Unidad organizativa de infraestructura: cuenta de red - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Unidad organizativa de infraestructura: cuenta de red

Nos encantaría saber de ti. Envíe sus comentarios sobre la AWS PRA mediante una breve encuesta.

En la cuenta de red, usted administra las redes entre sus nubes privadas virtuales (VPC) e Internet en general. En esta cuenta, puedes implementar amplios mecanismos de control de la divulgación mediante AWS WAF, use AWS Resource Access Manager (AWS RAM) para compartir subredes y AWS Transit Gateway archivos adjuntos de VPC, y usar Amazon CloudFront para respaldar el uso específico de los servicios. Para obtener más información sobre esta cuenta, consulte la Arquitectura de referencia AWS de seguridad (AWS SRA). El siguiente diagrama ilustra los servicios AWS de seguridad y privacidad que están configurados en la cuenta de red.

Servicios de AWS desplegados en la cuenta de red de la unidad organizativa de infraestructura.

En esta sección se proporciona información más detallada sobre lo siguiente Servicios de AWS que se utiliza en esta cuenta:

Amazon CloudFront

Amazon CloudFront admite restricciones geográficas para las aplicaciones frontend y el alojamiento de archivos. CloudFrontpuede entregar contenido a través de una red mundial de centros de datos que se denominan ubicaciones periféricas. Cuando un usuario solicita el contenido con el que estás publicando CloudFront, la solicitud se redirige a la ubicación perimetral que ofrezca la latencia más baja. Para obtener más información sobre cómo se utiliza este servicio en un contexto de seguridad, consulte la Arquitectura de referencia AWS de seguridad.

Puede utilizar restricciones CloudFront geográficas para impedir que los usuarios de ubicaciones geográficas específicas accedan al contenido que está distribuyendo a través de una CloudFront distribución. Para obtener más información y opciones de configuración para las restricciones geográficas, consulte Restringir la distribución geográfica del contenido en la CloudFront documentación.

También puede configurarlo CloudFront para generar registros de acceso que contengan información detallada sobre cada solicitud de usuario que CloudFront reciba. Para obtener más información, consulte Configuración y uso de registros estándar (registros de acceso) en la CloudFront documentación. Por último, si CloudFront está configurado para almacenar en caché el contenido en una serie de ubicaciones de borde, podría considerar dónde se produce el almacenamiento en caché. Para algunas organizaciones, el almacenamiento en caché transregional puede estar sujeto a requisitos de transferencia de datos transfronteriza.

AWS Resource Access Manager

AWS Resource Access Manager (AWS RAM) le ayuda a compartir sus recursos de forma segura Cuentas de AWS para reducir la sobrecarga operativa y proporcionar visibilidad y auditabilidad. De AWS RAM este modo, las organizaciones pueden restringir qué AWS recursos se pueden compartir con otras personas Cuentas de AWS de su organización o con cuentas de terceros. Para obtener más información, consulta AWS Recursos que se pueden compartir. En la cuenta de red, puede utilizarla AWS RAM para compartir subredes de VPC y conexiones de puerta de enlace de tránsito. Si solías AWS RAM compartir una conexión de plano de datos con otra Cuenta de AWS, considera la posibilidad de establecer procesos para comprobar que las conexiones se realizan según las aprobaciones previas. Regiones de AWS

Además de compartir VPC y conexiones de pasarelas de tránsito, se AWS RAM puede utilizar para compartir recursos que no son compatibles con las políticas de IAM basadas en recursos. En el caso de una carga de trabajo alojada en la unidad organizativa de datos personales, puede utilizarla AWS RAM para acceder a los datos personales que se encuentran en una unidad organizativa independiente. Cuenta de AWS Para obtener más información, consulte AWS Resource Access Manager la sección sobre la cuenta de la aplicación OU — PD de datos personales.

AWS Transit Gateway

Si desea implementar AWS recursos que recopilen, almacenen o procesen datos personales de manera Regiones de AWS que se ajusten a los requisitos de residencia de los datos de su organización y cuenta con las garantías técnicas adecuadas, considere la posibilidad de implementar barreras de protección para evitar flujos de datos transfronterizos no aprobados en los planos de control y datos. En el plano de control, puede limitar el uso regional y, en consecuencia, los flujos de datos entre regiones mediante políticas de control de servicios y de IAM.

Existen varias opciones para controlar los flujos de datos entre regiones en el plano de datos. Por ejemplo, puede usar tablas de enrutamiento, interconexión de VPC y archivos adjuntos. AWS Transit Gateway AWS Transit Gatewayes un centro central que conecta las nubes privadas virtuales (VPC) y las redes locales. Como parte de su mayor zona de aterrizaje de AWS, puede considerar las diversas formas en que pueden circular los datos, por ejemplo, a través de puertas de enlace de Internet Regiones de AWS, mediante la interconexión directa de VPC a VPC y mediante la interconexión entre regiones. AWS Transit Gateway Por ejemplo, puede hacer lo siguiente en: AWS Transit Gateway

  • Confirme que las conexiones este-oeste y norte-sur entre sus VPC y los entornos locales cumplen con sus requisitos de privacidad.

  • Configure los ajustes de la VPC de acuerdo con sus requisitos de privacidad.

  • Utilice una política de control de servicios en AWS Organizations las políticas de IAM para evitar modificaciones en su configuración AWS Transit Gateway y en la de Amazon Virtual Private Cloud (Amazon VPC). Para ver un ejemplo de política de control de servicios, consulte esta Restringir los cambios en las configuraciones de VPC guía.

AWS WAF

Para evitar la divulgación no intencionada de datos personales, puede implementar un defense-in-depth enfoque para sus aplicaciones web. Puede incorporar la validación de entrada y la limitación de velocidad en su aplicación, pero AWS WAF puede servir como otra línea de defensa. AWS WAFes un firewall de aplicaciones web que le ayuda a supervisar las solicitudes HTTP y HTTPS que se reenvían a los recursos de sus aplicaciones web protegidas. Para obtener más información sobre cómo se utiliza este servicio en un contexto de seguridad, consulte la Arquitectura AWS de referencia de seguridad.

Con AWS WAF ella, puede definir e implementar reglas que inspeccionen en función de criterios específicos. Las siguientes actividades pueden estar asociadas a la divulgación no intencionada de datos personales:

  • Tráfico procedente de direcciones IP o ubicaciones geográficas desconocidas o maliciosas

  • Los 10 principales ataques del Open Worldwide Application Security Project (OWASP), incluidos los relacionados con la exfiltración, como la inyección de SQL

  • Altas tasas de solicitudes

  • Tráfico general de bots

  • Raspadores de contenido

Puede implementar grupos de AWS WAF reglas gestionados por. AWS Algunos grupos de reglas gestionados se AWS WAF pueden utilizar para detectar amenazas a la privacidad y los datos personales, por ejemplo:

  • Base de datos SQL: este grupo de reglas contiene reglas diseñadas para bloquear los patrones de solicitud asociados con la explotación de las bases de datos SQL, como los ataques de inyección de SQL. Tenga en cuenta este grupo de reglas si su aplicación interactúa con una base de datos SQL.

  • Entradas incorrectas conocidas: este grupo de reglas contiene reglas diseñadas para bloquear los patrones de solicitud que se sabe que no son válidos y que están asociados con la explotación o el descubrimiento de vulnerabilidades.

  • Control de bots: este grupo de reglas contiene reglas diseñadas para gestionar las solicitudes de los bots, que pueden consumir un exceso de recursos, distorsionar las métricas empresariales, provocar tiempos de inactividad y realizar actividades maliciosas.

  • Prevención de apropiación de cuentas (ATP): este grupo de reglas contiene reglas diseñadas para evitar intentos malintencionados de apropiación de cuentas. Este grupo de reglas inspecciona los intentos de inicio de sesión enviados al punto final de inicio de sesión de la aplicación.