Protección y cifrado de datos - AWS Transfer Family

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección y cifrado de datos

El modelo de responsabilidad AWS compartida modelo se aplica a la protección de datos en AWS Transfer Family (Transfer Family). Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se basa toda la AWS nube. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. Este contenido incluye las tareas de configuración y administración de la seguridad de AWS los servicios que utiliza. Para obtener más información sobre la privacidad de datos, consulte las Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección de datos en Europa, consulte la publicación del blog Modelo de responsabilidad compartida de AWS y RGPD en el blog de seguridad de AWS .

Con fines de protección de datos, le recomendamos que proteja las credenciales de las AWS cuentas y configure cuentas de usuario individuales con ellas AWS IAM Identity Center. De esta manera, cada usuario recibe únicamente los permisos necesarios para cumplir con sus obligaciones laborales. También recomendamos proteger sus datos de las siguientes maneras:

  • Utiliza la autenticación multifactor (MFA) en cada cuenta.

  • Úselo SSL/TLS para comunicarse con AWS los recursos. Admitimos TLS 1.2.

  • Configure la API y el registro de actividad de los usuarios con AWS CloudTrail.

  • Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados de AWS los servicios.

  • Utilice avanzados servicios de seguridad administrados, como Amazon Macie, que lo ayuden a detectar y proteger los datos personales almacenados en Amazon S3.

  • Si necesita módulos criptográficos validados FIPS 140-2 al acceder a AWS a través de una interfaz de línea de comandos o una API, utilice un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte Estándar de procesamiento de la información federal (FIPS) 140-2.

Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como, por ejemplo, números de cuenta de sus clientes, en los campos de formato libre, como el campo Nombre. Esto incluye cuando trabaja con Transfer Family u otros AWS servicios mediante la consola, la API o AWS SDKs. AWS CLI Cualquier dato de configuración que escriba en la configuración del servicio Transfer Family o en las configuraciones de otros servicios se puede incluir en los registros de diagnóstico. Cuando proporcione una URL a un servidor externo, no incluya información de credenciales en la URL para validar la solicitud para ese servidor.

Por el contrario, los datos de las operaciones de carga y descarga que entran y salen de los servidores de Transfer Family se consideran completamente privados y nunca existen fuera de los canales cifrados, como una conexión SFTP o FTPS. Solo las personas autorizadas pueden acceder a estos datos.

Cifrado de datos en Transfer Family

AWS Transfer Family utiliza las opciones de cifrado predeterminadas que ha establecido para su bucket de Amazon S3 para cifrar sus datos. Cuando se habilita el cifrado en un bucket, todos los objetos se cifran en el momento de almacenarse en el bucket. Los objetos se cifran mediante el cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3) o claves administradas () AWS Key Management Service (SSE-KMS AWS KMS). Para obtener más información sobre el cifrado del servidor, consulte Protección de datos con el cifrado del lado del servidor en la Guía del usuario de Amazon Simple Storage Service.

Los siguientes pasos le muestran cómo cifrar los datos. AWS Transfer Family

Para permitir el cifrado en AWS Transfer Family
  1. Habilitación del cifrado predeterminado en un bucket de Amazon S3. Para obtener instrucciones, consulte Cifrado predeterminado de Amazon S3 para los buckets de S3 en la Guía del usuario de Amazon Simple Storage Service.

  2. Actualice la política de funciones AWS Identity and Access Management (IAM) asociada al usuario para conceder los permisos necesarios AWS Key Management Service (AWS KMS).

  3. Si utiliza una política de sesión para el usuario, la política de sesión debe conceder los AWS KMS permisos necesarios.

El siguiente ejemplo muestra una política de IAM que concede los permisos mínimos necesarios cuando se utiliza AWS Transfer Family con un bucket de Amazon S3 que está habilitado para el AWS KMS cifrado. Incluya esta política de ejemplo en la política del rol de IAM del usuario y en la política de ámbito reducido, si utiliza alguna.

{ "Sid": "Stmt1544140969635", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey", "kms:GetPublicKey", "kms:ListKeyPolicies" ], "Effect": "Allow", "Resource": "arn:aws:kms:region:account-id:key/kms-key-id" }
nota

El ID de clave de KMS especificado en esta política debe ser el mismo que el especificado para el cifrado predeterminado en el paso 1.

La política AWS KMS clave debe permitir la raíz, o la función de IAM que se utiliza para el usuario. Para obtener información sobre la política AWS KMS clave, consulte Uso de políticas clave en AWS KMS en la Guía para AWS Key Management Service desarrolladores.

AWS Transfer Family cifrado en reposo

Como AWS Transfer Family es un servicio de transferencia de archivos, no administra los datos de almacenamiento en reposo. Los servicios y sistemas de almacenamiento AWS Transfer Family compatibles son responsables de proteger los datos en ese estado. Sin embargo, hay algunos datos relacionados con el servicio que se AWS Transfer Family administran en reposo.

¿Qué se cifra?

Los únicos datos que se AWS Transfer Family gestionan en reposo se refieren a los detalles que se necesitan para hacer funcionar los servidores de transferencia de archivos y procesar las transferencias. AWS Transfer Family almacena los siguientes datos con cifrado completo en reposo en Amazon DynamoDB:

  • Configuraciones del servidor (por ejemplo, ajustes del servidor, configuraciones de protocolo y detalles del punto final).

  • Datos de autenticación del usuario, incluidas las claves públicas de SSH y los metadatos del usuario.

  • Detalles de la ejecución del flujo de trabajo y configuraciones de los pasos.

  • Configuraciones de conectores y credenciales de autenticación para sistemas de terceros. Estas credenciales se cifran mediante claves de cifrado AWS Transfer Family gestionadas.

Administración de claves

No puede administrar las claves de cifrado que se AWS Transfer Family utilizan para almacenar información en DynamoDB relacionada con el funcionamiento de los servidores y el procesamiento de las transferencias. Esta información incluye las configuraciones del servidor, los datos de autenticación de los usuarios, los detalles del flujo de trabajo y las credenciales del conector.

¿Qué no está cifrado?

Aunque AWS Transfer Family no controla la forma en que se cifran los datos de almacenamiento en reposo, te recomendamos configurar las ubicaciones de almacenamiento con el nivel de seguridad más alto que admitan. Por ejemplo, puede cifrar objetos con claves de cifrado gestionadas por Amazon S3 (SSE-S3) o AWS KMS claves (SSE-KMS).

Obtenga más información sobre cómo los servicios de AWS almacenamiento cifran los datos en reposo: