Establecimiento de barreras de protección de permisos mediante perímetros de datos - AWS Identity and Access Management

Establecimiento de barreras de protección de permisos mediante perímetros de datos

Las barreras de protección de perímetros de datos están diseñadas para servir como límites permanentes para ayudar a proteger los datos en un amplio conjunto de cuentas y recursos de AWS. Los perímetros de datos siguen las prácticas recomendadas de seguridad de IAM para establecer barreras de protección de permisos en varias cuentas. Estas barreras de protección de permisos para toda la organización no sustituyen a los estrictos controles de acceso existentes. En cambio, funcionan como controles de acceso detallados que ayudan a mejorar su estrategia de seguridad al garantizar que los usuarios, los roles y los recursos cumplan con un conjunto de estándares de seguridad definidos.

Un perímetro de datos es un conjunto de barreras de permisos en su entorno de AWS que ayudan a garantizar que solo sus identidades de confianza accedan a los recursos de confianza desde las redes esperadas.

  • Identidades de confianza: entidades principales (roles o usuarios de IAM) de sus cuentas de AWS y servicios de AWS que actúan en su nombre.

  • Recursos de confianza: recursos que son propiedad de sus cuentas de AWS o de servicios de AWS que actúan en su nombre.

  • Redes esperadas: sus centros de datos en las instalaciones y nubes privadas virtuales (VPC), o redes de servicios de AWS que actúan en su nombre.

nota

En algunos casos, es posible que necesite ampliar el perímetro de datos para incluir también el acceso de sus socios comerciales de confianza. Debe tener en cuenta todos los patrones de acceso a los datos previstos al crear una definición de identidades de confianza, recursos de confianza y redes esperadas específicas para su empresa y su uso de Servicios de AWS.

Los controles de perímetros de datos deben tratarse como cualquier otro control de seguridad del programa de seguridad de la información y gestión de riesgos. Esto significa que debe realizar un análisis de amenazas para identificar los posibles riesgos en su entorno en la nube y, a continuación, en función de sus propios criterios de aceptación del riesgo, seleccionar e implementar los controles de perímetros de datos adecuados. Para fundamentar mejor el enfoque iterativo basado en el riesgo para la implementación del perímetro de datos, debe comprender qué riesgos de seguridad y vectores de amenazas abordan los controles de perímetros de datos, así como cuáles son sus prioridades de seguridad.

Controles del perímetro de datos

Los controles detallados del perímetro de datos le ayudan a lograr seis objetivos de seguridad distintos en tres perímetros de datos mediante la implementación de diferentes combinaciones de Tipos de políticas y claves de condiciones.

Perímetro Objetivo de control Utilización Se aplica en Claves de contexto de condición global

Identidad

Solo las identidades de confianza pueden acceder a mis recursos

Política basada en recursos

Recursos

aws:PrincipalOrgID

aws:PrincipalOrgPaths

aws:PrincipalAccount

aws:PrincipalIsAwsService

Solo se permite el acceso desde mi red a identidades de confianza

Política de punto de conexión de VPC

Network

Recursos

Sus identidades solo pueden acceder a recursos de confianza

SCP

Identidades

aws:ResourceOrgID

aws:ResourceOrgPaths

aws:ResourceAccount

Solo se puede acceder a los recursos de confianza desde su red

Política de punto de conexión de VPC

Network

Network

Sus identidades solo pueden acceder a los recursos desde las redes esperadas

SCP

Identidades

aws:SourceIp

aws:SourceVpc

aws:SourceVpce

aws:ViaAWSService

aws:PrincipalIsAwsService

Solo se puede acceder a sus recursos desde las redes esperadas

Política basada en recursos

Recursos

Puede pensar que los perímetros de datos crean un límite firme alrededor de sus datos para evitar patrones de acceso no deseados. Si bien los perímetros de los datos pueden impedir un acceso no deseado a nivel general, aún debe tomar decisiones sobre el control de acceso detallado. El establecimiento de un perímetro de datos no reduce la necesidad de ajustar continuamente los permisos mediante el uso de herramientas como el Analizador de acceso de IAM como parte de su traspaso a los privilegios mínimos.

Perímetro de identidad

Un perímetro de identidad es un conjunto de controles de acceso preventivos detallados que ayudan a garantizar que solo las identidades de confianza puedan acceder a sus recursos y que solo las identidades de confianza puedan acceder a su red. Las identidades de confianza incluyen las entidades principales (roles o usuarios) de sus cuentas de AWS y servicios de AWS que actúan en su nombre. Se considera que todas las demás identidades no son de confianza y el perímetro de identidad las bloquea, a menos que se conceda una excepción explícita.

Las siguientes claves de condiciones globales ayudan a aplicar los controles del perímetro de identidad. Use estas claves en las políticas basadas en recursos para restringir el acceso a los recursos, o en las políticas de puntos de conexión de VPC para restringir el acceso a sus redes.

  • aws:PrincipalOrgID: puede usar esta clave de condición para asegurarse de que las entidades principales de IAM que realizan la solicitud pertenezcan a la organización especificada en AWS Organizations.

  • aws:PrincipalOrgPaths: puede usar esta clave de condición para asegurarse de que el usuario de IAM, el rol de IAM, el usuario federado o AUsuario raíz de la cuenta de AWS realiza la solicitud pertenezca a la unidad organizativa (OU) especificada en AWS Organizations.

  • aws:PrincipalAccount: puede usar esta clave de condición para garantizar que solo la cuenta de la entidad principal que especifique en la política pueda acceder a los recursos.

  • aws:PrincipalIsAWSService y aws:SourceOrgID (como alternativa, aws:SourceOrgPaths y aws:SourceAccount): puede usar estas claves de condición para asegurarse de que, cuando las entidades principales de Servicio de AWS accedan a sus recursos, lo hagan únicamente en nombre de un recurso de la organización, unidad organizativa o cuenta especificadas en AWS Organizations.

Para obtener más información, consulte Establishing a data perimeter on AWS: Allow only trusted identities to access company data.

Perímetro de recursos

Un perímetro de recursos es un conjunto de controles de acceso preventivos detallados que ayudan a garantizar que sus identidades puedan acceder solo a recursos de confianza y que solo se pueda acceder a recursos de confianza desde su red. Los recursos de confianza incluyen los recursos que son propiedad de sus cuentas de AWS o de servicios de AWS que actúan en su nombre.

Las siguientes claves de condiciones globales ayudan a aplicar los controles del perímetro de recursos. Use estas claves en las políticas de control de servicio (SCP) para restringir a qué recursos pueden acceder sus identidades, o en las políticas de puntos de conexión de VPC para restringir los recursos a los que se puede acceder desde sus redes.

  • aws:ResourceOrgID: puede usar esta clave de condición para asegurarse de que el recurso al que se accede pertenezca a la organización especificada en AWS Organizations.

  • aws:ResourceOrgPaths: puede usar esta clave de condición para asegurarse de que el recurso al que se accede pertenezca a la unidad organizativa especificada en AWS Organizations.

  • aws:ResourceAccount: puede usar esta clave de condición para asegurarse de que el recurso al que se accede pertenezca a la cuenta especificada en AWS Organizations.

En algunos casos, es posible que necesite permitir el acceso a los recursos propiedad de AWS, a los recursos que no pertenecen a su organización y a los que acceden sus entidades principales o los servicios de AWS que actúan en su nombre. Para obtener más información sobre estos escenarios, consulte Establishing a data perimeter on AWS: Allow only trusted resources from my organization.

Perímetro de red

Un perímetro de red es un conjunto de controles de acceso preventivos detallados que ayudan a garantizar que sus identidades puedan acceder solo a recursos de las redes esperadas y que solo se pueda acceder a sus recursos desde las redes esperadas. Las redes esperadas incluyen sus centros de datos en las instalaciones y nubes privadas virtuales (VPC), o redes de servicios de AWS que actúan en su nombre.

Las siguientes claves de condiciones globales ayudan a aplicar los controles del perímetro de red. Use estas claves en las políticas de control de servicios (SCP) para restringir las redes desde las que se pueden comunicar sus identidades, o en las políticas basadas en recursos para restringir el acceso de los recursos a las redes esperadas.

  • aws:SourceIp: puede usar esta clave de condición para asegurarse de que la dirección IP del solicitante esté dentro de un rango de IP específico.

  • aws:SourceVpc: puede usar esta clave de condición para garantizar que el punto de conexión de VPC por el que pasa la solicitud pertenezca a la VPC especificada.

  • aws:SourceVpce: puede usar esta clave de condición para garantizar que la solicitud pasa por el punto de conexión de VPC especificado.

  • aws:ViaAWSService: puede usar esta clave de condición para asegurarse de que Servicios de AWS pueda realizar solicitudes en nombre de su entidad principal mediante Sesiones de acceso directo (FAS).

  • aws:PrincipalIsAWSService: puede usar esta clave de condición para asegurarse de que Servicios de AWS pueda acceder a sus recursos mediante Entidad principal del servicio de AWS.

Existen otros escenarios en los que es necesario permitir el acceso a los Servicios de AWS que acceden a sus recursos desde fuera de la red. Para obtener más información, consulte Establishing a data perimeter on AWS: Allow access to company data only from expected networks.

Recursos para obtener más información sobre los perímetros de datos

Los siguientes recursos pueden ayudarle a obtener más información acerca de los perímetros de datos en AWS.