Establecimiento de barreras de protección de permisos mediante perímetros de datos
Las barreras de protección de perímetros de datos están diseñadas para servir como límites permanentes para ayudar a proteger los datos en un amplio conjunto de cuentas y recursos de AWS. Los perímetros de datos siguen las prácticas recomendadas de seguridad de IAM para establecer barreras de protección de permisos en varias cuentas. Estas barreras de protección de permisos para toda la organización no sustituyen a los estrictos controles de acceso existentes. En cambio, funcionan como controles de acceso detallados que ayudan a mejorar su estrategia de seguridad al garantizar que los usuarios, los roles y los recursos cumplan con un conjunto de estándares de seguridad definidos.
Un perímetro de datos es un conjunto de barreras de permisos en su entorno de AWS que ayudan a garantizar que solo sus identidades de confianza accedan a los recursos de confianza desde las redes esperadas.
-
Identidades de confianza: entidades principales (roles o usuarios de IAM) de sus cuentas de AWS y servicios de AWS que actúan en su nombre.
-
Recursos de confianza: recursos que son propiedad de sus cuentas de AWS o de servicios de AWS que actúan en su nombre.
-
Redes esperadas: sus centros de datos en las instalaciones y nubes privadas virtuales (VPC), o redes de servicios de AWS que actúan en su nombre.
nota
En algunos casos, es posible que necesite ampliar el perímetro de datos para incluir también el acceso de sus socios comerciales de confianza. Debe tener en cuenta todos los patrones de acceso a los datos previstos al crear una definición de identidades de confianza, recursos de confianza y redes esperadas específicas para su empresa y su uso de Servicios de AWS.
Los controles de perímetros de datos deben tratarse como cualquier otro control de seguridad del programa de seguridad de la información y gestión de riesgos. Esto significa que debe realizar un análisis de amenazas para identificar los posibles riesgos en su entorno en la nube y, a continuación, en función de sus propios criterios de aceptación del riesgo, seleccionar e implementar los controles de perímetros de datos adecuados. Para fundamentar mejor el enfoque iterativo basado en el riesgo para la implementación del perímetro de datos, debe comprender qué riesgos de seguridad y vectores de amenazas abordan los controles de perímetros de datos, así como cuáles son sus prioridades de seguridad.
Controles del perímetro de datos
Los controles detallados del perímetro de datos le ayudan a lograr seis objetivos de seguridad distintos en tres perímetros de datos mediante la implementación de diferentes combinaciones de Tipos de políticas y claves de condiciones.
Perímetro | Objetivo de control | Utilización | Se aplica en | Claves de contexto de condición global |
---|---|---|---|---|
Identidad |
Solo las identidades de confianza pueden acceder a mis recursos |
RCP |
Recursos |
aws:PrincipalOrgID aws:PrincipalOrgPaths aws:PrincipalAccount aws:PrincipalIsAwsService aws:SourceOrgID aws:SourceOrgPath aws:SourceAccount |
Solo se permite el acceso desde mi red a identidades de confianza |
Política de punto de conexión de VPC |
Network |
||
Recursos |
Sus identidades solo pueden acceder a recursos de confianza |
SCP |
Identidades |
aws:ResourceOrgID aws:ResourceOrgPaths aws:ResourceAccount |
Solo se puede acceder a los recursos de confianza desde su red |
Política de punto de conexión de VPC |
Network |
||
Network |
Sus identidades solo pueden acceder a los recursos desde las redes esperadas |
SCP |
Identidades |
aws:SourceIp aws:SourceVpc aws:SourceVpce aws:ViaAWSService aws:PrincipalIsAwsService |
Solo se puede acceder a sus recursos desde las redes esperadas |
RCP |
Recursos |
Puede pensar que los perímetros de datos crean un límite firme alrededor de sus datos para evitar patrones de acceso no deseados. Si bien los perímetros de los datos pueden impedir un acceso no deseado a nivel general, aún debe tomar decisiones sobre el control de acceso detallado. El establecimiento de un perímetro de datos no reduce la necesidad de ajustar continuamente los permisos mediante el uso de herramientas como el Analizador de acceso de IAM como parte de su traspaso a los privilegios mínimos.
Para aplicar controles perimetrales de datos a los recursos que actualmente no son compatibles con las RCP, puede utilizar políticas basadas en recursos que se adjunten directamente a los recursos. Para obtener una lista de los servicios que admiten las RCP y las políticas basadas en recursos, consulte Políticas de control de recursos (RCP) y Servicios de AWS que funcionan con IAM.
Perímetro de identidad
Un perímetro de identidad es un conjunto de controles de acceso preventivos detallados que ayudan a garantizar que solo las identidades de confianza puedan acceder a sus recursos y que solo las identidades de confianza puedan acceder a su red. Las identidades de confianza incluyen las entidades principales (roles o usuarios) de sus cuentas de AWS y servicios de AWS que actúan en su nombre. Se considera que todas las demás identidades no son de confianza y el perímetro de identidad las bloquea, a menos que se conceda una excepción explícita.
Las siguientes claves de condiciones globales ayudan a aplicar los controles del perímetro de identidad. Use estas claves en las políticas de control de recursos para restringir el acceso a los recursos, o en las políticas de puntos de conexión de VPC para restringir el acceso a sus redes.
-
aws:PrincipalOrgID: puede usar esta clave de condición para asegurarse de que las entidades principales de IAM que realizan la solicitud pertenezcan a la organización especificada en AWS Organizations.
-
aws:PrincipalOrgPaths: puede usar esta clave de condición para asegurarse de que el usuario de IAM, el rol de IAM, el usuario federado o AUsuario raíz de la cuenta de AWS realiza la solicitud pertenezca a la unidad organizativa (OU) especificada en AWS Organizations.
-
aws:PrincipalAccount: puede usar esta clave de condición para garantizar que solo la cuenta de la entidad principal que especifique en la política pueda acceder a los recursos.
-
aws:PrincipalIsAWSService y aws:SourceOrgID (como alternativa, aws:SourceOrgPaths y aws:SourceAccount): puede usar estas claves de condición para asegurarse de que, cuando las entidades principales de Servicio de AWS accedan a sus recursos, lo hagan únicamente en nombre de un recurso de la organización, unidad organizativa o cuenta especificadas en AWS Organizations.
Para obtener más información, consulte Establishing a data perimeter on AWS: Allow only trusted identities to access company data
Perímetro de recursos
Un perímetro de recursos es un conjunto de controles de acceso preventivos detallados que ayudan a garantizar que sus identidades puedan acceder solo a recursos de confianza y que solo se pueda acceder a recursos de confianza desde su red. Los recursos de confianza incluyen los recursos que son propiedad de sus cuentas de AWS o de servicios de AWS que actúan en su nombre.
Las siguientes claves de condiciones globales ayudan a aplicar los controles del perímetro de recursos. Use estas claves en las políticas de control de servicio (SCP) para restringir a qué recursos pueden acceder sus identidades, o en las políticas de puntos de conexión de VPC para restringir los recursos a los que se puede acceder desde sus redes.
-
aws:ResourceOrgID: puede usar esta clave de condición para asegurarse de que el recurso al que se accede pertenezca a la organización especificada en AWS Organizations.
-
aws:ResourceOrgPaths: puede usar esta clave de condición para asegurarse de que el recurso al que se accede pertenezca a la unidad organizativa especificada en AWS Organizations.
-
aws:ResourceAccount: puede usar esta clave de condición para asegurarse de que el recurso al que se accede pertenezca a la cuenta especificada en AWS Organizations.
En algunos casos, es posible que necesite permitir el acceso a los recursos propiedad de AWS, a los recursos que no pertenecen a su organización y a los que acceden sus entidades principales o los servicios de AWS que actúan en su nombre. Para obtener más información sobre estos escenarios, consulte Establishing a data perimeter on AWS: Allow only trusted resources from my organization
Perímetro de red
Un perímetro de red es un conjunto de controles de acceso preventivos detallados que ayudan a garantizar que sus identidades puedan acceder solo a recursos de las redes esperadas y que solo se pueda acceder a sus recursos desde las redes esperadas. Las redes esperadas incluyen sus centros de datos en las instalaciones y nubes privadas virtuales (VPC), o redes de servicios de AWS que actúan en su nombre.
Las siguientes claves de condiciones globales ayudan a aplicar los controles del perímetro de red. Use estas claves en las políticas de control de servicios (SCP) para restringir las redes desde las que se pueden comunicar sus identidades, o en las políticas de control de recursos para restringir el acceso de los recursos a las redes esperadas.
-
aws:SourceIp: puede usar esta clave de condición para asegurarse de que la dirección IP del solicitante esté dentro de un rango de IP específico.
-
aws:SourceVpc: puede usar esta clave de condición para garantizar que el punto de conexión de VPC por el que pasa la solicitud pertenezca a la VPC especificada.
-
aws:SourceVpce: puede usar esta clave de condición para garantizar que la solicitud pasa por el punto de conexión de VPC especificado.
-
aws:ViaAWSService: puede usar esta clave de condición para asegurarse de que Servicios de AWS pueda realizar solicitudes en nombre de su entidad principal mediante Sesiones de acceso directo (FAS).
-
aws:PrincipalIsAWSService: puede usar esta clave de condición para asegurarse de que Servicios de AWS pueda acceder a sus recursos mediante Entidad principal del servicio de AWS.
Existen otros escenarios en los que es necesario permitir el acceso a los Servicios de AWS que acceden a sus recursos desde fuera de la red. Para obtener más información, consulte Establishing a data perimeter on AWS: Allow access to company data only from expected networks
Recursos para obtener más información sobre los perímetros de datos
Los siguientes recursos pueden ayudarle a obtener más información acerca de los perímetros de datos en AWS.
-
Perímetros de datos en AWS
: obtenga información sobre los perímetros de datos y sus ventajas y casos de uso. -
Blog Post Series: Establishing a Data Perimeter on AWS
: estas publicaciones de blog incluyen una guía prescriptiva sobre cómo establecer un perímetro de datos a escala, incluidas las principales consideraciones de seguridad e implementación. -
Data Perimeter Policy Examples
: este repositorio de GitHub contiene políticas de ejemplo que cubren algunos patrones comunes para ayudarle a implementar un perímetro de datos en AWS. -
Data perimeter helper
: esta herramienta le ayuda a diseñar y anticipar el impacto de sus controles de perímetros de datos mediante el análisis de la actividad de acceso en sus registros de AWS CloudTrail. -
Whitepaper: Building a Data Perimeter on AWS: este documento describe las prácticas recomendadas y los servicios disponibles para crear un perímetro alrededor de sus identidades, recursos y redes en AWS.
-
Seminario web: Building a data perimeter in AWS
: aprenda dónde y cómo implementar controles de perímetros de datos en función de diferentes escenarios de riesgo.