Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Mejores prácticas de cifrado para AWS Encryption SDK
El AWS Encryption SDK es una biblioteca de cifrado del cliente de código abierto. Utiliza los estándares del sector y las mejores prácticas para respaldar la implementación y la interoperabilidad en varios lenguajes de programación. AWS Encryption SDK cifra los datos mediante un algoritmo de clave simétrica, autenticado y seguro, y ofrece una implementación predeterminada que se ajusta a las mejores prácticas de criptografía. Para obtener más información, consulte los Conjuntos de algoritmos admitidos en el AWS Encryption SDK.
Una de las principales características del AWS Encryption SDK es la compatibilidad con el cifrado de los datos en uso. Al adoptar un encrypt-then-use enfoque, puede cifrar los datos confidenciales antes de que la lógica de la aplicación los procese. Esto puede ayudar a proteger los datos de una posible exposición o manipulación, incluso si la propia aplicación se ve afectada por un problema de seguridad.
Tenga en cuenta las siguientes prácticas recomendadas para este servicio:
-
Cumpla con todas las recomendaciones de las Prácticas recomendadas para el AWS Encryption SDK.
-
Seleccione una o más claves de encapsulamiento para ayudar a proteger sus claves de datos. Para obtener más información, consulte Seleccionar las claves de encapsulamiento.
-
Transfiera el
KeyIdparámetro a la ReEncryptoperación para evitar el uso de una clave KMS que no sea de confianza. Para obtener más información, consulte Cifrado mejorado del lado del cliente: compromiso explícito KeyIds y clave(AWS entrada del blog). -
Cuando utilice el AWS Encryption SDK con AWS KMS, utilice el filtrado local
KeyId. Para obtener más información, consulte Cifrado mejorado del lado del cliente: compromiso explícito KeyIds y clave(entrada del AWS blog). -
Para las aplicaciones con grandes volúmenes de tráfico que requieren cifrado o descifrado, o si su cuenta supera las cuotas de AWS KMS solicitudes, puede utilizar la función de almacenamiento en caché de claves de datos del. AWS Encryption SDK Tenga en cuenta las siguientes prácticas recomendadas para el almacenamiento en caché de las claves de datos:
-
Configure los umbrales de seguridad de la caché para limitar el tiempo durante el cual se utiliza cada clave de datos almacenada en caché, así como la cantidad de datos que se protegen con cada una de ellas. Para obtener recomendaciones a la hora de configurar estos umbrales, consulte Configuración de los umbrales de seguridad de la caché.
-
Limite la caché local a la cantidad mínima de claves de datos necesaria a fin de lograr las mejoras de rendimiento para el caso de uso específico de su aplicación. Para obtener instrucciones y un ejemplo de cómo configurar los límites de la caché local, consulte Uso del almacenamiento en caché de claves de datos:. Step-by-step
Para obtener más información, consulte AWS Encryption SDK: Cómo decidir si el almacenamiento en caché de claves de datos es adecuado para su aplicación
(entrada del AWS blog). -
