Prácticas recomendadas de cifrado para Amazon DynamoDB - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas de cifrado para Amazon DynamoDB

Amazon DynamoDB es un servicio de base de datos de NoSQL completamente administrado que ofrece un rendimiento rápido, predecible y escalable. El cifrado en reposo de DynamoDB protege los datos en una tabla cifrada que incluye su clave principal, los índices secundarios locales y globales, las transmisiones, las tablas globales, las copias de seguridad y los clústeres de DynamoDB Accelerator (DAX) siempre que los datos se almacenen en un soporte duradero.

De acuerdo con los requisitos de clasificación de datos, la confidencialidad y la integridad de los datos se pueden mantener mediante la implementación del cifrado del cliente y del servidor:

En el caso del cifrado del servidor, al crear una tabla nueva, puede utilizar AWS KMS keys para cifrar la tabla. Puede usar claves AWS propias, claves administradas o claves AWS administradas por el cliente. Recomendamos utilizar claves administradas por el cliente porque su organización tiene el control total de la clave y porque cuando se utiliza este tipo de clave, la clave de cifrado a nivel de tabla, la tabla de DynamoDB, los índices secundarios locales y globales, y las transmisiones se cifran con la misma clave. Para obtener más información sobre estos tipos de claves, consulte Claves y AWS claves del cliente.

nota

Puede cambiar entre una clave propia, una clave AWS AWS gestionada y una clave gestionada por el cliente en cualquier momento.

Para el cifrado del lado del cliente y la end-to-end protección de los datos, tanto en reposo como en tránsito, puede utilizar el cliente de cifrado Amazon DynamoDB. Además del cifrado, que protege la confidencialidad del valor del atributo del elemento, el Cliente de encriptación de DynamoDB firma el elemento. Esto brinda protección de la integridad al permitir la detección de cambios no autorizados en el elemento, incluida la adición o eliminación de atributos o la sustitución de un valor cifrado por otro.

Tenga en cuenta las siguientes prácticas recomendadas de cifrado para este servicio:

  • Limite los permisos a fin de deshabilitar o programar la eliminación de la clave solo para aquellos que necesiten realizar estas tareas. Estos estados impiden que todos los usuarios y el servicio DynamoDB puedan cifrar o descifrar datos y realizar operaciones de lectura y escritura en la tabla.

  • Si bien DynamoDB cifra los datos en tránsito mediante HTTPS de forma predeterminada, se recomiendan controles de seguridad adicionales. Puede utilizar cualquiera de las siguientes opciones:

    • AWS Site-to-Site VPN conexión que se utiliza para el cifrado. IPsec

    • AWS Direct Connect conexión para establecer una conexión privada.

    • AWS Direct Connect conexión con AWS Site-to-Site VPN conexión para una IPsec conexión privada cifrada.

    • Si se requiere el acceso a DynamoDB solo desde una nube privada virtual (VPC), puede utilizar un punto de conexión de puerta de enlace de VPC y permitir que solo los recursos de la VPC puedan acceder. Esto evita que el tráfico atraviese la Internet pública.

  • Si utiliza puntos de conexión de VPC, restrinja las políticas de punto de conexión y las políticas de IAM asociadas al punto de conexión solo a los usuarios, recursos y servicios autorizados. Para obtener más información, consulte Control del acceso a los puntos de conexión de DynamoDB mediante políticas de IAM y Control del acceso a los servicios mediante políticas de punto de conexión.

  • Puede implementar el cifrado de datos a nivel de columna al nivel de la aplicación para los datos que requieren cifrado, de acuerdo con su política de cifrado.

  • Configure los clústeres de DAX para cifrar los datos en reposo, como los datos de la caché, los datos de configuración y los archivos de registro, al momento de configurar el clúster. No puede habilitar el cifrado en reposo en un clúster existente. Este cifrado del servidor ayuda a proteger los datos del acceso no autorizado a través del almacenamiento subyacente. El cifrado de DAX en reposo se integra automáticamente con AWS KMS para administrar la clave predeterminada de servicio único que se utiliza para cifrar los clústeres. Si no existe una clave predeterminada del servicio cuando se crea un clúster de DAX cifrado, crea AWS KMS automáticamente una nueva clave administrada. AWS Para obtener más información, consulte Cifrado de DAX en reposo.

    nota

    Las claves administradas por el cliente no se pueden utilizar con los clústeres de DAX.

  • Configure los clústeres de DAX para cifrar los datos en tránsito al momento de configurar el clúster. No puede habilitar el cifrado en tránsito en un clúster existente. DAX utiliza TLS para cifrar las solicitudes y respuestas entre la aplicación y el clúster, y utiliza el certificado x509 del clúster para autenticar la identidad del clúster. Para obtener más información, consulte Cifrado de DAX en tránsito.

  • En AWS Config, implemente la regla dax-encryption-enabled AWS administrada para validar y mantener el cifrado de los clústeres de DAX.