AWSGlosario de orientación prescriptiva

Los siguientes son términos de uso común en las estrategias, guías y patrones proporcionados porAWSOrientación prescriptiva. Para sugerir entradas, utilice elEnvíe sus comentariosenlace al final del glosario.

Términos de seguridad

control de acceso basado en atributos (ABAC)

La práctica de crear permisos detallados basados en los atributos del usuario, como el departamento, el puesto de trabajo y el nombre del equipo. Para obtener más información, consulteABAC paraAWSen elAWS Identity and Access Management(IAM) en la documentación.

cifrado asimétrico

Algoritmo de cifrado que utiliza un par de claves, una clave pública para el cifrado y una clave privada para el descifrado. Puede compartir la clave pública porque no se utiliza para el descifrado, pero el acceso a la clave privada debe estar muy restringido.

gráfico de comportamiento

Una visión unificada e interactiva del comportamiento y las interacciones de los recursos a lo largo del tiempo. Puede utilizar un gráfico de comportamiento con Amazon Detective para examinar los intentos de inicio de sesión fallidos, las llamadas sospechosas a la API y acciones similares. Para obtener más información, consulteDatos de un gráfico de comportamientoen la documentación del detective.

cifrado de lado del cliente

Cifrado de datos localmente, antes del objetivoServicio de AWSlo recibe.

paquete de conformidad

Una colección deAWS Configreglas y acciones correctivas que puede reunir para personalizar sus comprobaciones de conformidad y seguridad. Puede implementar un paquete de conformidad como una sola entidad en unCuenta de AWSy región, o en toda una organización, mediante una plantilla YAML. Para obtener más información, consultaPaquetes de conformidaden elAWS Configdocumentación.

datos en reposo

Datos estacionarios en la red, como los datos almacenados.

clasificación de datos

Un proceso para identificar y clasificar los datos de la red en función de su criticidad y sensibilidad. Es un componente fundamental de cualquier estrategia de gestión de riesgos de ciberseguridad porque le ayuda a determinar los controles de protección y retención adecuados para los datos. La clasificación de los datos es un componente del pilar de seguridad delAWSUn marco bien diseñado. Para obtener más información, consulteClasificación de datos.

datos en tránsito

Datos que se mueven activamente por la red, por ejemplo, entre los recursos de la red.

defense-in-depth

Un enfoque de seguridad de la información en el que se distribuyen cuidadosamente una serie de mecanismos y controles de seguridad en una red informática para proteger la confidencialidad, la integridad y la disponibilidad de la red y de los datos que contiene. Al adoptar esta estrategia enAWS, se añaden varios controles en diferentes capas delAWS Organizationsestructura para ayudar a proteger los recursos.

administrador delegado

EnAWS Organizations, un servicio compatible puede registrar unAWScuenta de miembro para administrar las cuentas de la organización y gestionar los permisos para ese servicio. Esta cuenta se denominaadministrador delegadopara ese servicio. Para obtener más información y una lista de servicios compatibles, consulteServicios que funcionan conAWS Organizationsen elAWS Organizationsdocumentación.

control detectivesco

Control de seguridad diseñado para detectar, registrar y emitir alertas después de que se produzca un evento. Estos controles son una segunda línea de defensa, ya que le alertan de los eventos de seguridad que han eludido los controles preventivos establecidos. Para obtener más información, consulteControles de detecciónenImplementación de controles de seguridad enAWS.

clave de cifrado

Cadena criptográfica de bits aleatorios generada por un algoritmo de cifrado. Las claves pueden variar en longitud y cada clave está diseñada para ser impredecible y única.

servicio de punto final

Un servicio que puede alojar en una nube privada virtual (VPC) para compartirlo con otros usuarios. Puede crear un servicio de punto final conAWS PrivateLinky conceder permisos a otrosCuentas de AWSo a los directores de IAM. Estas cuentas o entidades principales pueden conectarse a su servicio de puntos finales de forma privada mediante la creación de puntos finales de VPC de interfaz. Para obtener más información, consulteCree un servicio de punto finalen la documentación de Amazon VPC.

cifrado doble

Proceso de cifrar una clave de cifrado con otra clave de cifrado. Para obtener más información, consulteCifrado sobreen elAWS Key Management Service(AWS KMS) documentación.

restricciones geográficas (bloqueo geográfico)

En AmazonCloudFront, una opción para impedir que los usuarios de países específicos accedan a las distribuciones de contenido. Puedes usar una lista de permitidos o una lista de bloqueados para especificar los países aprobados y prohibidos. Para obtener más información, consulteRestringir la distribución geográfica de su contenidoen elCloudFrontdocumentación.

barandilla

Una regla de alto nivel que ayuda a regular los recursos, las políticas y el cumplimiento en todas las unidades organizativas (OU). Barandillas preventivasaplique políticas para garantizar la alineación con los estándares de cumplimiento. Se implementan mediante políticas de control de servicios y límites de permisos de IAM. Barandillas de deteccióndetecten las infracciones de las políticas y los problemas de conformidad, y generen alertas para su corrección. Se implementan mediante el uso deAWS Config,AWS Security Hub, AmazonGuardDuty,AWS Trusted Advisor, Amazon Inspector y personalizadoAWS Lambdacheques.

política basada en la identidad

Una política asociada a uno o más directores de IAM que define sus permisos dentro delNube de AWSentorno.

VPC entrante (de entrada)

En unaAWSarquitectura multicuenta, una VPC que acepta, inspecciona y enruta las conexiones de red desde fuera de una aplicación. LaAWSArquitectura de referencia de seguridadrecomienda configurar su cuenta de red con VPC entrantes, salientes y de inspección para proteger la interfaz bidireccional entre su aplicación e Internet en general.

inspección (VPC)

En unAWSarquitectura multicuenta, una VPC centralizada que gestiona las inspecciones del tráfico de red entre VPC (en la misma o en diferentes VPC)Regiones de AWS), Internet y redes locales. ElAWSArquitectura de referencia de seguridadrecomienda configurar su cuenta de red con VPC entrantes, salientes y de inspección para proteger la interfaz bidireccional entre su aplicación e Internet en general.

privilegio mínimo

La mejor práctica de seguridad consistente en conceder los permisos mínimos necesarios para realizar una tarea. Para obtener más información, consulteAplicar permisos con privilegios mínimosen la documentación de IAM.

cuenta miembro

TodosCuentas de AWSdistintas de las cuentas de administración que forman parte de una organización enAWS Organizations. Una cuenta no puede pertenecer a más de una organización a la vez.

registro de la organización

Un sendero creado porAWS CloudTrailque registra todos los eventos para todosCuentas de AWSen una organización enAWS Organizations. Este sendero se crea en cadaCuenta de AWSforma parte de la organización y realiza un seguimiento de la actividad en cada cuenta. Para obtener más información, consulteCrear una ruta para una organizaciónen elCloudTraildocumentación.

VPC saliente (de salida)

En unaAWSarquitectura multicuenta, una VPC que gestiona las conexiones de red que se inician desde una aplicación. LaAWSArquitectura de referencia de seguridadrecomienda configurar su cuenta de red con VPC entrantes, salientes y de inspección para proteger la interfaz bidireccional entre su aplicación e Internet en general.

control de acceso de origen (OAC)

EnCloudFront, una opción mejorada para restringir el acceso y proteger el contenido de Amazon Simple Storage Service (Amazon S3). OAC es compatible con todos los buckets de S3 en todosRegiones de AWS, cifrado del lado del servidor conAWS KMS(SSE-KMS) y dinámicoPUTyDELETEsolicitudes al depósito S3.

identidad de acceso de origen (OAI)

EnCloudFront, una opción para restringir el acceso a fin de proteger su contenido de Amazon S3. Cuando utiliza la OAI,CloudFrontcrea un principio con el que Amazon S3 puede autenticarse. Los directores autenticados solo pueden acceder al contenido de un bucket de S3 a través de un depósito específicoCloudFrontdistribución. Véase tambiénOAC, que proporciona un control de acceso más detallado y mejorado.

límite de permisos

Una política de administración de IAM que se adjunta a los principios de IAM para establecer los permisos máximos que puede tener el usuario o el rol. Para obtener más información, consulteLímites de permisosen la documentación de IAM.

política

Un objeto que puede definir permisos (consultepolítica basada en la identidad), especifique las condiciones de acceso (consultepolítica basada en los recursos) o defina los permisos máximos para todas las cuentas de una organización enAWS Organizations(consultepolítica de control de servicios).

control preventivo

Un control de seguridad diseñado para evitar que ocurra un evento. Estos controles son la primera línea de defensa para evitar el acceso no autorizado o los cambios no deseados en la red. Para obtener más información, consulteControles preventivosenImplementación de controles de seguridad enAWS.

principal

Una entidad de AWS que puede realizar acciones y obtener acceso a los recursos. Esta entidad suele ser un usuario root de unCuenta de AWS, un rol de IAM o un usuario. Para obtener más información, consulteDirectorenFunciones, términos y conceptosen la documentación de IAM.

ransomware

Software malicioso diseñado para bloquear el acceso a un sistema informático o a los datos hasta que se efectúe un pago.

política basada en los recursos

Una política asociada a un recurso, como un bucket de Amazon S3, un punto final o una clave de cifrado. Este tipo de política especifica a qué entidades principales se les permite el acceso, las acciones compatibles y cualquier otra condición que deba cumplirse.

control responsivo

Un control de seguridad diseñado para corregir los eventos adversos o las desviaciones con respecto a su base de seguridad. Para obtener más información, consulteControles responsivosenImplementación de controles de seguridad enAWS.

SAML 2.0

Un estándar abierto que muchos proveedores de identidad (IdPs) utilizan. Esta función habilita el inicio de sesión único (SSO) federado, de modo que los usuarios pueden iniciar sesión enAWS Management Consoleo llame alAWSLa API funciona sin tener que crear un usuario en IAM para todos los miembros de su organización. Para obtener más información sobre la federación basada en SAML 2.0, consulteAcerca de la federación basada en SAML 2.0en la documentación de IAM.

control de seguridad

Una barrera técnica o administrativa que impide, detecta o reduce la capacidad de un actor de amenazas para aprovechar una vulnerabilidad de seguridad. Existen tres tipos principales de controles de seguridad:preventivo,detective, ysensible.

endurecimiento de la seguridad

Proceso de reducir la superficie de ataque para hacerla más resistente a los ataques. Esto puede incluir acciones como la eliminación de los recursos que ya no se necesitan, la implementación de la mejor práctica de seguridad consistente en conceder los privilegios mínimos o la desactivación de funciones innecesarias en los archivos de configuración.

sistema de información de seguridad y gestión de eventos (SIEM)

Herramientas y servicios que combinan sistemas de gestión de información de seguridad (SIM) y gestión de eventos de seguridad (SEM). Un sistema SIEM recopila, monitorea y analiza los datos de servidores, redes, dispositivos y otras fuentes para detectar amenazas y brechas de seguridad y generar alertas.

cifrado del lado del servidor

Cifrado de los datos en su destino, mediante elServicio de AWSque lo recibe.

política de control de servicios (SCP)

Política que proporciona un control centralizado de los permisos de todas las cuentas de una organización enAWS Organizations. Los SCP definen barreras o establecen límites a las acciones que un administrador puede delegar en los usuarios o funciones. Puede utilizar los SCP como listas de permitidos o rechazados para especificar qué servicios o acciones están permitidos o prohibidos. Para obtener más información, consultePolíticas de control de serviciosen elAWS Organizationsdocumentación.

modelo de responsabilidad compartida

Un modelo que describa la responsabilidad con la que compartesAWSpara garantizar la seguridad y el cumplimiento de normas en la nube.AWSes responsable de la seguridaddela nube, mientras que usted es responsable de la seguridadenla nube. Para obtener más información, consulte el Modelo de responsabilidad compartida.

cifrado simétrico

Un algoritmo de cifrado que utiliza la misma clave para cifrar y descifrar los datos.

acceso de confianza

Otorgar permisos a un servicio que especifique para realizar tareas en su organización enAWS Organizationsy en sus cuentas en tu nombre. El servicio de confianza crea un rol vinculado al servicio en cada cuenta, cuando ese rol es necesario, para realizar las tareas de administración por ti. Para obtener más información, consulteUtilizandoAWS Organizationscon otrosAWSserviciosen elAWS Organizationsdocumentación.

carga de trabajo

Conjunto de recursos y códigos que aportan valor empresarial, como una aplicación orientada al cliente o un proceso de back-end.