Tutorial: Aplicar cifrado en reposo a un sistema de archivos de Amazon EFS - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tutorial: Aplicar cifrado en reposo a un sistema de archivos de Amazon EFS

A continuación, encontrará detalles acerca de cómo aplicar cifrado en reposo mediante Amazon CloudWatch yAWS CloudTrail. Este tutorial se basa en elAWSdocumento técnicoCifrado de datos en reposo con sistemas de archivos cifrados de Amazon EFS.

nota

El método para hacer cumplir la creación de sistemas de archivos de Amazon EFS cifrados en reposo descrito en este tutorial está obsoleto. El método preferido para aplicar en reposo a la creación de sistemas de archivos deelasticfilesystem:EncryptedClave de condición enAWS Identity and Access ManagementPolíticas basadas en identidad. Para obtener más información, consulte Uso de IAM para imponer la creación de sistemas de archivos cifrados. Puede utilizar este tutorial para crear alarmas de CloudWatch y validar que sus políticas de IAM impiden la creación de sistemas de archivos sin cifrar.

Aplicación del cifrado en reposo

Su organización podría necesitar el cifrado en reposo de todos los datos que cumplan una clasificación específica o que se asocien a una determinada aplicación, carga de trabajo o entorno. Puede aplicar políticas para el cifrado de datos en reposo para los sistemas de archivos de Amazon EFS mediante el uso de controles de detección. Estos controles detectan la creación de un sistema de archivos y verifican que el cifrado en reposo esté habilitado.

Si se detecta un sistema de archivos sin cifrado en reposo, puede responder de varias formas distintas. Estas van desde eliminar el sistema de archivos y destinos de montaje a notificar al administrador.

Si desea eliminar un sistema de archivos que carece de cifrado en reposo, pero desea conservar los datos, primero debe crear un nuevo sistema de archivos con cifrado en reposo. A continuación, copie los datos al nuevo sistema de archivos con cifrado en reposo. Una vez que se copian los datos, puede eliminar el sistema de archivos que carece de cifrado en reposo.

Detección de sistemas de archivos sin cifrar en reposo

Puede crear una alarma de CloudWatch para monitorear los registros de CloudTrail paraCreateFileSystemevent. A continuación, puede activar la alarma para que notifique a un administrador si el sistema de archivos que se creó carecía de cifrado en reposo.

Crear un filtro de métricas

Para crear una alarma de CloudWatch que se active cuando se crea un sistema de archivos de Amazon EFS sin cifrado en reposo, utilice el siguiente procedimiento.

Antes de comenzar, debe disponer de un registro de seguimiento existente que envía registros de CloudTrail a un grupo de registros de CloudWatch Logs. Para obtener más información, consulteEnvío de eventos a CloudWatch Logsen laAWS CloudTrailGuía del usuario de.

Para crear un filtro de métricas
  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Logs.

  3. En la lista de grupos de registro, seleccione el grupo de registro que creó para los eventos de registro de CloudTrail.

  4. Elija Create Metric Filter.

  5. En la página Define Logs Metric Filter (Definir filtro de métricas de registros), seleccione Filter Pattern (Patrón del filtro) y escriba lo siguiente:

    { ($.eventName = CreateFileSystem) && ($.responseElements.encrypted IS FALSE) }
  6. Elija Assign Metric (Asignar métrica).

  7. En Filter Name (Nombre del filtro), escriba UnencryptedFileSystemCreated.

  8. En Metric Namespace (Espacio de nombres de métrica), escriba CloudTrailMetrics.

  9. En Nombre de métrica, escriba UnencryptedFileSystemCreatedEventCount.

  10. Elija Show advanced metric settings.

  11. En Metric Value (Valor de la métrica), escriba 1.

  12. Elija Create Filter.

Crear una alarma

Después de crear el filtro de métricas, utilice el siguiente procedimiento para crear una alarma.

Para crear una alarma
  1. En Filters (Filtros) en la página Log_Group_Name (Registro_Grupo_Nombre), al lado del nombre de archivo UnencryptedFileSystemCreated, seleccione Create Alarm (Crear alarma).

  2. En la página Create Alarm (Crear alarma), defina los siguientes parámetros:

    • En Name (Nombre), escriba Unencrypted File System Created

    • En Whenever (Siempre que), haga lo siguiente:

      • Establezca is (es) en > = 1

      • Establezca for: (para:) en 1 periodo(s) consecutivo(s).

    • Para Treat missing data as (Tratar los datos que faltan como), seleccione good (not breaching threshold) (correctos [dentro del umbral]).

    • En Actions (Acciones), haga lo siguiente:

      • En Whenever this alarm, elija State is ALARM.

      • En Send notification to (Enviar notificación a), seleccioneNotifyMe (Notificarme), New list (Nueva lista) y escriba un nombre de tema único para esta lista.

      • En Email list (Lista de direcciones de correo electrónico), escriba la dirección de correo electrónico a donde desea que se envíen las notificaciones. (Debe recibir un correo electrónico en esta dirección para confirmar que ha creado esta alarma).

    • En Alarm Preview (Vista previa de la alarma), haga lo siguiente:

      • En Period (Periodo), seleccione 1 Minute (1 minuto).

      • En Statistic (Estadística), seleccione Standard (Estándar) y Sum (Suma).

  3. Elija Create Alarm.

Probar la alarma para la Creación de sistemas de archivos sin cifrar

Para probar la alarma, cree un sistema de archivos sin cifrado en reposo, tal y como se indica a continuación.

Para probar la alarma, cree un sistema de archivos sin cifrado en reposo
  1. Inicie sesión enAWS Management Consoley abra la consola de Amazon EFS enhttps://console.aws.amazon.com/efs/.

  2. ElegirCrear sistema de archivos depara visualizarCrear sistema de archivos deCuadro de diálogo.

  3. Para crear un sistema de archivos sin cifrar en reposo, elijaPersonalizarpara visualizarConfiguración del sistema de archivos(Se ha creado el certificado).

  4. ParaGeneralConfiguración, introduzca lo siguiente.

    1. (Opcional) Introduzca unNombrepara el sistema de archivos.

    2. MantenerAdministración del ciclo de vida,Modo de desempeño, yModo de desempeñoEstablecer en los valores predeterminados.

    3. Desactivación deCriptografíaDesactiveHabilitar el cifrado de datos en reposo.

  5. ElegirPróximopara continuar hastaNetwork Accesspaso en el proceso de configuración.

  6. Elija el valor predeterminadoVirtual Private Cloud (VPC).

  7. ParaObjetivos de montaje, seleccione el valor predeterminadoGrupos de seguridadpara cada destino de montaje.

  8. ElegirPróximopara visualizarPolítica del sistema de archivos(Se ha creado el certificado).

  9. ElegirPróximopara continuar hastaRevisar y crear(Se ha creado el certificado).

  10. Revise el sistema de archivos y elijaCrearpara crear el sistema de archivos y volver a laSistemas de archivos(Se ha creado el certificado).

Su registro de seguimiento registraCreateFileSystemy suministra el evento a su grupo de registro de CloudWatch Logs. El evento activa la alarma métrica y CloudWatch Logs le envía una notificación sobre el cambio.