Este contenido está desactualizado. Esta versión de Well-Architected Framework se encuentra ahora en: https://docs.aws.amazon.com/es_es/wellarchitected/2022-03-31/framework/security.html
SEC 9: ¿Cómo protege sus datos en tránsito?
Proteja sus datos en tránsito mediante la implementación de varios controles a fin
de reducir el riesgo de acceso no autorizado o pérdida.
Recursos
AWS Certificate Manager
Services Integrated with AWS Certificate Manager
HTTPS Listeners for Your Application Load Balancer
AWS VPN
API Gateway Edge-Optimized
Prácticas recomendadas:
-
Implemente la gestión segura de claves y certificados: Almacene las claves de cifrado y los certificados de forma segura y rótelas a intervalos
de tiempo al aplicar un estricto control de acceso, p. ej., mediante el uso de un
servicio de gestión de certificados, como AWS Certificate Manager (ACM).
-
Aplique el cifrado en tránsito: Aplique los requisitos de cifrado definidos en función de los estándares y las recomendaciones
pertinentes para facilitar el cumplimiento de los requisitos organizativos, legales
y de cumplimiento.
-
Automatice la detección del acceso no deseado a los datos: Utilice herramientas como GuardDuty para detectar automáticamente los intentos de
trasladar datos fuera de los límites definidos en función del nivel de clasificación
de los datos, p. ej., para detectar un troyano que copia datos a una red desconocida
o no fiable mediante el protocolo DNS.
-
Autentique conexiones de red: Verifique la identidad de las comunicaciones mediante el uso de protocolos que admitan
la autenticación, como Transport Layer Security (TLS) o IPsec.
Plan de mejora
Implemente la gestión segura de claves y certificados
Implemente la gestión segura de claves y certificados: Implemente su solución definida de gestión segura de claves y certificados.
AWS Certificate Manager
How to host and manage an entire private certificate infrastructure in AWS
Implemente protocolos seguros: Utilice protocolos seguros que ofrezcan autenticación y confidencialidad, como el
de seguridad de la capa de transporte (Transport Layer Security, TLS) o IPsec, para
reducir el riesgo de manipulación o pérdida de datos. Verifique la documentación de
AWS para conocer los protocolos y la seguridad relevante para los servicios que utiliza.
AWS Documentation
Aplique el cifrado en tránsito
Aplique el cifrado en tránsito: Sus requisitos de cifrado definidos deben basarse en los estándares y prácticas recomendadas
más recientes y solo permiten protocolos seguros. Por ejemplo, solo configure un grupo
de seguridad que permita el protocolo HTTPS a una instancia EC2 o balanceador de carga
de aplicaciones.
Configure protocolos seguros en servicios de borde: Configure HTTPS con Amazon CloudFront y los codificadores necesarios.
Using HTTPS with CloudFront
Utilice una VPN para la conectividad externa: Considere la posibilidad de utilizar una VPN IPsec para asegurar las conexiones punto
a punto o de red a red para proporcionar tanto la privacidad como la integridad de
los datos.
VPN connections
Configure protocolos seguros en balanceadores de carga: Habilite el agente de escucha de HTTPS para asegurar las conexiones a los balanceadores
de carga.
HTTPS listeners for your application load balancer
Configure protocolos seguros para las instancias: Considere la posibilidad de configurar el cifrado HTTPS en las instancias.
Tutorial: Configure Apache web server on Amazon Linux 2 to use SSL/TLS
Configure los protocolos seguros en Amazon Relational Database Service (Amazon RDS): Utilice SSL/TLS para cifrar la conexión a las instancias de la base de datos.
Using SSL to encrypt a connection to a DB Instance
Configure protocolos seguros en Amazon Redshift: Configure su clúster para que requiera una conexión SSL/TLS.
Configure security options for connections
Configure protocolos seguros en más servicios de AWS: Determine las capacidades del cifrado en tránsito para los servicios de AWS que utilice.
AWS documentation
Automatice la detección del acceso no deseado a los datos
Automatice la detección del acceso no deseado a los datos: Utilice una herramienta o un mecanismo de detección para descubrir automáticamente
los intentos de trasladar datos fuera de los límites definidos, p. ej., para detectar
un sistema de base de datos que copia datos a un host no reconocido.
VPC Flow Logs
Considere la posibilidad de utilizar Amazon Macie: Amazon Macie monitorea de manera continua la actividad de acceso a los datos en busca
de problemas y genera alertas detalladas cuando detecta el riesgo de acceso no autorizado
o de fugas de datos involuntarias.
Amazon Macie
Autentique conexiones de red
Implemente protocolos seguros: Utilice protocolos seguros que ofrezcan autenticación y confidencialidad, como el
de seguridad de la capa de transporte (Transport Layer Security, TLS) o IPsec, para
reducir el riesgo de manipulación o pérdida de datos. Verifique la documentación de
AWS para conocer los protocolos y la seguridad relevante para los servicios que utiliza.
AWS Documentation
