SEC08-BP04: Aplicación del control de acceso

Para ayudarle a proteger sus datos en reposo, aplique el control de acceso mediante mecanismos como el aislamiento y el control de versiones, y utilice el principio del privilegio mínimo. Impida que se conceda acceso público a sus datos.

Resultado deseado: verificar que solo los usuarios autorizados puedan acceder a los datos en función de su necesidad de utilizarlos. Proteja sus datos con copias de seguridad periódicas y el control de versiones para evitar que se modifiquen o eliminen de forma intencionada o involuntaria. Aísle los datos críticos de otros datos para proteger su confidencialidad e integridad.

Antipatrones usuales:

Almacenar juntos datos con diferentes requisitos de confidencialidad o clasificación.
Utilizar permisos demasiado permisivos en las claves de descifrado.
Clasificar incorrectamente los datos.
No conservar copias de seguridad detalladas de los datos importantes.
Proporcionar acceso persistente a los datos de producción.
No auditar el acceso a los datos ni revisar periódicamente los permisos.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: bajo

Guía para la implementación

Hay muchos controles que pueden ayudar a proteger sus datos en reposo, como el control de acceso (con el privilegio mínimo), el aislamiento y el control de versiones. El acceso a sus datos debe auditarse utilizando mecanismos de detección, como AWS CloudTrail, y registros de nivel de servicio, como los registros de acceso de Amazon Simple Storage Service (Amazon S3). Debe realizar un inventario de los datos a los que se puede acceder públicamente y crear un plan para reducir la cantidad de datos disponibles públicamente a lo largo del tiempo.

El bloqueo de almacenes de Amazon S3 Glacier y el bloqueo de objetos de Amazon S3 proporcionan un control de acceso obligatorio para los objetos de Amazon S3: una vez bloqueada una política de almacenes con la opción de conformidad, ni siquiera el usuario raíz puede cambiarla hasta que venza el bloqueo.

Pasos para la implementación

Aplique el control de acceso: aplique el control de acceso con privilegios mínimos, incluido el acceso a las claves de cifrado.
Separe los datos en función de diferentes niveles de clasificación: utilice diferentes Cuentas de AWS para los niveles de clasificación de los datos y administre dichas cuentas mediante AWS Organizations.
Revise las políticas de AWS Key Management Service (AWS KMS): revise el nivel de acceso concedido en las políticas de AWS KMS.
Revise los permisos de los objetos y buckets de Amazon S3: revise periódicamente el nivel de acceso otorgado por las políticas de buckets de S3. La práctica recomendada es evitar el uso de buckets de lectura o escritura pública. Plantéese utilizar AWS Config para detectar buckets que están disponibles al público y Amazon CloudFront para ofrecer contenido de Amazon S3. Verifique que los buckets que no deben permitir el acceso público estén configurados correctamente para impedirlo. De manera predeterminada, todos los buckets de S3 son privados y solo permiten el acceso a los usuarios que cuentan con una autorización explícita.
Habilite AWS IAM Access Analyzer: IAM Access Analyzer analiza los buckets de Amazon S3 y genera un hallazgo cuando una política de S3 concede acceso a una entidad externa.
Habilite el control de versiones de Amazon S3 y el bloqueo de objetos cuando corresponda.
Utilice el inventario de Amazon S3: el inventario de Amazon S3 puede utilizarse para auditar e informar sobre el estado de replicación y cifrado de sus objetos de S3.
Revise los permisos de uso compartido de Amazon EBS y https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html: los permisos de uso compartido pueden permitir que las imágenes y los volúmenes se compartan con Cuentas de AWS externas a su carga de trabajo.
Revise periódicamente los recursos compartidos de AWS Resource Access Manager para determinar si los recursos deben seguir compartiéndose. Resource Access Manager le permite compartir recursos, como las políticas de AWS Network Firewall, las reglas de resolución de Amazon Route 53 y las subredes, dentro de sus Amazon VPC. Audite periódicamente los recursos compartidos y deje de compartir los recursos que ya no sea necesario.

Recursos

Prácticas recomendadas relacionadas:

Documentos relacionados:

Documento técnico Introducción a los detalles criptográficos de AWS KMS
Introducción a la administración de permisos de acceso a los recursos de Amazon S3
Información general sobre la administración de acceso a sus recursos de AWS KMS
Reglas de AWS Config
Amazon S3 + Amazon CloudFront: A Match Made in the Cloud (Amazon S3 + Amazon CloudFront: una combinación perfecta en la nube)
Uso del control de versiones
Usar Bloqueo de objetos de Amazon S3
Compartir una instantánea de Amazon EBS
AMI compartidas
Hosting a single-page application on Amazon S3 (Alojar una aplicación de una sola página en Amazon S3)

Vídeos relacionados:

Securing Your Block Storage on AWS (Protección del almacenamiento en bloque de AWS)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

SEC08-BP03 Automatización de la protección de los datos en reposo

SEGURIDAD 9. ¿Cómo protege sus datos en tránsito?