SEC 8: ¿Cómo protege sus datos en reposo?

Proteja sus datos en reposo mediante la implementación de varios controles a fin de reducir el riesgo de acceso no autorizado o de manipulación indebida.

Recursos

How Encryption Works in AWS
Securing Your Block Storage on AWS
AWS Key Management Service
Protecting Amazon S3 Data Using Encryption
Amazon EBS Encryption
Encrypting Amazon RDS Resources
AWS KMS Cryptographic Details Whitepaper
AWS Encryption SDK
AWS Crypto Tools
AWS cryptographic services and tools

Prácticas recomendadas:

• Implemente una gestión segura de las claves: Las claves de cifrado deben almacenarse de forma segura, con un estricto control de acceso, p. ej., mediante el uso de un servicio de gestión de claves como AWS KMS. A fin de alinear los niveles de clasificación de datos y los requisitos de segregación, considere la posibilidad de utilizar claves diferentes y el control de acceso a las claves combinado con AWS IAM y las políticas de recursos.

• Aplique el cifrado en reposo: Aplique los requisitos de cifrado en función de los más recientes estándares y recomendaciones para ayudar a proteger sus datos en reposo.

• Automatice la protección de datos en reposo: Utilice herramientas automatizadas para validar y aplicar continuamente la protección de datos en reposo, p. ej., verifique que solo haya recursos de almacenamiento cifrados.

• Aplique el control de acceso: Aplique el control de acceso con privilegios mínimos y mecanismos, incluidos las copias de seguridad, el aislamiento y el control de versiones, para ayudar a proteger sus datos en reposo. Evite que los operadores concedan acceso público a sus datos.

• Utilice mecanismos para alejar a las personas de los datos: Mantenga a todos los usuarios alejados del acceso directo a los datos y los sistemas confidenciales en circunstancias operacionales normales. Por ejemplo, proporcione un panel en lugar de acceso directo a un almacén de datos para realizar consultas. En los casos en que no se utilicen canalizaciones de CI/CD, determine qué controles y procesos se requieren para proporcionar adecuadamente un mecanismo de acceso de cristal roto normalmente desactivado.

Plan de mejora

Implemente una gestión segura de las claves

Implemente AWS Key Management Service (AWS KMS): AWS Key Management Service (AWS KMS) le permite crear y gestionar las claves, así como controlar el uso del cifrado en toda una amplia gama de servicios de AWS y en sus aplicaciones. AWS KMS es un servicio seguro y resistente que utiliza módulos de seguridad de hardware validados por el FIPS 140-2 para proteger sus claves.
Getting started: AWS Key Management Service (AWS KMS)

Considere la posibilidad de utilizar AWS Encryption SDK: Utilice AWS Encryption SDK con la integración de AWS KMS cuando su aplicación necesite cifrar datos del lado del cliente.
AWS Encryption SDK

Aplique el cifrado en reposo

Aplique el cifrado en reposo para Amazon S3: Implemente el cifrado por defecto del bucket de S3.
How do I enable default encryption for an S3 bucket?

Utilice AWS Secrets Manager: AWS Secrets Manager es un servicio de AWS que le permite gestionar los secretos. Los secretos pueden ser credenciales de una base de datos, contraseñas, claves de API de terceros e incluso texto arbitrario.
AWS Secrets Manager

Configure el cifrado por defecto para nuevos volúmenes de EBS: Especifique que desea que todos los volúmenes de EBS recién creados se creen de forma cifrada, con la opción de utilizar la clave por defecto proporcionada por AWS o una clave que usted cree.
Default encryption for EBS volumes

Configure las imágenes cifradas de Amazon Machine (AMI): Copiar una AMI existente con el cifrado activado cifrará automáticamente los volúmenes de la raíz y las instantáneas.
AMIs with encrypted Snapshots

Configure el cifrado de Amazon RDS: Configure el cifrado para sus clústeres de base de datos de Amazon RDS y las instantáneas en reposo mediante la activación de la opción de cifrado.
Encrypting Amazon RDS resources

Configure el cifrado en otros servicios de AWS: Determine las capacidades del cifrado para los servicios de AWS que utilice.
AWS Documentation

Automatice la protección de datos en reposo

Aplique el control de acceso

Aplique el control de acceso: Aplique el control de acceso con los mínimos privilegios, incluido el acceso a las claves de cifrado.
Introduction to Managing Access Permissions to Your Amazon S3 Resources

Separe los datos en función de diferentes niveles de clasificación: Utilice diferentes cuentas de AWS para los niveles de clasificación de datos gestionados por AWS Organizations.
AWS Organizations

Revise las políticas de AWS KMS: Revise el nivel de acceso concedido en las políticas de AWS KMS.
Overview of managing access to your AWS KMS resources

Revise los permisos del bucket y los objetos de S3: Revise de manera regular el nivel de acceso concedido en las políticas del bucket de Amazon S3. Se recomienda no tener buckets que se puedan leer o escribir de manera pública. Considere la posibilidad de utilizar AWS Config para detectar buckets que estén a disposición del público, y Amazon CloudFront para servir el contenido de Amazon S3.
AWS Config Rules
Amazon S3 + Amazon CloudFront: A Match Made in the Cloud

Habilite el control de versiones y el bloqueo de objetos de Amazon S3
Using versioning
Locking Objects Using Amazon S3 Object Lock

Utilice el inventario de Amazon S3: El inventario de Amazon S3 es una de las herramientas que puede utilizar para auditar el estado de las réplicas y el cifrado de sus objetos, así como para informar sobre estos.
Amazon S3 Inventory

Revise los permisos de intercambio de Amazon EBS y AMI: Utilice los permisos de intercambio a fin de que se compartan imágenes y volúmenes a cuentas de AWS externas a su carga de trabajo.
Sharing an Amazon EBS Snapshot
Shared AMIs

Utilice mecanismos para alejar a las personas de los datos

Implemente mecanismos para alejar a las personas de los datos: Entre los mecanismos se incluyen el uso de tableros, como Amazon QuickSight, para mostrar los datos a los usuarios en lugar de consultarlos directamente.
Amazon QuickSight

Automatice la administración de la configuración: Realice acciones a una distancia, haga cumplir y valide las configuraciones seguras de manera automática con una herramienta o servicio de administración de configuración. Evite utilizar host bastiones o el acceso directo a las instancias del EC2.
AWS Systems Manager
AWS CloudFormation
CI/CD Pipeline for AWS CloudFormation templates on AWS