Recomendaciones de control de seguridad para proteger los datos

El AWS Well-Architected Framework agrupa las mejores prácticas para proteger los datos en tres categorías: clasificación de los datos, protección de los datos en reposo y protección de los datos en tránsito. Los controles de seguridad de esta sección pueden ayudarle a implementar las mejores prácticas de protección de datos. Estas prácticas recomendadas fundamentales deben estar implementadas antes de diseñar cualquier carga de trabajo en la nube. Evitan el mal manejo de los datos y le ayudan a cumplir con las obligaciones organizativas, reglamentarias y de cumplimiento. Utilice los controles de seguridad de esta sección para implementar las mejores prácticas de protección de datos.

Identifique y clasifique los datos a nivel de carga de trabajo

La clasificación de datos es un proceso para identificar y clasificar los datos de su red en función de su importancia y sensibilidad. Es un componente fundamental de cualquier estrategia de administración de riesgos de ciberseguridad porque lo ayuda a determinar los controles de protección y retención adecuados para los datos. La clasificación de los datos a menudo reduce la frecuencia de la duplicación de los datos. Esto puede reducir los costos de almacenamiento y respaldo y acelerar las búsquedas.

Le recomendamos que comprenda el tipo y la clasificación de los datos que procesa su carga de trabajo, los procesos empresariales asociados, dónde se almacenan los datos y quién es el propietario de los datos. La clasificación de datos ayuda a los propietarios de la carga de trabajo a identificar las ubicaciones que almacenan datos confidenciales y a determinar cómo se debe acceder a esos datos y compartirlos. Las etiquetas son pares clave-valor que actúan como metadatos para organizar los AWS recursos. Las etiquetas pueden ayudar a administrar, identificar, organizar, buscar y filtrar los recursos.

Para obtener más información, consulte los siguientes recursos:

• Clasificación de datos en documentos AWS técnicos

• Identifique los datos de su carga de trabajo en AWS Well-Architected Framework

Establezca controles para cada nivel de clasificación de datos

Defina los controles de protección de datos para cada nivel de clasificación. Por ejemplo, utilice los controles recomendados para proteger los datos clasificados como públicos y proteja los datos confidenciales con controles adicionales. Utilice mecanismos y herramientas que reduzcan o eliminen la necesidad de acceder directamente a los datos o de procesarlos manualmente. La automatización de la identificación y clasificación de los datos reduce el riesgo de errores de clasificación, manipulación, modificación o error humano.

Por ejemplo, considere la posibilidad de utilizar Amazon Macie para escanear los depósitos del Amazon Simple Storage Service (Amazon S3) en busca de datos confidenciales, como información de identificación personal (PII). Además, puede automatizar la detección del acceso no deseado a los datos mediante los registros de flujo de VPC en Amazon Virtual Private Cloud (Amazon VPC).

Para obtener más información, consulte los siguientes recursos:

• Defina los controles de protección de datos en el AWS Well-Architected Framework

• Automatice la identificación y la clasificación en el marco de AWS Well-Architected

• AWS La arquitectura de referencia de privacidad (AWS PRA) en AWS la guía prescriptiva

• Descubrimiento de datos confidenciales con Amazon Macie en la documentación de Macie

• Registro del tráfico IP mediante los registros de flujo de VPC en la documentación de Amazon VPC

• Se utilizan técnicas habituales para detectar datos de PHI y PII Servicios de AWS en el AWS blog for Industries

Cifre los datos en reposo

Los datos en reposo son datos estacionarios en la red, como los datos almacenados. La implementación del cifrado y los controles de acceso adecuados para los datos en reposo ayudan a reducir el riesgo de acceso no autorizado. El cifrado es un proceso informático que transforma los datos de texto plano, legibles por humanos, en texto cifrado. Necesita una clave de cifrado para volver a descifrar el contenido en texto sin formato para que pueda usarse. En el Nube de AWS, puede usar AWS Key Management Service (AWS KMS) para crear y controlar claves criptográficas que ayuden a proteger sus datos.

Como se explica enEstablezca controles para cada nivel de clasificación de datos, recomendamos crear una política que especifique qué tipo de datos deben cifrarse. Incluya criterios sobre cómo determinar qué datos deben cifrarse y qué datos deben protegerse con otra técnica, como la tokenización o el uso de hash.

Para obtener más información, consulte los siguientes recursos:

• Configuración del cifrado predeterminado en la documentación de Amazon S3

• Cifrado predeterminado para los nuevos volúmenes de EBS y copias instantáneas en la documentación de Amazon EC2

• Cifrado de los recursos de Amazon Aurora en la documentación de Amazon Aurora

• Introducción a los detalles criptográficos de AWS KMS la documentación AWS KMS

• Cómo crear una estrategia empresarial de cifrado para los datos almacenados en AWS Prescriptive Guidance

• Aplique el cifrado en reposo en el marco AWS Well-Architected

• Para obtener más información sobre el cifrado en concreto Servicios de AWS, consulte la AWS documentación de ese servicio

Cifre los datos en tránsito

Los datos en tránsito son datos que se mueven de forma activa por la red, por ejemplo, entre los recursos de la red. Cifre todos los datos en tránsito mediante protocolos y conjuntos de cifrado TLS seguros. El tráfico de red entre los recursos e Internet debe estar cifrado para evitar el acceso no autorizado a los datos. Siempre que sea posible, utilice TLS para cifrar el tráfico de red en su entorno interno AWS .

Para obtener más información, consulte los siguientes recursos:

• Exigir HTTPS para la comunicación entre los espectadores y CloudFront en la CloudFront documentación de Amazon

• Documentación de AWS PrivateLink

• Imponga el cifrado en tránsito en el AWS Well-Architected Framework

• Para obtener más información sobre el cifrado en concreto Servicios de AWS, consulte la AWS documentación de ese servicio

Bloquear el acceso público a las instantáneas de Amazon EBS

Amazon Elastic Block Store (Amazon EBS) proporciona volúmenes de almacenamiento a nivel de bloques para utilizarlos con instancias de Amazon Elastic Compute Cloud (Amazon). EC2 Puede realizar copias de seguridad de los datos de sus volúmenes de Amazon EBS en Amazon S3 realizando point-in-time instantáneas. Puede compartir las instantáneas públicamente con todos los demás Cuentas de AWS o puede compartirlas de forma privada con la persona Cuentas de AWS que especifique.

Le recomendamos que no comparta públicamente las instantáneas de Amazon EBS. Esto podría exponer datos confidenciales de forma inadvertida. Cuando compartes una instantánea, permites que otras personas accedan a los datos de la instantánea. Comparta las instantáneas solo con personas en las que confíe todos estos datos.

Para obtener más información, consulte los siguientes recursos:

• Comparte una instantánea en la EC2 documentación de Amazon

• Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente en la documentación AWS Security Hub

• ebs-snapshot-public-restorable-consulte la documentación AWS Config

Bloquear el acceso público a las instantáneas de Amazon RDS

Amazon Relational Database Service (Amazon RDS) le ayuda a configurar, operar y escalar una base de datos relacional en. Nube de AWS Amazon RDS crea y guarda copias de seguridad automatizadas de la instancia de base de datos (DB) o del clúster de base de datos Multi-AZ durante el período de copia de seguridad de la instancia de base de datos. Amazon RDS crea una instantánea del volumen de almacenamiento de la instancia de base de datos; para ello, hace una copia de seguridad de toda la instancia de base de datos y no solo de las bases de datos individuales. Puede compartir una instantánea manual con el fin de copiarla o restaurar una instancia de base de datos a partir de ella.

Si comparte una instantánea como pública, asegúrese de que ninguno de los datos de la instantánea sea privado o confidencial. Cuando una instantánea se comparte públicamente, todos los Cuentas de AWS permisos necesarios para acceder a los datos. Esto puede provocar una exposición no intencionada de los datos de su instancia de Amazon RDS.

Para obtener más información, consulte los siguientes recursos:

• Compartir una instantánea de base de datos en la documentación de Amazon RDS

• rds-snapshots-public-prohibiteden la documentación AWS Config

• La instantánea de RDS debe ser privada en la documentación de Security Hub

Bloquear el acceso público a Amazon RDS, Amazon Redshift y los recursos AWS DMS

Puede configurar las instancias de base de datos de Amazon RDS, los clústeres de Amazon Redshift AWS Database Migration Service y las instancias de AWS DMS() replicación para que sean de acceso público. Si el valor del publiclyAccessible campo estrue, estos recursos son de acceso público. Permitir el acceso público puede provocar tráfico innecesario, exposición o filtraciones de datos. Le recomendamos que no permita el acceso público a estos recursos.

Le recomendamos que habilite AWS Config reglas o controles de Security Hub para detectar si las instancias de base de datos de Amazon RDS, las instancias de AWS DMS replicación o los clústeres de Amazon Redshift permiten el acceso público.

nota

La configuración de acceso público de las instancias de AWS DMS replicación no se puede modificar una vez aprovisionada la instancia. Para cambiar la configuración de acceso público, elimine la instancia actual y, a continuación, vuelva a crearla. Cuando la vuelvas a crear, no selecciones la opción de acceso público.

Para obtener más información, consulte los siguientes recursos:

• AWS DMS las instancias de replicación no deben ser públicas en la documentación de Security Hub

• Las instancias de base de datos de RDS deberían prohibir el acceso público en la documentación de Security Hub

• Los clústeres de Amazon Redshift deberían prohibir el acceso público en la documentación de Security Hub

• rds-instance-public-access-consulte la documentación AWS Config

• dms-replication-not-publicen la documentación AWS Config

• redshift-cluster-public-access-consulte la documentación AWS Config

• Modificación de una instancia de base de datos de Amazon RDS en la documentación de Amazon RDS

• Modificación de un clúster en la documentación de Amazon Redshift

Bloquear el acceso público a los buckets de Amazon S3

Es una práctica recomendada de seguridad de Amazon S3 garantizar que sus buckets no sean de acceso público. A menos que exijas explícitamente a cualquier usuario de Internet que pueda leer o escribir en tu bucket, asegúrate de que tu bucket no sea público. Esto ayuda a proteger la integridad y la seguridad de los datos. Puede utilizar AWS Config las reglas y los controles de Security Hub para confirmar que sus buckets de Amazon S3 cumplen con esta práctica recomendada.

Para obtener más información, consulte los siguientes recursos:

• Prácticas recomendadas de seguridad de Amazon S3 en la documentación de Amazon S3

• La configuración S3 Block Public Access debe estar habilitada en la documentación del Security Hub

• Los buckets S3 deberían prohibir el acceso público de lectura en la documentación del Security Hub

• Los buckets S3 deberían prohibir el acceso público de escritura en la documentación del Security Hub

• bucket-public-read-prohibited regla s3- en la documentación AWS Config

• s3- bucket-public-write-prohibited en la AWS Config documentación

Exija a MFA que elimine los datos de los buckets críticos de Amazon S3

Cuando se trabaja con S3 Versioning en buckets de Amazon S3, puede agregar de forma opcional otra capa de seguridad al configurar un bucket para habilitar la eliminación con MFA (autenticación multifactor). Si lo hace, el propietario del bucket debe incluir dos formas de autenticación en cualquier solicitud para eliminar una versión o cambiar el estado de control de versiones del bucket. Le recomendamos que habilite esta función para los depósitos que contienen datos críticos para su organización. Esto puede evitar la eliminación accidental de cubos y datos.

Para obtener más información, consulte los siguientes recursos:

• Configuración de la eliminación de MFA en la documentación de Amazon S3

Configurar los dominios OpenSearch de Amazon Service en una VPC

Amazon OpenSearch Service es un servicio gestionado que te ayuda a implementar, operar y escalar OpenSearch clústeres en Nube de AWS. Amazon OpenSearch Service apoya OpenSearch y legado Elasticsearch software de código abierto (OSS). Los dominios de Amazon OpenSearch Service que se implementan en una VPC pueden comunicarse con los recursos de la VPC a través de la AWS red privada, sin necesidad de atravesar la Internet pública. Esta configuración mejora su nivel de seguridad al restringir el acceso a los datos en tránsito. Le recomendamos que no adjunte dominios de Amazon OpenSearch Service a subredes públicas y que la VPC se configure de acuerdo con las prácticas recomendadas.

Para obtener más información, consulte los siguientes recursos:

• Cómo lanzar tus dominios OpenSearch de Amazon Service dentro de una VPC en la documentación de Amazon OpenSearch Service

• opensearch-in-vpc-onlyen la documentación AWS Config

• OpenSearch los dominios deben estar en una VPC en la documentación de Security Hub

Configure las alertas para su eliminación AWS KMS key

AWS Key Management Service (AWS KMS) las claves no se pueden recuperar una vez eliminadas. Si se elimina una clave de KMS, los datos que aún estén cifrados con esa clave no se podrán recuperar de forma permanente. Si necesita conservar el acceso a los datos, antes de eliminar la clave, debe descifrar los datos o volver a cifrarlos con una clave KMS nueva. Debe eliminar una clave KMS solo cuando esté seguro de que ya no necesita usarla.

Le recomendamos que configure una CloudWatch alarma de Amazon que le notifique si alguien inicia la eliminación de una clave de KMS. Dado que eliminar una clave de KMS es destructivo y potencialmente peligroso, es AWS KMS necesario establecer un período de espera y programar la eliminación en 7 a 30 días. Esto brinda la oportunidad de revisar la eliminación programada y cancelarla, si es necesario.

Para obtener más información, consulte los siguientes recursos:

• Programar y cancelar la eliminación de claves en la documentación AWS KMS

• Crear una alarma que detecte el uso de una clave KMS pendiente de ser eliminada en la documentación AWS KMS

• AWS KMS keys no debe eliminarse involuntariamente en la documentación del Security Hub

Bloquee el acceso público a AWS KMS keys

Las políticas clave son la forma principal de controlar el acceso a AWS KMS keys. Cada clave KMS tiene exactamente una política de claves. Permitir el acceso anónimo a las claves de KMS puede provocar una filtración de datos confidenciales. Le recomendamos que identifique todas las claves de KMS de acceso público y actualice sus políticas de acceso para evitar que se envíen solicitudes no firmadas a estos recursos.

Para obtener más información, consulte los siguientes recursos:

• Las prácticas recomendadas de seguridad se encuentran AWS Key Management Service en la documentación AWS KMS

• Cambiar una política clave en la AWS KMS documentación

• Determinar el acceso AWS KMS keys a la AWS KMS documentación

Configure los detectores del balanceador de carga para que usen protocolos seguros

Elastic Load Balancing distribuye automáticamente el tráfico entrante de las aplicaciones entre varios destinos. Puede configurar el equilibrador de carga para que acepte el tráfico entrante especificando uno o varios oyentes. Un oyente es un proceso que comprueba las solicitudes de conexión utilizando el protocolo y el puerto configurados. Cada tipo de balanceador de carga admite distintos protocolos y puertos:

• Los balanceadores de carga de aplicaciones toman decisiones de enrutamiento en la capa de aplicación y utilizan protocolos HTTP o HTTPS.

• Los balanceadores de carga de red toman las decisiones de enrutamiento en la capa de transporte y utilizan los protocolos TCP, TLS, UDP o TCP_UDP.

• Los balanceadores de carga clásicos toman las decisiones de enrutamiento en la capa de transporte (mediante protocolos TCP o SSL) o en la capa de aplicación (mediante protocolos HTTP o HTTPS).

Te recomendamos que utilices siempre los protocolos HTTPS o TLS. Estos protocolos garantizan que el equilibrador de carga sea responsable de cifrar y descifrar el tráfico entre el cliente y el destino.

Para obtener más información, consulte los siguientes recursos:

• Listeners para tus balanceadores de carga de aplicaciones en la documentación de Elastic Load Balancing

• Listeners para tu Classic Load Balancer en la documentación de Elastic Load Balancing

• Listeners para sus balanceadores de carga de red en la documentación de Elastic Load Balancing

• Asegúrese de que los balanceadores de AWS carga utilicen protocolos de escucha seguros en la Guía prescriptiva AWS

• elb-tls-https-listeners-solo en la documentación AWS Config

• Los oyentes de Classic Load Balancer deben configurarse con una terminación HTTPS o TLS en la documentación de Security Hub

• El Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS en la documentación de Security Hub