Amazon RedshiftCifrado de base de datos de - Amazon Redshift

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Amazon RedshiftCifrado de base de datos de

En Amazon Redshift, puede habilitar el cifrado de base de datos en sus clústeres para proteger los datos en reposo. Cuando habilita el cifrado para un clúster, se cifran los bloques de datos y metadatos del sistema para el clúster y sus instantáneas.

Puede habilitar el cifrado al lanzar el clúster o puede modificar un clúster sin cifrar para que utilice el cifrado AWS Key Management ServiceAWS KMS Para ello, puede usar una clave administrada por el cliente (CMK) o administrada por AWS. Cuando modifica su clúster para habilitar el cifrado de KMS, Amazon Redshift migra automáticamente sus datos a un nuevo clúster cifrado. Las instantáneas creadas a partir del clúster cifrado también se cifran. También puede migrar un clúster cifrado a un clúster sin cifrar modificando el clúster y cambiando la opción Encrypt database (Cifrar base de datos). Para obtener más información, consulte Cambio del cifrado del clúster.

Aunque el cifrado es un ajuste opcional en Amazon Redshift, recomendamos habilitarlo para los clústeres que contienen información confidencial. Además, es posible que sea obligatorio utilizar cifrado según las directrices o regulaciones que rigen los datos. Por ejemplo, el Estándar de seguridad de datos (Data Security Standard, DSS) del sector de tarjetas de pago (Payment Card Industry, PCI), la Ley de Sarbanes-Oxley (SOX), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (Health Insurance Portability and Accountability Act, HIPAA) y otras regulaciones similares proporcionan directrices para el manejo de tipos específicos de datos.

Amazon Redshift utiliza una jerarquía de claves de cifrado para cifrar la base de datos. Puede usar AWS Key Management Service (AWS KMS) o un módulo de seguridad por hardware (HSM) para administrar las claves de cifrado de nivel superior en esta jerarquía. El proceso que Amazon Redshift utiliza para el cifrado varía según la manera en que administra sus claves. Amazon Redshift se integra automáticamente con AWS KMS pero no con un HSM. Cuando utiliza un HSM, debe usar certificados de cliente y servidor para configurar una conexión segura entre Amazon Redshift y el HSM.

Cifrado de base de datos de Amazon Redshift mediante AWS KMS

Cuando selecciona AWS KMS para administrar las claves de Amazon Redshift, hay una jerarquía de cuatro niveles en las claves de cifrado. Estas claves, en orden jerárquico, son la clave maestra, una clave de cifrado de clúster (CEK), una clave de cifrado de base de datos (DEK) y claves de cifrado de datos.

Cuando se lanza el clúster, Amazon Redshift devuelve una lista de las claves maestras de cliente (CMK) que la cuenta de AWS ha creado o tiene permiso para usar en AWS KMS. Seleccione una CMK para utilizar como la clave maestra en la jerarquía de cifrado.

Por defecto, Amazon Redshift selecciona la clave predeterminada como la clave maestra. La clave predeterminada es una clave administrada por AWS que se crea para la cuenta de AWS que se va a utilizar en Amazon Redshift. AWS KMS crea esta clave la primera vez que se lanza un clúster cifrado en una región de AWS y se selecciona la clave predeterminada.

Si no desea utilizar la clave predeterminada, debe tener (o crear) otra CMK administrada por el cliente en AWS KMS antes de lanzar el clúster en Amazon Redshift. La administración por el cliente le CMKs ofrece más flexibilidad, incluida la posibilidad de crear, rotar, deshabilitar, definir el control de acceso y auditar las claves de cifrado utilizadas para ayudar a proteger los datos. Para obtener más información acerca de la creación de CMKs, consulte Creación de claves en la AWS Key Management Service Developer Guide .

Si desea utilizar una clave de AWS KMS de otra cuenta de AWS, debe tener permiso para utilizar la clave y especificar su nombre de recurso de Amazon (ARN) en Amazon Redshift. Para obtener más información acerca del acceso a las claves de AWS KMS, consulte el tema acerca de cómo controlar el acceso a las claves en la AWS Key Management Service Developer Guide.

Después de seleccionar una clave maestra, Amazon Redshift solicita a AWS KMS que genere una clave de datos y que la cifre a través de la clave maestra seleccionada. Esta clave de datos se utiliza como CEK en Amazon Redshift. AWS KMS exporta la CEK cifrada a Amazon Redshift, donde se almacena internamente en el disco en una red separada del clúster junto con la autorización de la CMK y el contexto de cifrado de la CEK. Solo se exporta la CEK cifrada a Amazon Redshift; la CMK se mantiene en AWS KMS. Amazon Redshift también transfiere la CEK privada al clúster a través de un canal seguro y la carga en la memoria. Luego, Amazon Redshift llama a AWS KMS para descifrar la CEK y carga la CEK descifrada en la memoria. Para obtener más información acerca de las concesiones, el contexto de cifrado y otros conceptos relacionados con AWS KMS, consulte Conceptos en la AWS Key Management Service Developer Guide.

A continuación, Amazon Redshift genera aleatoriamente una clave para utilizarla como la DEK y la carga en la memoria del clúster. Las CEK cifrada se utiliza para descifrar la DEK, que luego se pasa a través de un canal seguro desde el clúster para ser almacenada internamente por Amazon Redshift en el disco en una red separada del clúster. Como sucede con la CEK, ambas versiones cifradas y descifradas de la DEK se cargan en la memoria del clúster. La versión descifrada de la DEK se utiliza posteriormente para cifrar las claves de cifrado individuales que se generan aleatoriamente para cada bloque de datos de la base de datos.

Cuando se reinicia el clúster, Amazon Redshift arranca con las versiones cifradas almacenadas internamente de la CEK y la DEK, las vuelve a cargar en la memoria y ejecuta AWS KMS para que descifre nuevamente la CEK con la CMK y poder cargarla en la memoria. La CEK descifrada se utiliza posteriormente para descifrar la DEK nuevamente, y la DEK descifrada se carga en la memoria y se utiliza para cifrar y descifrar las claves de bloque de datos según sea necesario.

Para obtener más información acerca de la creación de clústeres de Amazon Redshift cifrados con claves de AWS KMS, consulte Creación de un clúster y Administración de clústeres mediante la AWS CLI y la Amazon Redshift API de.

Copia de instantáneas AWS KMS–cifradas en otra región de AWS

AWS KMSLas claves de son específicas de cada región de AWS. Si habilita la copia de instantáneas de Amazon Redshift en otra región de AWS y el clúster de origen y sus instantáneas están cifradas con una clave maestra de AWS KMS, deberá configurar una autorización para que Amazon Redshift pueda utilizar una clave maestra en la región de AWS de destino. Esta autorización permite que Amazon Redshift cifre instantáneas en la región de AWS de destino. Para obtener más información acerca de la copia de instantáneas entre regiones, consulte Copia de instantáneas en otra región de AWS.

nota

Si habilita la copia de instantáneas desde un clúster cifrado y utiliza AWS KMS como la clave maestra, no puede cambiar el nombre del clúster ya que el nombre del clúster es parte del contexto de cifrado. Si debe cambiarle el nombre al clúster, puede deshabilitar la copia de instantáneas en la región de AWS de destino, cambiar el nombre del clúster y, luego, configurar y habilitar la copia de instantáneas nuevamente.

A continuación se detalla el proceso para configurar la autorización para la copia de instantáneas.

  1. En la región de AWS de destino, cree una autorización de copia de instantáneas a través de las siguientes acciones:

    • Si no dispone de una clave de AWS KMS, cree una. Para obtener más información acerca de la creación de claves AWS KMS, consulte la sección sobre la creación de claves en la AWS Key Management Service Developer Guide.

    • Especifique un nombre para la autorización de copia de instantáneas. Este nombre debe ser único en esa región de AWS para la cuenta de AWS.

    • Especifique el ID de la clave de AWS KMS para la que crea la autorización. Si no especifica un ID de clave, la autorización se aplica a la clave predeterminada.

  2. En la región de AWS de origen, habilite la copia de instantáneas y especifique el nombre de la autorización de copia de instantáneas que creó en la región de AWS de destino.

Este proceso anterior solo es necesario si habilita la copia de instantáneas mediante la AWS CLI, la Amazon Redshift API de o SDKs. Si utiliza la consola de , Amazon Redshift proporciona el flujo de trabajo adecuado para configurar la concesión al habilitar la copia de instantáneas entre regiones. Para obtener más información acerca de la configuración para copiar instantáneas entre regiones con clústeres cifrados por AWS KMS mediante la consola, consulte Configurar la copia de instantáneas entre regiones para un clúster AWS KMS–cifrado.

Antes de que la instantánea se copie en la región de AWS de destino, Amazon Redshift la descifra utilizando la clave maestra de la región de AWS de origen y vuelve a cifrarla temporalmente con la clave RSA generada de forma aleatoria que Amazon Redshift administra internamente. A continuación, Amazon Redshift copia la instantánea en la región de AWS de destino a través de un canal seguro, la descifra utilizando la clave RSA administrada internamente y vuelve a cifrarla utilizando la clave maestra de la región de AWS de destino.

Para obtener más información acerca de la configuración de autorizaciones para copiar instantáneas de clústeres cifrados con AWS KMS, consulte Configuración de Amazon Redshift para utilizar claves de cifrado de AWS KMS mediante la AWS CLI y la API de Amazon Redshift.

Cifrado de Amazon Redshift mediante módulos de seguridad de hardware

Si no utiliza AWS KMS para la administración de claves, puede usar un módulo de seguridad por hardware (HSM) para administrar las claves con Amazon Redshift.

importante

No se admite el cifrado de HSM para los tipos de nodos DC2 y RA3.

HSMs son dispositivos que proporcionan control directo de la generación y administración de claves. Proporcionan mayor seguridad al separar la administración de claves de las capas de aplicación y base de datos. Amazon Redshift admite AWS CloudHSM Classic para la administración de claves. El proceso de cifrado es diferente cuando usa HSM para administrar las claves de cifrado en lugar de AWS KMS.

importante

Amazon Redshift solo admite AWS CloudHSM Classic. No se admite el CloudHSM servicio de AWS más reciente.

AWS CloudHSM Classic está cerrado a nuevos clientes. Para obtener más información, consulte Precios CloudHSM de Classic. AWS CloudHSM Classic no está disponible en todas las regiones de AWS. Para obtener más información sobre las regiones de AWS disponibles, consulte la tabla de regiones de AWS.

Cuando configura el clúster para utilizar un HSM, Amazon Redshift envía una solicitud al HSM para generar y almacenar una clave para utilizar como la CEK. Sin embargo, a diferencia de AWS KMS, el HSM no exporta la CEK a Amazon Redshift. En cambio, Amazon Redshift genera aleatoriamente la DEK en el clúster y la pasa al HSM para ser cifrada por la CEK. El HSM devuelve la DEK cifrada a Amazon Redshift, donde se cifra aún más utilizando una clave maestra interna generada de forma aleatoria que se guarda internamente en el disco, en una red separada del clúster. Amazon Redshift también carga la versión descifrada de la DEK en la memoria del clúster para que puede utilizarse para cifrar y descifrar las claves concretas de los bloques de datos.

Si se reinicia el clúster, Amazon Redshift descifra la DEK con doble cifrado almacenada internamente a través de la clave interna para devolver la DEK almacenada internamente al estado cifrado por CEK. La DEK cifrada por CEK se pasa al HSM para descifrarse y pasarse nuevamente a Amazon Redshift, donde se puede cargar en la memoria nuevamente para utilizarla con las claves de bloque de datos individuales.

Configuración de una conexión segura entre Amazon Redshift y un HSM

Cuando elige utilizar un HSM para la administración de la clave del clúster, necesita configurar un enlace de red segura entre Amazon Redshift y el HSM. Para hacerlo, necesita configurar los certificados de cliente y servidor. La conexión segura se utiliza para pasar las claves de cifrado entre el HSM y Amazon Redshift durante las operaciones de cifrado y descifrado.

Amazon Redshift crea un certificado de cliente público desde un par de claves privadas y públicas generado aleatoriamente. Estas se cifran y almacenan internamente. Descargue y registre el certificado de cliente público en el HSM, y asígnelo a la partición de HSM aplicable.

Tiene que proporcionar a Amazon Redshift la dirección IP de HSM, el nombre de partición de HSM, la contraseña de partición de HSM y un certificado de servidor de HSM público, que se cifra utilizando una clave maestra interna. Amazon Redshift completa el proceso de configuración y verifica que puede conectarse al HSM. Si no puede conectarse, el clúster se coloca en el estado INCOMPATIBLE_HSM y no se crea. En este caso, debe eliminar el clúster incompleto y volver a intentarlo.

importante

Cuando modifica el clúster para usar una partición de HSM diferente, Amazon Redshift verifica que puede conectarse a la nueva partición, pero no verifica si existe una clave cifrada válida. Antes de usar la nueva partición, debe replicar las claves en la nueva partición. Si el clúster se reinicia y Amazon Redshift no puede encontrar una clave válida, el reinicio produce un error. Para obtener más información, consulte Replicación de claves en HSMs .

Para obtener más información acerca de cómo configurar Amazon Redshift para que utilice un HSM, consulte Configuración de Amazon Redshift para utilizar un HSM a través de la Amazon Redshift console y Configuración de Amazon Redshift para utilizar un HSM mediante la API de Amazon Redshift y AWS CLI.

Después de la configuración inicial, si Amazon Redshift no puede conectarse al HSM, se registra un evento. Para obtener más información acerca de estos eventos, consulte Notificaciones de eventos de Amazon Redshift.

Rotación de claves de cifrado en Amazon Redshift

En Amazon Redshift puede cambiar las claves de cifrado para los clústeres cifrados. Cuando se inicia el proceso de rotación de claves, Amazon Redshift cambia la CEK del clúster especificado y de cualquier instantánea automatizada o manual de dicho clúster. Amazon Redshift también cambia la DEK del clúster especificado, pero no puede cambiar la DEK de las instantáneas mientras están almacenadas internamente en Amazon Simple Storage Service (Amazon S3) y permanecen cifradas con la DEK existente.

Mientras la rotación está en curso, el clúster entra en el estado ROTATING_KEYS hasta que finaliza el proceso, momento en el que vuelve al estado AVAILABLE. Amazon Redshift administra el descifrado y el nuevo cifrado durante el proceso de rotación de claves.

nota

No puede cambiar claves para instantáneas que no tienen un clúster de origen. Antes de eliminar un clúster, verifique si sus instantáneas dependen de una rotación de claves.

Debido a que el clúster no está disponible momentáneamente durante el proceso de rotación de claves, debe cambiar las claves solo cuando lo requieran los datos o cuando sospeche que las claves están en riesgo. Como práctica recomendada, debe revisar el tipo de datos que almacena y planificar la frecuencia con la que cambia las claves que cifran esos datos. La frecuencia de la rotación de claves varía según las políticas corporativas de seguridad de datos y cualquier estándar que se refiera a información confidencial y conformidad normativa. Asegúrese de que el plan equilibre las necesidades de seguridad con las consideraciones de disponibilidad para el clúster.

Para obtener más información acerca de rotación de claves, consulte Rotación de las claves de cifrado mediante la Amazon Redshift console y Rotación de claves de cifrado mediante la API y la AWS CLI de Amazon Redshift.