SEC08-BP03 Automatice la protección de datos en reposo - AWS Marco Well-Architected

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

SEC08-BP03 Automatice la protección de datos en reposo

Utilice la automatización para validar y aplicar los controles de datos en reposo.  Utilice el análisis automatizado para detectar errores de configuración de sus soluciones de almacenamiento de datos y, en la medida de lo posible, aplique las correcciones mediante una respuesta programática automatizada.  Incorpore la automatización en sus procesos de CI/CD para detectar errores de configuración del almacenamiento de datos antes de que se implementen en producción.

Resultado deseado: los sistemas automatizados analizan y supervisan las ubicaciones de almacenamiento de datos para detectar los errores de configuración de los controles, el acceso no autorizado y el uso inesperado.  La detección de ubicaciones de almacenamiento mal configuradas inicia las correcciones automatizadas.  Los procesos automatizados crean copias de seguridad de los datos y almacenan copias inmutables fuera del entorno original.

Patrones comunes de uso no recomendados:

  • No tener en cuenta las opciones de habilitar el cifrado de forma predeterminada, cuando sea posible.

  • No tener en cuenta los eventos de seguridad, además de los eventos operativos, al formular una estrategia automatizada de copias de seguridad y recuperación.

  • No aplicar la configuración de acceso público a los servicios de almacenamiento.

  • No supervisar ni auditar los controles para proteger los datos en reposo.

Beneficios de establecer esta práctica recomendada: la automatización ayuda a prevenir el riesgo de configurar erróneamente las ubicaciones de almacenamiento de datos. También ayuda a evitar que los errores de configuración lleguen a los entornos de producción. Esta práctica recomendada también ayuda a detectar y corregir errores de configuración si se producen. 

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación 

La automatización es una noción común a todas las prácticas de protección de los datos en reposo. SEC01-BP06 Automatizar el despliegue de controles de seguridad estándar describe cómo puede capturar la configuración de sus recursos mediante plantillas de infraestructura como código (IaC), por ejemplo, con. AWS CloudFormation  Estas plantillas se basan en un sistema de control de versiones y se utilizan para implementar recursos a AWS través de una canalización de CI/CD.  Estas técnicas también se aplican a la automatización de la configuración de sus soluciones de almacenamiento de datos, como la configuración de cifrado en los buckets de Amazon S3.  

Puede comprobar la configuración que defina en sus plantillas de IaC para determinar si hay errores de configuración en sus canalizaciones de CI/CD mediante las reglas en AWS CloudFormation Guard.  Puede supervisar los ajustes que aún no están disponibles en otras herramientas de CloudFormation IaC para detectar errores de configuración. AWS Config  Las alertas que Config genera por errores de configuración se pueden corregir automáticamente, como se describe en SEC04-BP04 Inicie la corrección de los recursos no conformes.

El uso de la automatización como parte de su estrategia de administración de permisos también es un componente integral de las protecciones de datos automatizadas. SEC03-BP02 Otorgar el acceso con los privilegios mínimos y SEC03-BP04 Reducir los permisos Describa de forma continua la configuración de las políticas de acceso con los privilegios mínimos que son supervisadas continuamente por el organismo para determinar cuándo se pueden reducir los permisos. AWS Identity and Access Management Access Analyzer  Más allá de la automatización para la supervisión de los permisos, puede configurar Amazon GuardDuty para que observe el comportamiento anómalo de acceso a los datos de sus EBSvolúmenes (mediante una EC2 instancia), los buckets de S3 y las bases de datos compatibles de Amazon Relational Database Service.

La automatización también desempeña un papel a la hora de detectar cuándo se almacenan datos confidenciales en ubicaciones no autorizadas. SEC07-BP03 Automatizar la identificación y la clasificación describe cómo Amazon Macie puede supervisar sus depósitos de S3 para detectar datos confidenciales inesperados y generar alertas que puedan iniciar una respuesta automática.

Siga las prácticas de REL09 Backup data para desarrollar una estrategia automatizada de respaldo y recuperación de datos. La copia de seguridad y la recuperación de datos son tan importantes para la recuperación de los eventos de seguridad como para los eventos operativos.

Pasos para la implementación

  1. Capture la configuración de almacenamiento de datos en plantillas de IaC.  Utilice comprobaciones automatizadas en sus canalizaciones de CI/CD para detectar errores de configuración.

    1. Puede utilizarlas para sus plantillas de IaC y CloudFormationGuard para comprobar si las plantillas están mal configuradas.

    2. Utilice AWS Config para ejecutar reglas en un modo de evaluación proactiva. Use esta configuración para comprobar la conformidad de un recurso como uno de los pasos del proceso de CI/CD antes de crearlo.

  2. Supervise los recursos en busca de errores de configuración de almacenamiento de datos.

    1. Configure AWS Config para supervisar los recursos de almacenamiento de datos con el fin de detectar cambios en las configuraciones de control y para generar alertas que invoquen acciones correctivas cuando se detecte un error de configuración.

    2. Consulte SEC04-BP04 Iniciar la corrección para ver los recursos que no cumplen con las normas para obtener más información sobre las correcciones automatizadas.

  3. Supervise y reduzca los permisos de acceso a los datos de forma continua mediante la automatización.

    1. IAMAccess Analyzer puede ejecutarse de forma continua para generar alertas cuando se puedan reducir los permisos.

  4. Supervise los comportamientos anómalos de acceso a los datos y emita alertas si detecta alguno.

    1. GuardDutyvigila tanto las señales de amenazas conocidas como las desviaciones con respecto a los comportamientos de acceso básicos para los recursos de almacenamiento de datos, como los EBS volúmenes, los depósitos de S3 y RDS las bases de datos.

  5. Supervise los datos confidenciales que se almacenan en ubicaciones inesperadas y emita alertas si detecta algún caso.

    1. Use Amazon Macie para analizar continuamente sus buckets de S3 en busca de datos confidenciales.

  6. Automatice las copias de seguridad seguras y cifradas de sus datos.

    1. AWS Backupes un servicio gestionado que crea copias de seguridad cifradas y seguras de diversas fuentes de datos en AWS.  Elastic Disaster Recovery te permite copiar cargas de trabajo completas del servidor y mantener una protección de datos continua con un objetivo de punto de recuperación (RPO) medido en segundos.  Puede configurar ambos servicios para que funcionen en conjunto con el fin de automatizar la creación de copias de seguridad de datos y su almacenamiento en ubicaciones de conmutación por error.  Esto puede ayudar a mantener sus datos disponibles cuando se vean afectados por eventos operativos o de seguridad.

Recursos

Prácticas recomendadas relacionadas:

Documentos relacionados:

Ejemplos relacionados:

Herramientas relacionadas: