Tema 5: Establecer un perímetro de datos - AWS Guía prescriptiva
Prácticas recomendadas relacionadas:Implementación de este temaSupervisar este tema

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tema 5: Establecer un perímetro de datos

Se describen ocho estrategias esenciales

Restrinja los privilegios administrativos

Un perímetro de datos es un conjunto de barreras preventivas en su AWS entorno que ayudan a garantizar que solo las identidades confiables accedan a los recursos confiables de las redes esperadas. Estas barreras sirven como límites permanentes que ayudan a proteger sus datos en un amplio conjunto de recursos. Cuentas de AWS Estas barreras que se extienden a toda la organización no sustituyen a los controles de acceso detallados existentes. Por el contrario, ayudan a mejorar la estrategia de seguridad al garantizar que todos los usuarios, funciones y recursos AWS Identity and Access Management (de IAM) cumplan con un conjunto de normas de seguridad definidas.

Puede establecer un perímetro de datos mediante políticas que impidan el acceso desde fuera de los límites de una organización, que normalmente se crean en AWS Organizations. Las tres condiciones principales de autorización perimetral que se utilizan para establecer un perímetro de datos son:

  • Identidades confiables: responsables (funciones o usuarios de IAM) que actúan en su nombre Cuentas de AWS o que Servicios de AWS actúan en su nombre.

  • Recursos confiables: recursos que están en su poder Cuentas de AWS o que se administran Servicios de AWS actuando en su nombre.

  • Redes esperadas: sus centros de datos locales y sus nubes privadas virtuales (VPCs), o las redes que Servicios de AWS actúan en su nombre.

Considere la posibilidad de implementar perímetros de datos entre entornos de diferentes clasificaciones de datos, OFFICIAL:SENSITIVE o PROTECTED diferentes niveles de riesgo, como el desarrollo, las pruebas o la producción. Para obtener más información, consulte Creación de un perímetro de datos en AWS (AWS documento técnico) y Establecimiento de un perímetro de datos en AWS: descripción general (AWS entrada del blog).

Mejores prácticas relacionadas en el AWS Well-Architected Framework

Implementación de este tema

Implemente controles de identidad

  • Permita que solo las identidades confiables accedan a sus recursos: utilice políticas basadas en recursos con las claves aws:PrincipalOrgID de condición y. aws:PrincipalIsAWSService Esto permite que solo los directores de su AWS organización y de origen accedan AWS a sus recursos.

  • Permita identidades confiables solo de su red: use políticas de puntos finales de VPC con las claves aws:PrincipalOrgID de condición y. aws:PrincipalIsAWSService Esto permite que solo los directores de su AWS organización y desde accedan AWS a los servicios a través de los puntos de enlace de la VPC.

Implemente controles de recursos

  • Permita que sus identidades accedan solo a recursos confiables: use las políticas de control de servicios (SCPs) con la clave de condiciónaws:ResourceOrgID. Esto permite que sus identidades accedan solo a los recursos de su AWS organización.

  • Permita el acceso a recursos confiables solo desde su red: use políticas de puntos finales de VPC con la clave de condición. aws:ResourceOrgID Esto permite que sus identidades accedan a los servicios únicamente a través de los puntos finales de VPC que forman parte de su organización. AWS

Implemente controles de red

  • Permita que las identidades accedan a los recursos solo desde las redes esperadas: utilícelo SCPs con las claves de condición aws:SourceIp aws:SourceVpcaws:SourceVpce,, yaws:ViaAWSService. Esto permite que sus identidades accedan a los recursos solo desde las direcciones IP esperadas y los puntos finales de VPC, y desde allí. VPCs Servicios de AWS

  • Permita el acceso a sus recursos solo desde las redes esperadas: utilice políticas basadas en recursos con las claves de condiciónaws:SourceIp,aws:SourceVpc, aws:SourceVpce y. aws:ViaAWSService aws:PrincipalIsAWSService Esto permite el acceso a sus recursos solo desde los puntos de enlace de VPC IPs esperados VPCs, esperados o esperados Servicios de AWS, hasta o cuando la identidad de llamada sea una. Servicio de AWS

Supervisar este tema

Supervisión de políticas

  • Implemente mecanismos de revisión SCPs, políticas de IAM y políticas de puntos finales de VPC

Implemente las siguientes reglas AWS Config

  • SERVICE_VPC_ENDPOINT_ENABLED