Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prevención del acceso no autorizado y la exfiltración de datos
Según el informe 2022 Cost of a Data Breach
Entre las consideraciones clave para proteger los datos se incluyen las siguientes:
-
Autenticación de usuarios para acceder al entorno de desarrollo seguro
-
Autorización a usuarios para acceder a datos dentro del entorno de desarrollo seguro
-
Registro de todas las transferencias que entran y salen del entorno de desarrollo seguro
-
Diseño de flujos de datos seguros entre entornos
-
Cifrado de datos en tránsito y en reposo.
-
Limitación y registro del tráfico de red saliente
Configurar los permisos
AWS Identity and Access Management(IAM) le ayuda a administrar de forma segura el acceso a sus recursos AWS al controlar quién está autenticado y autorizado a usarlos. De forma predeterminada, cualquier acción en AWS se deniega implícitamente a menos que se permita explícitamente. Administra el acceso en AWS mediante la creación de políticas. Puede utilizar las políticas para definir, de forma pormenorizada detallada, qué usuarios pueden acceder a qué recursos y qué acciones se pueden llevar a cabo en dichos recursos. Una práctica recomendada de AWS es aplicar permisos con privilegios mínimos, lo que significa conceder a los usuarios solo los permisos que necesitan para llevar a cabo las tareas. Para más información, consulte lo siguiente en la documentación de IAM:
Autenticación de usuarios
Una práctica recomendada de AWS es exigir a los usuarios humanos el uso de la federación con un proveedor de identidades para acceder a AWS con credenciales temporales. El servicio recomendado para centralizar el acceso del personal es AWS IAM Identity Center. Este servicio lo ayuda a crear o conectar de forma segura las identidades del personal y administrar su acceso centralmente a todas las Cuentas de AWS y aplicaciones. IAM Identity Center puede federarse con proveedores de identidad (IDP) externos mediante SAML 2.0, Open ID Connect (OIDC) u OAuth 2.0 para proporcionar una integración y una administración de usuarios sin problemas. Para más información, consulte Identity federation in AWS
También puede autenticar y autorizar a los usuarios mediante AWS Directory Service para administrar usuarios y grupos que estén definidos en un directorio, como Active Directory. Dentro del entorno de desarrollo seguro, puede usar los permisos de archivos de Linux para autorizar y restringir el acceso a los datos dentro de la nube privada virtual (VPC). Utilice puntos de conexión de VPC para proporcionar acceso a los Servicios de AWS sin necesidad de atravesar la Internet pública. Utilice políticas de puntos de conexión para restringir qué entidades principales de AWS pueden usar el punto de conexión y utilice políticas basadas en la identidad para restringir el acceso a Servicios de AWS.
Transferencia de datos
AWS proporciona varias formas de migrar los datos en las instalaciones a la nube. Es habitual almacenar los datos inicialmente en Amazon Simple Storage Service (Amazon S3). Amazon S3 es un servicio de almacenamiento de objetos basado en la nube que lo ayuda a almacenar, proteger y recuperar cualquier cantidad de datos. Proporciona un ancho de banda de hasta 25 Gbps al transferir datos hacia o desde una instancia de Amazon Elastic Compute Cloud (Amazon EC2). También ofrece replicación de datos entre regiones y niveles de datos. Los datos almacenados en Amazon S3 se pueden utilizar como origen de replicación. Puede utilizarlos para crear nuevos sistemas de archivos o transferir datos a instancias de EC2. Puede utilizar Amazon S3 como backend de un sistema de archivos administrado de AWS y compatible con la interfaz de sistema operativo portátil (POSIX) para flujos y herramientas de semiconductores.
Otro servicio de almacenamiento de AWS es Amazon FSx, que proporciona sistemas de archivos que admiten los protocolos de conectividad estándares del sector y ofrece alta disponibilidad y replicación en todas las Regiones de AWS. Algunas opciones habituales para el sector de los semiconductores son Amazon FSx para NetApp ONTAP, Amazon FSx para Lustre y Amazon FSx para OpenZFS. Los sistemas de archivos escalables y de alto rendimiento de Amazon FSx son ideales para almacenar datos de forma local en un entorno de desarrollo seguro.
AWS le recomienda definir los requisitos de almacenamiento antes para las cargas de trabajo de semiconductores en AWS y, a continuación, identificar el mecanismo de transferencia de datos adecuado. AWS recomienda usar AWS DataSync para transferir datos en las instalaciones a AWS. DataSync es un servicio de transferencia y detección de datos en línea que lo ayuda a trasladar archivos o datos de objetos hacia, desde y entre los servicios de almacenamiento de AWS. En función de si utiliza sistemas de almacenamiento autoadministrados o un proveedor de almacenamiento como NetApp, puede configurar DataSync para acelerar el traslado y la replicación de datos a un entorno de desarrollo seguro a través de Internet o AWS Direct Connect. DataSync puede transferir los datos de sistemas de archivos y también los metadatos, como la propiedad, las marcas temporales y los permisos de acceso. Si va a transferir archivos entre FSx para ONTAP y NetApp ONTAP, AWS recomienda usar SnapMirror de NetApp. Amazon FSx admite el cifrado en reposo y en tránsito. Utilice AWS CloudTrail y otras características de registro específicas del servicio para registrar todas las llamadas a la API y las transferencias de datos relacionadas. Centralice los registros en una cuenta dedicada y aplique políticas de acceso detalladas para obtener un historial inmutable.
AWS proporciona servicios adicionales para ayudar a controlar los flujos de datos, lo que incluye firewalls de red compatibles con la aplicación como AWS Network Firewall, el firewall de DNS de Amazon Route 53 Resolver, AWS WAF y proxies web. Para controlar los flujos de datos en el entorno, aplique la segmentación de la red con grupos de seguridad, listas de control de acceso a la red y puntos de conexión de VPC en Amazon Virtual Private Cloud (Amazon VPC), Network Firewall, tablas de enrutamiento de puertas de enlace de tránsito y políticas de control de servicio (SCP) en AWS Organizations. Registre de forma centralizada todo el tráfico de red mediante registros de flujo de VPC y los campos disponibles de las versiones 2 a 5 de los registros de flujo de VPC.
Cifrado de datos
Cifre todos los datos en reposo mediante claves administradas por el cliente de AWS Key Management Service (AWS KMS) o AWS CloudHSM. Cree y mantenga políticas de recursos clave detalladas. A fin de obtener más información, consulte Creación de una estrategia de cifrado empresarial para los datos en reposo.
Cifre los datos en tránsito mediante la aplicación de un mínimo de TLS 1.2 con un cifrado del estándar de cifrado avanzado de 256 bits (AES-256) estándar del sector.
Administración del tráfico de red saliente
Si el entorno de desarrollo seguro requiere acceso a Internet, todo el tráfico de Internet saliente debe registrarse y restringirse a través de un punto de aplicación de la red, como Network Firewall o Squid
Por último, puede utilizar el Analizador de acceso a la red, una característica de Amazon VPC, para validar la segmentación de la red e identificar posibles rutas de la red que no cumplan con los requisitos especificados.
Al agrupar los controles de seguridad en capas, puede establecer y aplicar un perímetro de datos robusto. Para más información, consulte Building a Data Perimeter on AWS.
