Proteção de dados no AWS Secrets Manager - AWS Secrets Manager

Proteção de dados no AWS Secrets Manager

O modelo de responsabilidade compartilhada da AWS se aplica à proteção de dados no AWS Secrets Manager. Conforme descrito nesse modelo, a AWS é responsável por proteger a infraestrutura global que executa toda a Nuvem AWS. Você é responsável por manter o controle sobre seu conteúdo hospedado nessa infraestrutura. Esse conteúdo inclui as tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que você usa. Para obter mais informações sobre a privacidade de dados, consulte as Perguntas frequentes sobre privacidade de dados. Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog AWS Shared Responsibility Model and GDPR no Blog de segurança da AWS.

Para fins de proteção de dados, recomendamos que você proteja as credenciais da conta da Conta da AWS e configure as contas de usuário individuais com o AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:

  • Use uma autenticação multifator (MFA) com cada conta.

  • Use SSL/TLS para se comunicar com os recursos da AWS. Recomendamos TLS 1.2 ou posterior.

  • Configure o registro em log das atividades da API e do usuário com o AWS CloudTrail.

  • Use as soluções de criptografia da AWS, juntamente com todos os controles de segurança padrão nos serviços da AWS.

  • Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados pessoais armazenados no Amazon S3.

  • Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar a AWS por meio de uma interface de linha de comando ou uma API, use um endpoint do FIPS. Para obter mais informações sobre endpoints do FIPS, consulte Federal Information Processing Standard (FIPS) 140-2.

É altamente recomendável que você nunca coloque informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo Name (Nome). Isso também é válido quando você trabalha com o Secrets Manager ou outros serviços da AWS usando o console, a API, a AWS CLI ou SDKs da AWS . Quaisquer dados inseridos em marcações ou campos de formato livre usados para nomes podem ser usados para logs de cobrança ou diagnóstico. Se fornecer um URL para um servidor externo, recomendemos fortemente que não sejam incluídas informações de credenciais no URL para validar a solicitação a esse servidor.

Criptografia em repouso

O Secrets Manager usa criptografia por meio do AWS Key Management Service (AWS KMS) para proteger a confidencialidade dos dados em repouso. O AWS KMS fornece um serviço de armazenamento e criptografia de chaves usado por muitos serviços da AWS. O Secrets Manager associa cada segredo a uma chave do KMS. A chave do KMS associada pode ser a Chave gerenciada pela AWS do Secrets Manager para a conta, ou você pode criar sua própria chave gerenciada pelo cliente no AWS KMS. Para mais informações, consulte Criptografia e descriptografia de segredos.

Criptografia em trânsito

O Secrets Manager fornece endpoints seguros e privados para criptografar dados em trânsito. Os endpoints seguros e privados permitem que a AWS proteja a integridade das solicitações de API ao Secrets Manager. A AWS exige que as chamadas de API sejam assinadas pelo autor da chama usando certificados X.509 e/ou uma chave de acesso secreta do Secrets Manager. Esse requisito é indicado no Processo de assinatura do Signature versão 4 (Sigv4).

Se você usar a AWS Command Line Interface (AWS CLI) ou qualquer um dos SDKs da AWS para fazer chamadas para a AWS, configure a chave de acesso a ser usada. Em seguida, essas ferramentas usam automaticamente a chave de acesso para assinar as solicitações para você.

TLS pós-quântico

O Secrets Manager é compatível com uma opção de troca pós-quântica híbrida de chaves para o protocolo Transport Layer Security (TLS) de criptografia de rede. Você pode usar essa opção de TLS ao se conectar a endpoints de API do Secrets Manager. Estamos oferecendo esse recurso antes da padronização dos algoritmos pós-quânticos, permitindo que você comece a testar o efeito desses protocolos de troca de chaves em chamadas do Secrets Manager. Esses recursos opcionais de troca de chaves pós-quânticas híbridas são pelo menos tão seguros quanto a criptografia TLS que usamos atualmente e provavelmente fornecerão benefícios adicionais de segurança. No entanto, eles afetam a latência e o throughput em comparação com os protocolos clássicos de troca de chaves em uso atualmente.

Para proteger dados criptografados atualmente contra possíveis ataques futuros, a AWS está participando junto com a comunidade criptográfica no desenvolvimento de algoritmos quânticos ou pós-quânticos. Implementamos pacotes de criptografia de troca pós-quântica híbrida de chaves em endpoints do Secrets Manager. Esses conjuntos de cifras híbridas, que combinam elementos clássicos e pós-quânticos, garantem que sua conexão TLS seja pelo menos tão forte quanto seria com pacotes de criptografia clássica. No entanto, como as características de desempenho e os requisitos de largura de banda dos pacotes de criptografia híbrida são diferentes dos mecanismos clássicos de troca de chaves, recomendamos testá-los em suas chamadas de API.

Para obter mais informações sobre o uso de TLS pós-quântico híbrido, consulte:

O TLS pós-quântico para o Secrets Manager está disponível em todas as regiões da Regiões da AWS, exceto para AWS GovCloud (US) e China.

Gerenciamento de chave de criptografia

Quando o Secrets Manager precisa criptografar uma nova versão dos dados protegidos do segredo, o Secrets Manager envia uma solicitação ao AWS KMS para gerar uma nova chave de dados da chave do KMS. O Secrets Manager usa essa chave de dados para criptografia de envelope. O Secrets Manager armazena a chave de dados criptografada com o segredo criptografado. Quando o segredo precisa ser descriptografado, o Secrets Manager pede ao AWS KMS para descriptografar a chave de dados. Em seguida, o Secrets Manager usa a chave de dados descriptografada para descriptografar o segredo criptografado. O Secrets Manager nunca armazena a chave de dados em formato não criptografado e remove a chave da memória o mais rápido possível. Para mais informações, consulte Criptografia e descriptografia de segredos.

Privacidade do tráfego entre redes

A AWS oferece opções para manter a privacidade ao rotear tráfego por meio de rotas de rede conhecidas e privadas.

Tráfego entre clientes de serviço e on-premises e as aplicações

Você tem duas opções de conectividade entre sua rede privada e a AWS Secrets Manager:

Tráfego entre recursos da AWS na mesma região

Para proteger o tráfego entre o Secrets Manager e os clientes de API na AWS, configure um PrivateLink da AWS para acessar com privacidade os endpoints de API do Secrets Manager.