Prácticas recomendadas de detección de seguridad para Amazon Keyspaces - Amazon Keyspaces (para Apache Cassandra)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas de detección de seguridad para Amazon Keyspaces

Las siguientes prácticas recomendadas de seguridad se consideran de detección porque pueden ayudarle a detectar posibles debilidades e incidentes de seguridad.

Uso de AWS CloudTrail para monitorear el uso de claves AWS Key Management Service de AWS KMS (AWS KMS)

Al utilizar una clave AWS KMS gestionada por el cliente para el cifrado en reposo, el uso de esta clave se registra en AWS CloudTrail. CloudTrail proporciona visibilidad de la actividad del usuario mediante el registro de las acciones realizadas en su cuenta. CloudTrail registra información importante acerca de cada acción, incluyendo quién hizo la solicitud, los servicios utilizados, las acciones realizadas, los parámetros de las acciones y los elementos de respuesta devueltos por el servicio de AWS. Esta información le ayuda a realizar un seguimiento de los cambios realizados en sus recursos de AWS y solucionar problemas operativos. CloudTrail facilita la conformidad con las políticas internas y las normas reglamentarias.

Puede utilizar CloudTrail para auditar el uso de las claves. CloudTrail crea archivos de registro que contienen un historial de las llamadas a la API de AWS y de los eventos relacionados de su cuenta. Estos archivos de registro incluyen todas las solicitudes a la API de AWS KMS que se realizaron mediante la consola, los SDK de AWS y las herramientas de línea de comandos, además de aquellas realizadas a través de los servicios de AWS integrados. Puede utilizar estos archivos de registro para obtener información sobre cuándo se utilizó la clave de AWS KMS, la operación que se solicitó, la identidad del solicitante, la dirección IP de la que procedía la solicitud, etc. Para obtener más información, consulte Registro de llamadas a la API de AWS Key Management Service con AWS CloudTrail en la Guía del usuario de AWS CloudTrail.

Uso de CloudTrail para monitorear las operaciones de lenguaje de definición de datos (DDL) de Amazon Keyspaces

CloudTrail proporciona visibilidad de la actividad del usuario mediante el registro de las acciones realizadas en su cuenta. CloudTrail registra información importante acerca de cada acción, incluyendo quién hizo la solicitud, los servicios utilizados, las acciones realizadas, los parámetros de las acciones y los elementos de respuesta devueltos por el servicio de AWS. Esta información le ayuda a realizar un seguimiento de los cambios realizados en sus recursos de AWS y a solucionar problemas operativos. CloudTrail facilita la conformidad con las políticas internas y las normas reglamentarias.

Todas las operaciones DDL de Amazon Keyspaces se registran automáticamente en CloudTrail. Las operaciones DDL le permiten crear y administrar espacios de claves y tablas de Amazon Keyspaces.

Al producirse una actividad en Amazon Keyspaces, dicha actividad se registra en un evento de CloudTrail junto con otros eventos de servicios de AWS en el historial de eventos. Para obtener más información, consulte Registro de operaciones de Amazon Keyspaces mediante AWS CloudTrail. Puede ver, buscar y descargar los últimos eventos de la Cuenta de AWS. Para obtener más información, consulte Ver eventos con el historial de eventos de CloudTrail en la Guía del usuario de AWS CloudTrail.

Para mantener un registro continuo de los eventos en su Cuenta de AWS, incluyendo los eventos de Amazon Keyspaces, cree un registro de seguimiento. Un seguimiento habilita a CloudTrail a enviar archivos de registro a un bucket de Amazon Simple Storage Service (Amazon S3). De forma predeterminada, al crear un registro de seguimiento en la consola, este se aplica a todas las Regiones de AWS. El registro de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucket de S3 especificado. También es posible configurar otros servicios de AWS para analizar en profundidad y actuar en función de los datos de eventos recopilados en los registros de CloudTrail.

Etiquetado de recursos de Amazon Keyspaces para identificación y automatización

Puede asignar metadatos a los recursos de AWS en forma de etiquetas. Cada etiqueta es un simple rótulo que consta de una clave definida por el cliente y un valor opcional que puede facilitar la administración, búsqueda y filtrado de recursos.

El etiquetado permite implementar controles agrupados. Aunque no hay tipos inherentes de etiquetas, lo habilitan a clasificar los recursos según su finalidad, propietario, entorno u otros criterios. A continuación se muestran algunos ejemplos:

  • Acceso: se utiliza para controlar el acceso a los recursos de Amazon Keyspaces en función de las etiquetas. Para obtener más información, consulte Autorización basada en etiquetas de Amazon Keyspaces.

  • Seguridad: se utiliza para determinar requisitos como la configuración de la protección de datos.

  • Confidencialidad: identificador del nivel específico de confidencialidad de datos que admite un recurso.

  • Entorno: utilizado para distinguir entre el desarrollo, la prueba y la infraestructura de producción.

Para obtener más información, consulte Estrategias de etiquetado de AWS y Adición de etiquetas y rótulos a los recursos.