Paso 5. Cifrar los datos y el almacén de copias de seguridad - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 5. Cifrar los datos y el almacén de copias de seguridad

Las organizaciones necesitan mejorar cada vez más sus estrategias de seguridad de datos y es posible que se les exija cumplir con las normas de protección de datos a medida que se reducen horizontalmente en la nube. La correcta implementación de los métodos de cifrado puede aportar una capa de protección adicional sobre los mecanismos básicos de control de acceso. Esta capa adicional ofrece una reducción de riesgos en caso de que las políticas principales de control de acceso no funcionen.

Por ejemplo, si configura políticas de control de acceso demasiado permisivas en datos de AWS Backup , el sistema o el proceso de administración de claves puede reducir el máximo impacto de un evento de seguridad. Esto se debe a que existen mecanismos de autorización independientes para acceder a los datos y a la clave de cifrado, lo que significa que los datos de las copias de seguridad solo se pueden ver como texto cifrado.

Para aprovechar al máximo el Nube de AWS cifrado, cifre los datos tanto en tránsito como en reposo. Para proteger los datos en tránsito, AWS utiliza las llamadas a la API publicadas para acceder a AWS Backup través de la red mediante el protocolo TLS a fin de proporcionar cifrado entre usted, su aplicación y el AWS Backup servicio. Para proteger los datos en reposo, puedes usar la versión AWS nativa de la nube AWS Key Management Service(AWS KMS) o. AWS CloudHSM En un modelo de seguridad de hardware (HSM) basado en la nube, AWS CloudHSM utiliza el estándar de cifrado avanzado (AES) con claves de 256 bits (AES-256), un algoritmo de cifrado de datos de gran eficacia adoptado por el sector. Evalúe requisitos normativos y de gobernanza de datos y seleccione el servicio de cifrado adecuado para cifrar datos en la nube y en almacenes de copias de seguridad.

La configuración del cifrado varía según el tipo de recurso y las operaciones de copias de seguridad en las distintas cuentas o regiones. Algunos tipos de recursos admiten la capacidad de cifrar las copias de seguridad con una clave de cifrado independiente de la clave empleada para cifrar el recurso de origen. Como usted es responsable de gestionar los controles de acceso para determinar quién puede acceder a sus AWS Backup datos o a las claves de cifrado del almacén y en qué condiciones, utilice el lenguaje normativo que ofrece AWS KMS para definir los controles de acceso de las claves. También puede utilizar AWS Backup Audit Manager para confirmar que la copia de seguridad está correctamente cifrada. Para obtener más información, consulte Cifrado de copias de seguridad en AWS Backup.

Puede utilizar claves de AWS KMS de varias regiones para replicar claves de una región a otra. Las claves de varias regiones están diseñadas para simplificar la administración del cifrado cuando los datos cifrados tienen que copiarse a otras regiones para la recuperación de desastres. Evalúe la necesidad de implementar AWS KMS claves multirregionales como parte de su estrategia general de respaldo.