Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prevención del acceso no autorizado y la exfiltración de datos
De acuerdo conInforme sobre el costo de una violación de datos en 2022
Las consideraciones clave para proteger sus datos incluyen:
-
Autenticación de usuario para acceder al entorno de desarrollo seguro
-
Autorización del usuario para acceder a los datos dentro del entorno de desarrollo seguro
-
Registrar todas las transferencias que entran y salen del entorno de desarrollo seguro
-
Diseñar flujos de datos seguros entre entornos
-
Cifrado de datos en tránsito y en reposo
-
Limitar y registrar el tráfico de red saliente
Configurar los permisos
AWS Identity and Access Management(SOY)le ayuda a gestionar de forma segura el acceso a suAWSrecursos controlando quién está autenticado y autorizado a usarlos. De forma predeterminada, cualquier acción enAWSse deniega implícitamente a menos que se permita explícitamente. Gestionas el acceso enAWScreandopolíticas. Puede utilizar políticas para definir, de forma detallada, qué usuarios pueden acceder a qué recursos y qué acciones pueden realizar con esos recursos. UnAWSla práctica recomendada es aplicar permisos con privilegios mínimos, lo que significa conceder a los usuarios solo los permisos que necesitan para realizar sus tareas. Para obtener más información, consulte lo siguiente en la documentación de IAM:
-
Security best practices in IAM (Prácticas recomendadas de seguridad en IAM)
Autenticación de usuarios
Es unAWSla mejor práctica es exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para accederAWSmediante el uso de credenciales temporales. El servicio recomendado para centralizar el acceso de los usuarios y la fuerza laboral esAWS IAM Identity Center. Este servicio le ayuda a crear o conectar de forma segura las identidades de su fuerza laboral y a gestionar su acceso de forma centralizada en todas partesCuentas de AWSy aplicaciones. IAM Identity Center puede federarse con proveedores de identidades externos (IdPs) mediante SAML 2.0, Open ID Connect (OIDC) u OAuth 2.0 para ofrecer una integración y una gestión de usuarios fluidas. Para obtener más información, consulteFederación de identidades enAWS
También puede autenticar y autorizar a los usuarios medianteAWS Directory Servicepara administrar los usuarios y grupos que se definen en un directorio, como Active Directory. Dentro del entorno de desarrollo seguro, puede usar los permisos de archivos de Linux para autorizar y restringir el acceso a los datos dentro de la nube privada virtual (VPC). UsaTerminales de VPCpara proporcionar acceso aServicios de AWSsin tener que atravesar la Internet pública. Usapolíticas de punto de conexiónpara restringir lo queAWSlos directores pueden usar el punto final y usar políticas basadas en la identidad para restringir el acceso aServicios de AWS.
Transferencia de datos
AWSproporciona varias formas de migrar los datos locales a la nube. Es habitual almacenar inicialmente los datos enServicio de almacenamiento simple de Amazon (Amazon S3). Amazon S3 es un servicio de almacenamiento de objetos basado en la nube que le ayuda a almacenar, proteger y recuperar cualquier cantidad de datos. Proporciona un ancho de banda de hasta 25 Gbps al transferir datos hacia o desde una instancia de Amazon Elastic Compute Cloud (Amazon EC2). También ofrece replicación de datos entre regiones y organización de datos por niveles. Los datos almacenados en Amazon S3 pueden servir como fuente de replicación. Puede usarlo para crear nuevos sistemas de archivos o para transferir datos a instancias de EC2. Puede utilizar Amazon S3 como backend de unAWSsistema de archivos gestionado y compatible con la interfaz de sistema operativo portátil (POSIX) para herramientas y flujos de semiconductores.
OtroAWSel servicio de almacenamiento esAmazon FSx, que proporciona sistemas de archivos compatibles con los protocolos de conectividad estándar del sector y ofrece una alta disponibilidad y replicación enRegiones de AWS. Las opciones comunes para la industria de semiconductores incluyenAmazon FSx paraNetAppEN EL GRIFO,Amazon FSx para Lustre, yAmazon FSx para OpenZFS. Los sistemas de archivos escalables y de alto rendimiento de Amazon FSx son ideales para almacenar datos de forma local en un entorno de desarrollo seguro.
AWSrecomienda quedefinir los requisitos de almacenamientopara sus cargas de trabajo de semiconductores enAWSprimero y luego identifique el mecanismo de transferencia de datos apropiado.AWSrecomienda usarAWS DataSyncpara transferir datos desde las instalaciones aAWS. DataSynces un servicio de detección y transferencia de datos en línea que le ayuda a mover archivos o datos de objetos hacia, desde y entreAWSservicios de almacenamiento. Dependiendo de si utiliza sistemas de almacenamiento autogestionados o un proveedor de almacenamiento, comoNetApp, puedes configurarDataSyncpara acelerar el traslado y la replicación de datos a su entorno de desarrollo seguro a través de Internet o medianteAWS Direct Connect. DataSyncpuede transferir los datos y metadatos del sistema de archivos, como la propiedad, las marcas de tiempo y los permisos de acceso. Si está transfiriendo archivos entre FSx para ONTAP yNetAppSOBRE EL GRIFO,AWSrecomienda usarNetApp SnapMirror. Amazon FSx admite el cifrado en reposo y en tránsito. UsaAWS CloudTraily otras funciones de registro específicas del servicio para registrar todas las llamadas a la API y las transferencias de datos relacionadas. Centralice los registros en una cuenta dedicada y aplique políticas de acceso granulares para obtener un historial inmutable.
AWSproporciona servicios adicionales para ayudar a controlar los flujos de datos, incluidos los firewalls de red compatibles con las aplicaciones, comoAWS Network Firewall,Amazon Route 53 ResolverFirewall DNS,AWS WAF, y proxies web. Controle los flujos de datos dentro del entorno mediante la aplicación de la segmentación de la red congrupos de seguridad,listas de control de acceso a la red, y puntos finales de VPC en Amazon Virtual Private Cloud (Amazon VPC), Network Firewall,tablas de rutas de pasarelas de tránsito, ypolíticas de control de servicios (SCP)enAWS Organizations. Registre de forma centralizada todo el tráfico de red medianteRegistros de flujo de VPCy elcampos disponiblesde las versiones 2 a 5 de los registros de flujo de VPC.
Cifrado de datos
Cifre todos los datos en reposo medianteAWS Key Management Service(AWS KMS)claves gestionadas por el cliente oAWS CloudHSM. Cree y mantenga políticas detalladas de recursos clave. Para obtener más información, consulteCreación de una estrategia de cifrado empresarial para datos en reposo.
Cifre los datos en tránsito aplicando un mínimo de TLS 1.2 con un cifrado estándar de 256 bits (AES-256) estándar del sector.
Administrar el tráfico de red saliente
Si el entorno de desarrollo seguro requiere acceso a Internet, todo el tráfico de Internet saliente debe registrarse y restringirse a través de un punto de cumplimiento a nivel de red, como el Firewall de red oCalamar
Por último, puede utilizarAnalizador de acceso a la red, una función de Amazon VPC, para realizar la validación de la segmentación de la red e identificar posibles rutas de red que no cumplan los requisitos especificados.
Mediante la estratificación de los controles de seguridad, puede establecer y aplicar un perímetro de datos sólido. Para obtener más información, consulteCreación de un perímetro de datos enAWS.
