Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prevenir el acceso no autorizado y la exfiltración de datos
Según el informe sobre el costo de una violación de datos de 2022 (informe
Entre las consideraciones clave para proteger sus datos se incluyen las siguientes:
-
Autenticación de usuario para acceder al entorno de desarrollo seguro
-
Autorización del usuario para acceder a los datos dentro del entorno de desarrollo seguro
-
Registrar todas las transferencias que entran y salen del entorno de desarrollo seguro
-
Diseñar flujos de datos seguros entre entornos
-
Cifrado de datos en tránsito y en reposo
-
Limitar y registrar el tráfico de red saliente
Configurar los permisos
AWS Identity and Access Management (IAM) le ayuda a administrar de forma segura el acceso a sus AWS recursos al controlar quién está autenticado y autorizado a usarlos. De forma predeterminada, cualquier acción se deniega implícitamente a menos que AWS se permita de forma explícita. El acceso se gestiona AWS mediante la creación de políticas. Puede utilizar las políticas para definir, de forma pormenorizada, qué usuarios pueden acceder a qué recursos y qué acciones pueden realizar en esos recursos. Una práctica AWS recomendada es aplicar permisos con privilegios mínimos, lo que significa conceder a los usuarios solo los permisos que necesitan para realizar sus tareas. Para obtener más información, consulte lo siguiente en la documentación de IAM:
-
Security best practices in IAM (Prácticas recomendadas de seguridad en IAM)
Autenticación de usuarios
Se recomienda exigir AWS a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales. El servicio recomendado para centralizar el acceso de los usuarios a la fuerza laboral es AWS IAM Identity Center. Este servicio le ayuda a crear o conectar de forma segura las identidades de sus empleados y a gestionar su acceso de forma centralizada en todas Cuentas de AWS las aplicaciones. IAM Identity Center puede federarse con proveedores de identidad externos (IdPs) mediante SAML 2.0, Open ID Connect (OIDC) o OAuth 2.0 para proporcionar una integración y una gestión de usuarios perfectas. Para obtener más información, consulte Federación de identidades en AWS
También puede autenticar y autorizar AWS Directory Servicea los usuarios mediante la administración de los usuarios y grupos que están definidos en un directorio, como Active Directory. Dentro del entorno de desarrollo seguro, puede usar los permisos de archivos de Linux para autorizar y restringir el acceso a los datos dentro de la nube privada virtual (VPC). Utilice puntos de conexión de VPC para proporcionar acceso a la Internet pública Servicios de AWS sin tener que atravesar esa red. Usa políticas de punto final para restringir qué usuarios AWS principales pueden usar el punto final y usa políticas basadas en la identidad para restringir el acceso. Servicios de AWS
Transferencia de datos
AWS proporciona varias formas de migrar los datos locales a la nube. Es habitual almacenar inicialmente los datos en Amazon Simple Storage Service (Amazon S3). Amazon S3 es un servicio de almacenamiento de objetos basado en la nube que le ayuda a almacenar, proteger y recuperar cualquier cantidad de datos. Proporciona un ancho de banda de hasta 25 Gbps al transferir datos a o desde una instancia de Amazon Elastic Compute Cloud (Amazon EC2). También ofrece replicación de datos entre regiones y organización en niveles de datos. Los datos almacenados en Amazon S3 pueden servir como fuente de replicación. Puede utilizarlos para crear nuevos sistemas de archivos o para transferir datos a EC2 instancias. Puede utilizar Amazon S3 como backend de un sistema de archivos AWS gestionado y compatible con la interfaz de sistema operativo portátil (POSIX) para flujos y herramientas de semiconductores.
Otro servicio AWS de almacenamiento es Amazon FSx, que proporciona sistemas de archivos que admiten los protocolos de conectividad estándar del sector y ofrece alta disponibilidad y replicación en todos Regiones de AWS los niveles. Las opciones más comunes para la industria de los semiconductores incluyen Amazon FSx para NetApp ONTAP, Amazon FSx para Lustre y Amazon FSx para OpenZFS. Los sistemas de archivos escalables y de alto rendimiento de Amazon FSx son adecuados para almacenar datos de forma local en un entorno de desarrollo seguro.
AWS recomienda que AWS primero defina los requisitos de almacenamiento para sus cargas de trabajo de semiconductores y, a continuación, identifique el mecanismo de transferencia de datos adecuado. AWS recomienda utilizarlo AWS DataSyncpara transferir datos de una instalación a AWS otra. DataSync es un servicio de transferencia y descubrimiento de datos en línea que le ayuda a mover archivos u datos de objetos hacia, desde y entre los servicios AWS de almacenamiento. En función de si utiliza sistemas de almacenamiento autogestionados o un proveedor de almacenamiento, por ejemplo NetApp, puede configurarlos DataSync para acelerar el traslado y la replicación de los datos a su entorno de desarrollo seguro a través de Internet o a través de Internet. AWS Direct Connect DataSync puede transferir los datos y metadatos del sistema de archivos, como la propiedad, las marcas horarias y los permisos de acceso. Si vas a transferir archivos entre FSx ONTAP y NetApp ONTAP, te recomendamos que utilices. AWS NetApp SnapMirror Amazon FSx admite el cifrado en reposo y en tránsito. Utiliza AWS CloudTraily otras funciones de registro específicas del servicio para registrar todas las llamadas a la API y las transferencias de datos relacionadas. Centralice los registros en una cuenta dedicada y aplique políticas de acceso detalladas para lograr un historial inmutable.
AWS proporciona servicios adicionales para ayudar a controlar los flujos de datos, incluidos firewalls de red compatibles con aplicaciones AWS Network Firewall, como el firewall de Amazon Route 53 Resolver DNS y los proxies web. AWS WAF Controle los flujos de datos dentro del entorno aplicando la segmentación de la red con grupos de seguridad, listas de control de acceso a la red y puntos de enlace de VPC en Amazon Virtual Private Cloud (Amazon VPC), Network Firewall, tablas de rutas de pasarelas de tránsito y políticas de control de servicios () en. SCPs AWS Organizations Registre de forma centralizada todo el tráfico de red mediante los registros de flujo de VPC y los campos disponibles de las versiones 2 a 5 de los registros de flujo de VPC.
Cifrado de datos
Cifre todos los datos en reposo mediante AWS Key Management Service (AWS KMS) claves administradas por el cliente o. AWS CloudHSM Cree y mantenga políticas granulares de recursos clave. A fin de obtener más información, consulte Creación de una estrategia de cifrado empresarial para los datos en reposo.
Cifre los datos en tránsito aplicando un mínimo de TLS 1.2 con un estándar de cifrado avanzado (AES-256) de 256 bits estándar del sector.
Administrar el tráfico de red saliente
Si el entorno de desarrollo seguro requiere acceso a Internet, todo el tráfico de Internet saliente debe registrarse y restringirse a través de un punto de cumplimiento a nivel de red, como Network Firewall o Squid
Por último, puede utilizar Network Access Analyzer, una función de Amazon VPC, para realizar la validación de la segmentación de la red e identificar posibles rutas de red que no cumplan los requisitos especificados.
Al agrupar los controles de seguridad en capas, puede establecer y aplicar un perímetro de datos sólido. Para obtener más información, consulte Crear un perímetro de datos sobre AWS.