# SEC 9 ¿Cómo protege sus datos en tránsito?
<a name="w2aac19b7c13b9"></a>

Para proteger los datos en tránsito debe implementar varios controles para reducir el riesgo de acceso no autorizado o pérdida.

**Topics**
+ [SEC09-BP01: Implementación de la administración segura de claves y certificados](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Aplicar el cifrado en tránsito](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03: Automatización de la detección del acceso involuntario a los datos](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04: Autenticación de las comunicaciones de red](sec_protect_data_transit_authentication.md)

# SEC09-BP01: Implementación de la administración segura de claves y certificados
<a name="sec_protect_data_transit_key_cert_mgmt"></a>

 Almacene certificados y claves de cifrado de forma segura y rótelos en intervalos de tiempo adecuados con un estricto control de acceso. La mejor forma de hacer esto es utilizar un servicio administrado, como, por ejemplo, [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager). Le permite aprovisionar, administrar e implementar fácilmente certificados públicos y privados de seguridad de la capa de transporte (TLS) para utilizarlos con los servicios de AWS y sus recursos conectados internos. Los certificados de TLS se utilizan para proteger las comunicaciones de red y establecer la identidad de sitios web por Internet, así como de recursos en redes privadas. ACM se integra con los recursos de AWS, como, por ejemplo, los equilibradores de carga elásticos (ELB), las distribuciones de AWS y las API de API Gateway, además de gestionar renovaciones automáticas de certificados. Si utiliza ACM para implementar una CA raíz privada, esta puede proporcionar certificados y claves privadas para utilizarlos en instancias de Amazon Elastic Compute Cloud (Amazon EC2) contenedores, etc. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Implementación de la administración segura de claves y certificados: implemente una solución de administración segura de claves y certificados. 
  + [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
  + [ Cómo alojar y administrar toda una infraestructura de certificados privados en AWS](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+  Implementación de protocolos de seguridad: utilice protocolos seguros que ofrezcan autenticación y confidencialidad, como la seguridad de la capa de transporte (TLS) o IPsec, para reducir el riesgo de alteración o pérdida de datos. Consulte la documentación de AWS para obtener información sobre los protocolos y la seguridad pertinentes a los servicios que está utilizando. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [Documentación de AWS](https://docs.aws.amazon.com/)

# SEC09-BP02 Aplicar el cifrado en tránsito
<a name="sec_protect_data_transit_encrypt"></a>

 Aplique los requisitos de cifrado definidos según los estándares y las recomendaciones adecuadas como ayuda para cumplir los requisitos organizativos, legales y de cumplimiento. Los servicios de AWS proporcionan puntos de conexión HTTPS que utilizan TLS para la comunicación, lo que proporciona cifrado en tránsito cuando se comunica con las API de AWS. Los protocolos inseguros, como HTTP, se pueden auditar y bloquear en una VPC mediante el uso de grupos de seguridad. Las solicitudes HTTP también se pueden [redireccionar automáticamente a HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) en Amazon CloudFront o en un [Balanceador de carga de aplicaciones](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Dispone de un control total sobre los recursos informáticos para implementar el cifrado en tránsito en los servicios. También puede usar la conectividad de VPN en la VPC desde una red externa para facilitar el cifrado de tráfico. Hay soluciones de terceros disponibles en AWS Marketplace, si tiene requisitos especiales. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Aplique el cifrado en tránsito: los requisitos de cifrado definidos deben basarse en los últimos estándares y prácticas recomendadas, y solo permitir protocolos seguros. Por ejemplo, configure solo un grupo de seguridad para permitir el protocolo HTTPS a una instancia de equilibrador de carga de aplicaciones o instancia Amazon Elastic Compute Cloud (Amazon EC2). 
+  Configure protocolos seguros en los servicios periféricos: configure HTTPS con Amazon CloudFront y los cifrados necesarios. 
  + [ Uso de HTTPS con CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+  Utilice una VPN para la conectividad externa: considere la posibilidad de utilizar una red privada virtual (VPN) IPsec para proteger las conexiones punto a punto o de red a red para proporcionar tanto la privacidad como la integridad de los datos. 
  + [ Conexiones de VPN ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+  Configure protocolos seguros en los equilibradores de carga: active el agente de escucha HTTPS para proteger las conexiones con los equilibradores de carga. 
  + [ Cree un agente de escucha HTTPS para el balanceador de carga de aplicaciones ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+  Configure protocolos seguros para las instancias: considere la posibilidad de configurar el cifrado HTTPS en las instancias. 
  + [ Tutorial: configurar el servidor web Apache en Amazon Linux 2 para usar SSL/TLS ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+  Configure protocolos seguros en Amazon Relational Database Service (Amazon RDS): use la capa de sockets seguro (SSL) o la seguridad de la capa de transporte (TLS) para cifrar la conexión a las instancias de base de datos. 
  + [ Usar SSL para cifrar una conexión a una instancia de base de datos ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+  Configure protocolos seguros en Amazon Redshift: configure su clúster para que requiera una conexión de capa de sockets seguros (SSL) o de seguridad de la capa de transporte (TLS). 
  + [ Configure las opciones de seguridad para las conexiones ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+  Configure protocolos seguros en servicios de AWS adicionales En el caso de los servicios de AWS que utilice, determine las capacidades de cifrado en tránsito. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+ [ Documentación de AWS](https://docs.aws.amazon.com/index.html)

# SEC09-BP03: Automatización de la detección del acceso involuntario a los datos
<a name="sec_protect_data_transit_auto_unintended_access"></a>

 Utilice herramientas, tales como Amazon GuardDuty, para detectar automáticamente actividades sospechosas o intentos de trasladar datos fuera de los límites definidos. Por ejemplo, GuardDuty puede detectar actividad de lectura de Amazon Simple Storage Service (Amazon S3) que sea inusual con la [búsqueda Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Además de GuardDuty, [los registros de flujo de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), que capturan información sobre el tráfico de red, pueden utilizarse con Amazon EventBridge para desencadenar la detección de conexiones anómalas, tanto las que se han llegado a establecer como las denegadas. [El analizador de acceso de Amazon S3](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) puede ayudar a evaluar a qué datos pueden acceder ciertos usuarios en los buckets de Amazon S3. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Medio 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Automatización de la detección del acceso involuntario a los datos: utilice una herramienta o mecanismo de detección para detectar automáticamente los intentos de trasladar datos fuera de los límites definidos; por ejemplo, para detectar un sistema de base de datos que esté copiando datos a un host desconocido. 
  + [ Registros de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 
+  Plantéese utilizar Amazon Macie: Amazon Macie es un servicio de privacidad y seguridad de datos totalmente administrado que utiliza el machine learning y la coincidencia de patrones para detectar y proteger los datos confidenciales en AWS. 
  + [ Amazon Macie ](https://aws.amazon.com/macie/)

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+ [ Registros de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 
+ [ Amazon Macie ](https://aws.amazon.com/macie/)

# SEC09-BP04: Autenticación de las comunicaciones de red
<a name="sec_protect_data_transit_authentication"></a>

 Verifique la identidad de las comunicaciones mediante el uso de protocolos que admiten la autenticación, como la seguridad de la capa de transporte (TLS) o IPsec. 

El uso de protocolos de red que admiten la autenticación permite que se establezca una relación de confianza entre las partes. Esta ventaja se añade al cifrado utilizado en el protocolo para reducir el riesgo de que las comunicaciones se alteren o se intercepten. Entre los protocolos comunes que implementan la autenticación se incluyen la seguridad de la capa de transporte (TLS), que se utiliza en numerosos servicios de AWS, e IPsec, que se utiliza en [AWS Virtual Private Network (Site-to-Site VPN)](http://aws.amazon.com/vpn).

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Implementación de protocolos de seguridad: utilice protocolos seguros que ofrezcan autenticación y confidencialidad, como TLS o IPsec, para reducir el riesgo de alteración o pérdida de datos. Consulte la [documentación de AWS](https://docs.aws.amazon.com/) para obtener información sobre los protocolos y la seguridad pertinentes a los servicios que está utilizando. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [Documentación de AWS](https://docs.aws.amazon.com/)