Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Pilar de seguridad
La seguridad en la nube es la máxima prioridad en AWS. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad. La seguridad es una responsabilidad compartida entre usted y AWS. El modelo de responsabilidad compartida
-
Seguridad de la nube: AWS es responsable de proteger la infraestructura que se ejecuta Servicios de AWS en la. Nube de AWS AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de la AWS seguridad como parte de los programas de AWS cumplimiento
. Para obtener más información sobre los programas de conformidad que se aplican a Neptune, consulte AWS Servicios incluidos en el ámbito de aplicación por programa de conformidad . -
Seguridad en la nube: su responsabilidad viene determinada por lo Servicio de AWS que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables. Para obtener más información sobre la privacidad de los datos, consulte la sección Privacidad de datos FAQs
. Para obtener información sobre la protección de datos en Europa, consulte el modelo de responsabilidad AWS compartida y la entrada del blog sobre el RGPD .
El pilar de seguridad de AWS Well-Architected Framework le ayuda a entender cómo aplicar el modelo de responsabilidad compartida cuando utiliza Neptune Analytics. En los temas siguientes se explica cómo configurar Neptune Analytics para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros Servicios de AWS que le ayuden a supervisar y proteger sus recursos de Neptune Analytics. El pilar de seguridad incluye las siguientes áreas de enfoque clave:
-
Seguridad de los datos
-
Seguridad de la red
-
Autenticación y autorización
Implementar la seguridad de los datos
Las filtraciones y filtraciones de datos ponen en riesgo a sus clientes y pueden tener un impacto negativo sustancial en su empresa. Las siguientes prácticas recomendadas ayudan a proteger los datos de sus clientes de una exposición inadvertida o malintencionada:
-
Los nombres de los gráficos, las etiquetas, las funciones de IAM y otros metadatos no deben contener información confidencial o delicada, ya que esos datos pueden aparecer en los registros de facturación o diagnóstico.
-
URIs o los enlaces a servidores externos almacenados como datos en Neptune no deben contener información sobre credenciales para validar las solicitudes.
-
Un gráfico de Neptune Analytics está cifrado en reposo. Puede utilizar la clave predeterminada o una clave AWS Key Management Service (AWS KMS) de su elección para cifrar el gráfico. También puede cifrar las instantáneas y los datos que se exportan a Amazon S3 durante la importación masiva. Puede eliminar el cifrado cuando se complete la importación.
-
Cuando utilice el lenguaje OpenCypher, practique las técnicas adecuadas de validación y parametrización de las entradas para evitar la inyección de código SQL y otras formas de ataques. Evite crear consultas que utilicen la concatenación de cadenas con entradas proporcionadas por el usuario. Utilice consultas parametrizadas o sentencias preparadas para pasar de forma segura los parámetros de entrada a la base de datos de gráficos. Para obtener más información, consulte Ejemplos de consultas parametrizadas de OpenCypher en la documentación de Neptune.
Proteja sus redes
Puede habilitar un gráfico de Neptune Analytics para la conectividad pública, de modo que se pueda acceder a él desde fuera de una nube privada virtual (VPC). Esta conectividad está deshabilitada de forma predeterminada. El gráfico requiere la autenticación de IAM. La persona que llama debe obtener una identidad y tener permisos para usar el gráfico. Por ejemplo, para ejecutar una consulta de OpenCypher, la persona que llama debe tener permisos de lectura, escritura o eliminación en el gráfico específico.
También puede crear puntos finales privados para que el gráfico acceda al gráfico desde una VPC. Al crear el punto final, se especifican la VPC, las subredes y los grupos de seguridad para restringir el acceso para llamar al gráfico.
Para proteger los datos en tránsito, Neptune Analytics aplica conexiones SSL a través de HTTPS al gráfico. Para obtener más información, consulte Protección de datos en Neptune Analytics en la documentación de Neptune Analytics.
Implemente la autenticación y la autorización
Las llamadas a un gráfico de Neptune Analytics requieren autenticación de IAM. La persona que llama debe obtener una identidad y poseer los permisos suficientes para realizar la acción en el gráfico. Para obtener descripciones de las acciones de la API y sus permisos necesarios, consulte la documentación de la API de Neptune Analytics. Puede aplicar controles de estado para restringir el acceso por etiqueta.
La autenticación de IAM utiliza el protocolo AWS Signature versión 4 (SiGv4). Para simplificar el uso desde su aplicación, le recomendamos que utilice un AWS
SDK.
Al cargar datos en el gráfico, la carga por lotes utiliza las credenciales de IAM de la persona que llama. La persona que llama debe tener permisos para descargar datos de Amazon S3 con la relación de confianza configurada para que Neptune Analytics pueda asumir la función de cargar los datos en el gráfico desde los archivos de Amazon S3.
La importación masiva puede realizarse durante la creación del gráfico (por el equipo de infraestructura) o en un gráfico vacío existente (por el equipo de ingeniería de datos que tiene permisos para iniciar las tareas de importación). En ambos casos, Neptune Analytics asume la función de IAM que la persona que llama proporciona como entrada. Esta función le da permiso para leer y enumerar el contenido de la carpeta Amazon S3 en la que se almacenan los datos de entrada.
