# SEC08-BP03 Automatización de la protección de los datos en reposo
<a name="sec_protect_data_rest_automate_protection"></a>

 Utilice la automatización para validar y aplicar los controles de datos en reposo.  Utilice el análisis automatizado para detectar errores de configuración de sus soluciones de almacenamiento de datos y, en la medida de lo posible, aplique las correcciones mediante una respuesta programática automatizada.  Incorpore la automatización en sus procesos de CI/CD para detectar errores de configuración del almacenamiento de datos antes de que se implementen en producción. 

 **Resultado deseado:** los sistemas automatizados analizan y supervisan las ubicaciones de almacenamiento de datos para detectar los errores de configuración de los controles, el acceso no autorizado y el uso inesperado.  La detección de ubicaciones de almacenamiento mal configuradas inicia las correcciones automatizadas.  Los procesos automatizados crean copias de seguridad de los datos y almacenan copias inmutables fuera del entorno original. 

 **Patrones comunes de uso no recomendados:** 
+  No tener en cuenta las opciones de habilitar el cifrado de forma predeterminada, cuando sea posible. 
+  No tener en cuenta los eventos de seguridad, además de los eventos operativos, al formular una estrategia automatizada de copias de seguridad y recuperación. 
+  No aplicar la configuración de acceso público a los servicios de almacenamiento. 
+  No supervisar ni auditar los controles para proteger los datos en reposo. 

 **Beneficios de establecer esta práctica recomendada:** la automatización ayuda a prevenir el riesgo de configurar erróneamente las ubicaciones de almacenamiento de datos. También ayuda a evitar que los errores de configuración lleguen a los entornos de producción. Esta práctica recomendada también ayuda a detectar y corregir errores de configuración si se producen.  

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** medio 

## Guía para la implementación 
<a name="implementation-guidance"></a>

 La automatización es una noción común a todas las prácticas de protección de los datos en reposo. [SEC01-BP06 Automatización de la implementación de controles de seguridad estándares](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) describe cómo puede plasmar la configuración de sus recursos en plantillas de *infraestructura como código* (IaC), por ejemplo, con[AWS CloudFormation](https://aws.amazon.com/cloudformation/).  Estas plantillas están confirmadas con un sistema de control de versiones y se utilizan para implementar recursos en AWS a través de una canalización de CI/CD.  Estas técnicas también se aplican a la automatización de la configuración de sus soluciones de almacenamiento de datos, como la configuración de cifrado en los buckets de Amazon S3.   

 Puede comprobar la configuración que defina en sus plantillas de IaC para determinar si hay errores de configuración en sus canalizaciones de CI/CD mediante las reglas en [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html).  Puede supervisar los ajustes que aún no estén disponibles en CloudFormation u otras herramientas de IaC para detectar errores de configuración con [AWS Config](https://aws.amazon.com/config/).  Las alertas que Config genera por errores de configuración se pueden corregir automáticamente, tal como se describe en [SEC04-BP04 Inicio de correcciones para recursos no conformes](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html). 

 El uso de la automatización como parte de su estrategia de administración de permisos también es un componente integral de las protecciones de datos automatizadas. [SEC03-BP02 Concesión de acceso con privilegios mínimos](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html) y [SEC03-BP04 Reducción continua de los permisos](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html) describen la configuración de políticas de acceso con privilegios mínimos bajo la supervisión continua del [AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) para generar resultados cuando puedan reducirse los permisos.  Además de la automatización de los permisos de supervisión, puede configurar [Amazon GuardDuty](https://aws.amazon.com/guardduty/) para detectar comportamientos anómalos en el acceso a los datos de sus [volúmenes de EBS](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html) (a través de una instancia de EC2), [buckets de S3](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) y [bases de datos de Amazon Relational Database Service](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) compatibles. 

 La automatización también desempeña un papel a la hora de detectar cuándo se almacenan datos confidenciales en ubicaciones no autorizadas. [SEC07-BP03 Automatización de la identificación y la clasificación](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html) describe cómo [Amazon Macie](https://aws.amazon.com/macie/) puede supervisar sus buckets de S3 para detectar datos confidenciales inesperados y generar alertas que puedan iniciar una respuesta automática. 

 Siga las prácticas de [REL09 Copia de seguridad de los datos](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/back-up-data.html) para desarrollar una estrategia automatizada de copia de seguridad y recuperación de datos. La copia de seguridad y la recuperación de datos son tan importantes para la recuperación de los eventos de seguridad como para los eventos operativos. 

### Pasos para la implementación
<a name="implementation-steps"></a>

1.  Capture la configuración de almacenamiento de datos en plantillas de IaC.  Utilice comprobaciones automatizadas en sus canalizaciones de CI/CD para detectar errores de configuración. 

   1.  Para [CloudFormation](https://aws.amazon.com/cloudformation/) puede usar sus plantillas de IaC, y [CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) para comprobar si hay errores de configuración en las plantillas. 

   1.  Utilice [AWS Config](https://aws.amazon.com/config/) para ejecutar reglas en un modo de evaluación proactiva. Use esta configuración para comprobar la conformidad de un recurso como uno de los pasos del proceso de CI/CD antes de crearlo. 

1.  Supervise los recursos en busca de errores de configuración de almacenamiento de datos. 

   1.  Configure [AWS Config](https://aws.amazon.com/config/) para supervisar los recursos de almacenamiento de datos con el fin de detectar cambios en las configuraciones de control y para generar alertas que invoquen acciones correctivas cuando se detecte un error de configuración. 

   1.  Consulte [SEC04-BP04 Inicio de correcciones para recursos no conformes](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html) para obtener más información sobre las correcciones automatizadas. 

1.  Supervise y reduzca los permisos de acceso a los datos de forma continua mediante la automatización. 

   1.  El [Analizador de acceso de IAM](https://aws.amazon.com/iam/access-analyzer/) puede ejecutarse de forma continua para generar alertas cuando los permisos puedan reducirse. 

1.  Supervise los comportamientos anómalos de acceso a los datos y emita alertas si detecta alguno. 

   1.  [GuardDuty](https://aws.amazon.com/guardduty/) vigila tanto las firmas de amenazas conocidas como las desviaciones de los comportamientos de acceso básicos para los recursos de almacenamiento de datos, como los volúmenes de EBS, los buckets de S3 y las bases de datos de RDS. 

1.  Supervise los datos confidenciales que se almacenan en ubicaciones inesperadas y emita alertas si detecta algún caso. 

   1.  Use [Amazon Macie](https://aws.amazon.com/macie/) para analizar continuamente sus buckets de S3 en busca de datos confidenciales. 

1.  Automatice las copias de seguridad seguras y cifradas de sus datos. 

   1.  [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) es un servicio administrado que crea copias de seguridad de diferentes orígenes de datos en AWS.  La [Recuperación de desastres elástica](https://aws.amazon.com/disaster-recovery/) le permite copiar cargas de trabajo completas del servidor y mantener una protección de datos continua con un objetivo de punto de recuperación (RPO) medido en segundos.  Puede configurar ambos servicios para que funcionen en conjunto con el fin de automatizar la creación de copias de seguridad de datos y su almacenamiento en ubicaciones de conmutación por error.  Esto puede ayudar a mantener sus datos disponibles cuando se vean afectados por eventos operativos o de seguridad. 

## Recursos
<a name="resources"></a>

 **Prácticas recomendadas relacionadas:** 
+  [SEC01-BP06 Automatización de la implementación de controles de seguridad estándares](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) 
+  [SEC03-BP02 Concesión de acceso con privilegios mínimos](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html) 
+  [SEC03-BP04 Reducción continua de los permisos](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html) 
+  [SEC04-BP04 Inicio de correcciones para recursos no conformes](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html) 
+  [SEC07-BP03 Automatización de la identificación y la clasificación](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html) 
+  [REL09-BP02 Protección y cifrado de copias de seguridad](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_secured_backups_data.html) 
+  [REL09-BP03 Copias de seguridad automáticas de los datos](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_automated_backups_data.html) 

 **Documentos relacionados:** 
+  [AWS Prescriptive Guidance: Automatically encrypt existing and new Amazon EBS volumes](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) 
+  [Ransomware Risk Management on AWS Using the NIST Cyber Security Framework (CSF)](https://docs.aws.amazon.com/whitepapers/latest/ransomware-risk-management-on-aws-using-nist-csf/ransomware-risk-management-on-aws-using-nist-csf.html) 

 **Ejemplos relacionados:** 
+  [How to use AWS Config proactive rules and AWS CloudFormation Hooks to prevent creation of noncompliant cloud resources](https://aws.amazon.com/blogs/mt/how-to-use-aws-config-proactive-rules-and-aws-cloudformation-hooks-to-prevent-creation-of-non-complaint-cloud-resources/) 
+  [Automate and centrally manage data protection for Amazon S3 with AWS Backup](https://aws.amazon.com/blogs/storage/automate-and-centrally-manage-data-protection-for-amazon-s3-with-aws-backup/) 
+  [AWS re:Invent 2023 - Implement proactive data protection using Amazon EBS snapshots](https://www.youtube.com/watch?v=d7C6XsUnmHc) 
+  [AWS re:Invent 2022 - Build and automate for resilience with modern data protection](https://www.youtube.com/watch?v=OkaGvr3xYNk) 

 **Herramientas relacionadas:** 
+  [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 
+  [AWS CloudFormation Guard Rules Registry](https://github.com/aws-cloudformation/aws-guard-rules-registry) 
+  [IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) 
+  [Amazon Macie](https://aws.amazon.com/macie/) 
+  [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) 
+  [Recuperación de desastres elástica](https://aws.amazon.com/disaster-recovery/)