Protección de datos en las pruebas de aplicaciones AWS de modernización de mainframe - AWS Modernización de mainframe

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en las pruebas de aplicaciones AWS de modernización de mainframe

Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Usted es responsable de mantener el control sobre el contenido alojado en esta infraestructura. Usted también es responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el Modelo de responsabilidad compartida de AWS y GDPR en el Blog de seguridad de AWS .

Le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). Como resultado, a cada usuario se le otorgan únicamente los permisos necesarios para cumplir con sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

  • Utilice la autenticación multifactor (MFA) en cada cuenta.

  • Utilice SSL/TLS para comunicarse con los recursos. AWS Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.

  • Configure la API y el registro de actividad de los usuarios con. AWS CloudTrail

  • Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.

  • Utilice servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.

  • Si necesita módulos criptográficos validados por FIPS 140-2 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte Estándar de procesamiento de la información federal (FIPS) 140-2.

Le recomendamos que evite utilizar información confidencial o delicada, como las direcciones de correo electrónico de sus clientes, en etiquetas o campos de texto de formato libre (por ejemplo, el campo Nombre). Esto incluye cuando trabaja con las pruebas de aplicaciones de modernización de AWS mainframes o cuando Servicios de AWS utiliza la consola, la API o AWS los AWS CLI SDK. Todos los datos que introduzca en las etiquetas o en los campos de texto de formato libre utilizados para los nombres se pueden utilizar en los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, evite usar la información de credenciales en la URL para validar su solicitud a ese servidor.

Datos recopilados mediante las pruebas de la aplicación de modernización AWS del mainframe

AWS Las pruebas de aplicaciones de modernización del mainframe recopilan varios tipos de datos sobre usted:

  • Resource definition: La definición de recurso indica los datos que se pasan a Application Testing al crear o actualizar un recurso del tipo caso de prueba, conjunto de pruebas o configuración de prueba.

  • Scripts for replay: Se trata de scripts que se pasan a Application Testing para su aplicación de modernización AWS del mainframe.

  • Data for comparison: Se trata de conjuntos de datos o archivos de captura de datos modificados en bases de datos (CDC) que se pasan a Application Testing para su comparación.

AWS Las pruebas de aplicaciones de modernización del mainframe almacenan estos datos de forma nativa en. AWS Los datos que recopilamos sobre usted se almacenan en un bucket Amazon S3 de Amazon S3 gestionado por las pruebas de aplicaciones de modernización del AWS mainframe. Al eliminar un recurso, los datos asociados se eliminan del bucket de Amazon S3.

Al iniciar una ejecución de prueba para reproducir cargas de trabajo interactivas, AWS Mainframe Modernization Application Testing descarga el script en un contenedor Fargate gestionado por Amazon ECS y respaldado por almacenamiento efímero para realizar la reproducción. El archivo de script se elimina una vez finalizada la reproducción y el archivo de salida generado por el script se almacena en el bucket Amazon S3 gestionado por Application Testing de su cuenta. El archivo de salida de la reproducción se elimina del bucket de Amazon S3 al eliminar la ejecución de la prueba.

Del mismo modo, al iniciar una ejecución de prueba para comparar archivos (conjuntos de datos o cambios en la base de datos), AWS Mainframe Modernization Application Testing descarga los archivos a un contenedor Fargate gestionado por Amazon ECS y respaldado por almacenamiento efímero para realizar la comparación. Los archivos descargados se eliminan en cuanto finaliza la operación de comparación. Los datos de salida de la comparación se almacenan en el bucket Amazon S3 de su cuenta gestionado por Application Testing. Los datos de salida se eliminan del bucket de S3 al eliminar la ejecución de la prueba.

Puede utilizar todas las opciones de cifrado de Amazon S3 disponibles para proteger sus datos al colocarlos en el depósito de Amazon S3 que las pruebas de aplicaciones de modernización de AWS mainframe utilizan para comparar archivos.

El cifrado de datos en reposo para las pruebas de la aplicación de modernización AWS del mainframe

AWS Las pruebas de aplicaciones de modernización del mainframe se integran con AWS Key Management Service (KMS) para proporcionar un cifrado transparente del lado del servidor (SSE) en todos los recursos dependientes que almacenan datos de forma permanente. Entre los ejemplos de recursos se incluyen Amazon Simple Storage Service, Amazon DynamoDB y Amazon Elastic Block Store. AWS Las pruebas de aplicaciones de modernización de mainframe crean y administran AWS KMS claves de cifrado simétricas para usted. AWS KMS

El cifrado de los datos en reposo de forma predeterminada ayuda a reducir la sobrecarga operativa y la complejidad que implica la protección de los datos confidenciales. Al mismo tiempo, le permite probar aplicaciones que requieren estrictos requisitos normativos y de conformidad con el cifrado.

No puede deshabilitar esta capa de cifrado ni seleccionar un tipo de cifrado alternativo al crear casos de prueba, conjuntos de pruebas o configuraciones de prueba.

Puede utilizar su propia clave gestionada por el cliente para los archivos y AWS CloudFormation plantillas de comparación a fin de cifrar Amazon S3. Puede usar esta clave para cifrar todos los recursos creados para las pruebas en Application Testing.

nota

Los recursos de DynamoDB siempre se cifran mediante Clave administrada de AWS una cuenta de servicio en Application Testing. No se pueden cifrar los recursos de DynamoDB con una clave administrada por el cliente.

AWS Las pruebas de aplicaciones de modernización de mainframe utilizan la clave administrada por el cliente para las siguientes tareas:

  • Exportación de conjuntos de datos de Application Testing a Amazon S3.

  • Carga de archivos de resultados de comparación a Amazon S3.

Para más información, consulte las claves administradas por el cliente en la Guía para desarrolladores de AWS Key Management Service .

Crear una clave administrada por el cliente

Puede crear una clave simétrica gestionada por el cliente mediante las API AWS Management Console o las AWS KMS API.

Para crear una clave simétrica administrada por el cliente

Siga los pasos para crear una clave simétrica gestionada por el cliente que se indican en la Guía para desarrolladores de AWS Key Management Service .

Política de claves

Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave.

El siguiente es un ejemplo de política clave de acceso limitado ViaService que permite a Application Testing escribir en su cuenta datos generados por la reproducción y la comparación. Debes adjuntar esta política a la función de IAM cuando invoques la API. StartTestRun

{ "Sid": "TestRunKmsPolicy", "Action": ["kms:Decrypt", "kms:GenerateDataKey"], "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/TestRunRole" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": ["s3.amazonaws.com"] }, "ForAnyValue:StringEquals": { "kms:EncryptionContextKeys": "aws:apptest:testrun" } } }

Para obtener más información, consulte Administración del acceso a las claves en la Guía para desarrolladores de AWS Key Management Service .

Para obtener información sobre la solución de problemas de acceso a las claves, consulte la Guía para desarrolladores de AWS Key Management Service .

Especificar una clave administrada por el cliente para las pruebas de aplicaciones de AWS modernización del mainframe

Al crear una configuración de prueba, puede especificar una clave administrada por el cliente introduciendo un ID de clave. Las pruebas de aplicaciones se utilizan para cifrar los datos cargados en el bucket de Amazon S3 durante la ejecución de la prueba.

  • ID DE CLAVE: identificador de clave para una clave administrada por el cliente. Introduzca el ID de la clave, el ARN de la clave, el nombre de alias o el ARN del alias.

Para añadir la clave gestionada por el cliente al crear una configuración de prueba con el AWS CLI, especifique el kmsKeyId parámetro de la siguiente manera:

create-test-configuration --name test \ --resources '[{ "name": "TestApplication", "type": { "m2ManagedApplication": { "applicationId": "wqju4m2dcz3rhny5fpdozrsdd4", "runtime": "MicroFocus" } } }]' \ --service-settings '{ "kmsKeyId": "arn:aws:kms:us-west-2:111122223333:key/05d467z6-c42d-40ad-b4b7-274e68b14013" }'

AWS Contexto de cifrado de pruebas de aplicaciones de modernización de mainframe

Un contexto de cifrado es un conjunto opcional de pares clave-valor que pueden contener información contextual adicional sobre los datos.

AWS KMS utiliza el contexto de cifrado como datos autenticados adicionales para respaldar el cifrado autenticado. Al incluir un contexto de cifrado en una solicitud de cifrado de datos, AWS KMS vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe incluir el mismo contexto de cifrado en la solicitud.

AWS Modernización del mainframe: aplicación, prueba, contexto de cifrado

AWS Las pruebas de aplicaciones de modernización de mainframes utilizan el mismo contexto de cifrado en todas las operaciones AWS KMS criptográficas relacionadas con una ejecución de prueba, donde la clave es aws:apptest:testrun y el valor es el identificador único de la ejecución de la prueba.

"encryptionContext": { "aws:apptest:testrun": "u3qd7uhdandgdkhhi44qv77iwq" }

Uso del contexto de cifrado para la supervisión

Cuando utiliza una clave simétrica gestionada por el cliente para cifrar la ejecución de la prueba, también puede utilizar el contexto de cifrado en los registros y registros de auditoría para identificar cómo se utiliza la clave gestionada por el cliente al cargar datos en Amazon S3.

Supervisión de las claves de cifrado para las pruebas de las aplicaciones de modernización del AWS mainframe

Cuando utiliza una clave gestionada por el AWS KMS cliente con sus recursos de pruebas de aplicaciones de modernización de AWS mainframe, puede utilizarla AWS CloudTrailpara realizar un seguimiento de las solicitudes que las pruebas de aplicaciones de modernización de AWS mainframe envían a Amazon S3 al cargar objetos.

Cifrado en tránsito

En los casos de prueba en los que se definen los pasos para probar las cargas de trabajo transaccionales, los intercambios de datos entre el emulador de terminal gestionado por Application Testing que ejecuta sus scripts de selenio y los puntos finales de la aplicación AWS Mainframe Modernization no se cifran en tránsito. AWS Las pruebas de aplicaciones de modernización del mainframe se utilizan AWS PrivateLink para conectarse al punto final de la aplicación para intercambiar datos de forma privada sin exponer el tráfico a través de la Internet pública.

AWS Las pruebas de aplicaciones de modernización de mainframes utilizan HTTPS para cifrar las API del servicio. Todas las demás comunicaciones dentro de las pruebas de aplicaciones de modernización del AWS mainframe están protegidas por la VPC del servicio o el grupo de seguridad, así como por HTTPS.

El cifrado básico en tránsito está configurado de forma predeterminada, pero no se aplica a las pruebas de carga de trabajo interactivas basadas en TN3270 protocolos.