cifrado en la capa física

Todos los datos que fluyen en las regiones de AWS a través de la red global de AWS se cifran automáticamente en la capa física antes de salir de las instalaciones seguras de AWS. Todo el tráfico entre las zonas de disponibiliad está cifrado. Las capas adicionales de cifrado, incluidas las que aparecen en esta sección, pueden proporcionar una protección adicional.

Cifrado proporcionado por la interconexión entre regiones de Amazon VPC y Transit Gateway.

Todo el tráfico entre regiones que utiliza la interconexión de Amazon VPC y Transit Gateway se cifra de forma masiva automáticamente cuando sale de una región. De manera automática, se proporciona una capa adicional de cifrado en la capa física para todo el tráfico entre regiones, como se indicó anteriormente en esta sección.

Cifrado entre instancias

AWS proporciona conectividad privada y segura entre instancias EC2 de todo tipo. Además, algunos tipos de instancia utilizan las capacidades de descarga del hardware Nitro System subyacente para cifrar de manera automática el tráfico en tránsito entre instancias mediante algoritmos AEAD con cifrado de 256 bits. No hay impacto en el rendimiento de la red. Para admitir este cifrado adicional del tráfico en tránsito entre instancias, se deben cumplir los siguientes requisitos:

  • Las instancias utilizan los siguientes tipos de instancias:

    • De uso general: M5dn | M5n | M5zn | M6a | M6i | M6id

    • Optimizadas para computación: C5a | C5ad | C5n | C6a | C6i | C6id |

    • Optimizadas para memoria: R5dn | R5n | R6i | R6id | high memory (u-*), virtualized only | X2idn | X2iedn | X2iezn

    • Optimizadas para almacenamiento: D3 | D3en | I3en | I4i

    • Computación acelerada: G4ad | G4dn | G5 | P3dn

  • Las instancias se encuentran en la misma región.

  • Las instancias están en la misma VPC o VPC interconectadas, y el tráfico no pasa a través de un dispositivo o servicio de red virtual, como un balanceador de carga o una gateway de tránsito.

De manera automática, se proporciona una capa adicional de cifrado en la capa física para todo el tráfico antes de dejar las instalaciones seguras de AWS, como se indicó anteriormente en esta sección.

Para ver los tipos de instancias que cifran el tráfico en tránsito entre instancias mediante la AWS CLI

Utilice el siguiente comando: describe-instance-types.

aws ec2 describe-instance-types \ --filters Name=network-info.encryption-in-transit-supported,Values=true \ --query "InstanceTypes[*].[InstanceType]" --output text | sort

Cifrado hacia y desde AWS Outposts

Un puesto de Outposts crea conexiones de red especiales llamadas enlaces de servicio en su región de inicio de AWS y, opcionalmente, conectividad privada a una subred VPC que especifique. Todo el tráfico a través de esa conexión está completamente cifrado. Para obtener más información, consulte Conectividad mediante enlaces de servicio y Cifrado en tránsito en laGuía del usuario de AWS Outposts.

Cifrado de acceso remoto

RDP proporciona un canal de comunicaciones seguro para el acceso remoto a las instancias de Windows, ya sea de forma directa o mediante EC2 Instance Connect. El acceso remoto a las instancias mediante AWS Systems Manager Session Manager o Run Command está cifrado con TLS 1.2, y las solicitudes para crear una conexión se firman con SigV4 y autentican y autorizan con AWS Identity and Access Management.

Es su responsabilidad utilizar un protocolo de cifrado como Transport Layer Security (TLS) para cifrar la información confidencial en tránsito entre los clientes y sus instancias de Amazon EC2.

Asegúrese de permitir solo conexiones cifradas entre las instancias EC2 y los puntos de enlace de la API de AWS u otros servicios de red remota confidenciales. Puede aplicar esto mediante un grupo de seguridad saliente o reglas de Firewall de Windows.