# Protección de los datos en reposo
<a name="protecting-data-at-rest"></a>

Los *datos en reposo* representan cualquier dato que se almacene en un almacenamiento no volátil durante cualquier periodo de tiempo de su carga de trabajo. Esto incluye el almacenamiento en bloque, el almacenamiento de objetos, las bases de datos, los archivos, los dispositivos de IoT y todo tipo de forma de almacenamiento en la que se conserven los datos. La protección de los datos en reposo reduce el riesgo de acceso no autorizado si se implementan el cifrado y los controles de acceso adecuados. 

El cifrado y la tokenización son dos esquemas de protección de datos importantes, pero distintos. 

La *tokenización* es un proceso que le permite definir un token para representar un dato de carácter confidencial (por ejemplo, un token para representar el número de la tarjeta de crédito de un cliente). Un token debe carecer de sentido por sí solo y no debe derivarse de los datos que está tokenizando; por lo tanto, un resumen criptográfico no se puede utilizar como token. Al planificar minuciosamente el enfoque de tokenización, puede proporcionar protección adicional al contenido y puede asegurarse de que satisface los requisitos de conformidad. Por ejemplo, puede reducir el ámbito de complimiento de un sistema de procesamiento de tarjetas de crédito si aprovecha un token en lugar de un número de tarjeta de crédito. 

El *cifrado* es un método de transformación de contenido que impide que este se pueda leer sin una clave secreta necesaria para descifrarlo y convertirlo en texto sin formato. La tokenización y el cifrado se pueden usar para asegurar y proteger la información cuando corresponda. Además, el enmascaramiento es una técnica que permite redactar parte de un dato hasta el punto de que el resto de los datos no se considere confidencial. Por ejemplo, PCI-DSS permite retener los últimos cuatro dígitos del número de una tarjeta fuera del límite de cumplimiento para su indexación. 

**Auditoría del uso de claves de cifrado:** asegúrese de comprender y auditar el uso de las claves de cifrado para comprobar que los mecanismos de control de acceso de las claves se implementen de forma adecuada. Por ejemplo, cualquier servicio de AWS que utilice una clave de AWS KMS registra cada uso en AWS CloudTrail. A continuación, puede hacer consultas a AWS CloudTrail mediante una herramienta como Información de registros de Amazon CloudWatch para asegurarse de que todos los usos de sus claves sean válidos. 

**Topics**
+ [SEC08-BP01 Implementación de una administración de claves segura](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Aplicación del cifrado en reposo](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatización de la protección de los datos en reposo](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Aplicación del control de acceso](sec_protect_data_rest_access_control.md)

# SEC08-BP01 Implementación de una administración de claves segura
<a name="sec_protect_data_rest_key_mgmt"></a>

 La administración segura de claves incluye el almacenamiento, la rotación, el control de acceso y la supervisión del material de claves necesario para proteger los datos en reposo para su carga de trabajo. 

 **Resultado deseado:** tiene un mecanismo de administración de claves escalable, repetible y automatizado. El mecanismo hace cumplir el acceso con privilegios mínimos al material de claves y proporciona el equilibrio correcto entre la disponibilidad, la confidencialidad y la integridad de las claves. Supervisa el acceso a las claves y, si es necesario rotar el material de claves, las rota mediante un proceso automatizado. No permite que los operadores humanos accedan al material de claves. 

**Patrones comunes de uso no recomendados:** 
+  Acceso humano a material de claves no cifrado. 
+  Crear algoritmos criptográficos personalizados. 
+  Permisos demasiado amplios para acceder a material de claves. 

 **Beneficios de establecer esta práctica recomendada:** al establecer un mecanismo de administración de claves seguro para su carga de trabajo, puede ayudar a proteger su contenido contra el acceso no autorizado. Además, es posible que esté sujeto a requisitos reglamentarios de cifrado de datos. Una solución de administración de claves eficaz puede proporcionar mecanismos técnicos alineados con esas regulaciones para proteger el material de claves. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** alto 

## Guía para la implementación
<a name="implementation-guidance"></a>

 El cifrado de los datos en reposo es un control de seguridad fundamental. Para implementar este control, su carga de trabajo necesita un mecanismo que almacene y administre de forma segura el material de claves utilizado para cifrar los datos en reposo. 

 AWS ofrece AWS Key Management Service (AWS KMS) para proporcionar un almacenamiento duradero, seguro y redundante para las claves de AWS KMS. [Muchos servicios de AWS se integran con AWS KMS](https://aws.amazon.com/kms/features/#integration) para respaldar el cifrado de sus datos. AWS KMS utiliza módulos de seguridad de hardware validados por la norma FIPS 140-3 de nivel 3 para proteger sus claves. No hay ningún mecanismo para exportar claves de AWS KMS en texto sin formato. 

 Si se implementan cargas de trabajo mediante una estrategia de cuentas múltiples, se considera una debe mantener las claves de AWS KMS en la misma cuenta que la carga de trabajo que las utiliza. [En este modelo distribuido](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html#app-kms), la responsabilidad de administrar las claves de AWS KMS recae sobre su equipo. En otros casos de uso, su organización puede optar por almacenar las claves de AWS KMS en una cuenta centralizada. Esta estructura centralizada requiere políticas adicionales para habilitar el acceso entre cuentas necesario para que la cuenta de carga de trabajo acceda a las claves almacenadas en la cuenta centralizada, pero puede ser más aplicable en casos de uso en los que una sola clave se comparte entre varias Cuentas de AWS. 

 Independientemente de dónde se almacene el material de claves, el acceso a la clave debe controlarse estrictamente mediante el uso de [políticas de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) y políticas de IAM. Las políticas de claves son la forma principal de controlar el acceso a una clave de AWS KMS. Además, las concesiones de claves de AWS KMS pueden proporcionar acceso a servicios de AWS para cifrar y descifrar datos en su nombre. Revise las [orientaciones de control de acceso a sus claves de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html). 

 Debería supervisar el uso de claves de cifrado para detectar patrones de acceso inusuales. Las operaciones hechas con claves administradas por AWS y claves administradas por el cliente almacenadas en AWS KMS pueden registrarse en AWS CloudTrail y deben revisarse periódicamente. Preste especial atención al monitoreo de los eventos de destrucción de claves. Para mitigar la destrucción accidental o malintencionada de material de claves, los eventos de destrucción de claves no eliminan el material de claves inmediatamente. Los intentos de eliminar claves de AWS KMS están sujetos a un [periodo de espera](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-how-it-works) predeterminado de 30 días y un mínimo de 7 días, lo que da tiempo a los administradores para revisar estas acciones y anular la solicitud si es necesario. 

 La mayoría de los servicios de AWS utilizan AWS KMS de forma transparente; su único requisito es decidir si desea utilizar una clave administrada por AWS o por el cliente. Si la carga de trabajo requiere el uso directo de AWS KMS para cifrar o descifrar datos, se recomienda utilizar [cifrado de sobre](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) para proteger los datos. La [SDK de cifrado de AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) puede proporcionar a sus aplicaciones elementos básicos de cifrado del cliente para implementar el cifrado de sobre e integrarse con AWS KMS. 

### Pasos para la implementación
<a name="implementation-steps"></a>

1.  Determine las [opciones de administración de claves apropiadas](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) (administradas por AWS o administradas por el cliente) para la clave. 

   1.  Para facilitar el uso, AWS ofrece claves propias de AWS y administradas por AWS para la mayoría de los servicios, que proporcionan la capacidad de cifrado en reposo sin la necesidad de administrar el material de claves o las políticas de claves. 

   1.  Si utiliza claves administradas por el cliente, considere el almacén de claves predeterminado para ofrecer el mejor equilibrio entre agilidad, seguridad, soberanía de datos y disponibilidad. Otros casos de uso podrían exigir el uso de almacenes de claves personalizados con [AWS CloudHSM](https://aws.amazon.com/cloudhsm/) o el [almacén de clave externo](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html). 

1.  Revise la lista de servicios que utiliza para su carga de trabajo para comprender cómo AWS KMS se integra con el servicio. Por ejemplo, las instancias de EC2 pueden usar volúmenes de EBS cifrados, que verifican que las instantáneas de Amazon EBS creadas a partir de esos volúmenes también estén cifradas mediante una clave administrada por el cliente y mitigan la divulgación accidental de datos de instantáneas no cifrados. 

   1.  [How AWS services use AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/service-integration.html) 

   1.  Para obtener información detallada sobre las opciones de cifrado que ofrece un servicio de AWS, consulte el tema de cifrado en reposo en la guía del usuario o en la guía para desarrolladores del servicio. 

1.  Implemente AWS KMS: AWS KMS le permite crear y administrar fácilmente las claves y controlar el uso del cifrado en una gran variedad de servicios de AWS y en sus aplicaciones. 

   1.  [Introducción: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 

   1.  Revise las [prácticas recomendadas de control de acceso a sus claves de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html). 

1.  Puede usar el SDK de cifrado de AWS: utilice el SDK de cifrado de AWS con la integración de AWS KMS cuando la aplicación necesite cifrar datos del cliente. 

   1.  [SDK de cifrado de AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 

1.  Habilite el [Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) para revisar y notificar automáticamente si hay políticas de claves de AWS KMS demasiado amplias. 

   1.  Plantéese utilizar [comprobaciones de políticas personalizadas](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CheckNoPublicAccess.html) para comprobar que una actualización de la política de recursos no concede acceso público a las claves de KMS. 

1.  Habilite [Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html) para recibir notificaciones si hay políticas de claves mal configuradas, claves programadas para su eliminación o claves sin la rotación automática habilitada. 

1.  Determine el nivel de registro adecuado para sus claves de AWS KMS. Como las llamadas a AWS KMS, incluidos los eventos de solo lectura, se registran, los registros de CloudTrail asociados con AWS KMS pueden resultar voluminosos. 

   1.  Algunas organizaciones prefieren dividir la actividad de registro de AWS KMS en una ruta distinta. Para obtener más detalles, consulte la sección de [registro de llamadas a la API de AWS KMS con CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) de la guía para desarrolladores de AWS KMS. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 
+  [AWS cryptographic services and tools](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) 
+  [Protecting Amazon S3 Data Using Encryption](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 
+  [Cifrado de sobre](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) 
+  [Digital sovereignty pledge](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/) 
+  [Demystifying AWS KMS key operations, bring your own key, custom key store, and ciphertext portability](https://aws.amazon.com/blogs/security/demystifying-kms-keys-operations-bring-your-own-key-byok-custom-key-store-and-ciphertext-portability/) 
+  [AWS Key Management Service cryptographic details](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **Videos relacionados:** 
+  [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM) 
+  [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8) 
+  [AWS data protection: Using locks, keys, signatures, and certificates](https://www.youtube.com/watch?v=lD34wbc7KNA) 

 **Ejemplos relacionados:** 
+  [Implement advanced access control mechanisms using AWS KMS](https://catalog.workshops.aws/advkmsaccess/en-US/introduction) 

# SEC08-BP02 Aplicación del cifrado en reposo
<a name="sec_protect_data_rest_encrypt"></a>

 Cifre los datos privados en reposo para mantener la confidencialidad y proporcionar una capa adicional de protección contra la divulgación o exfiltración de datos no deseada. El cifrado protege los datos para que no sea posible leerlos ni acceder a ellos sin antes descifrarlos. Haga un inventario y lleve un control de los datos no cifrados para mitigar los riesgos asociados a la exposición de los datos. 

 **Resultado deseado:** tiene mecanismos que cifran los datos privados de forma predeterminada cuando estén en reposo. Estos mecanismos ayudan a mantener la confidencialidad de los datos y proporcionan una capa adicional de protección contra la divulgación o exfiltración involuntaria de datos. Mantiene un inventario de datos no cifrados y comprende los controles que existen para protegerlos. 

 **Patrones comunes de uso no recomendados:** 
+  No utilizar configuraciones para que el cifrado se haga de forma predeterminada. 
+  Proporcionar un acceso demasiado permisivo a las claves de descifrado. 
+  No supervisar el uso de las claves de cifrado y descifrado. 
+  Almacenar datos sin cifrar. 
+  Utilizar la misma clave de cifrado para todos los datos, independientemente de su uso, tipos y clasificación. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** alto 

## Guía para la implementación
<a name="implementation-guidance"></a>

 Asigne claves de cifrado a clasificaciones de datos en sus cargas de trabajo. Este enfoque ayuda a proteger contra un acceso excesivamente permisivo si utiliza una única clave de cifrado, o muy pocas, para sus datos (consulte [SEC07-BP01 Comprensión del esquema de clasificación de datos](sec_data_classification_identify_data.md)). 

 AWS Key Management Service (AWS KMS) se integra con muchos servicios de AWS para facilitar el cifrado de sus datos en reposo. Por ejemplo, en Amazon Elastic Compute Cloud (Amazon EC2) puede [establecer el cifrado predeterminado](https://docs.aws.amazon.com/ebs/latest/userguide/work-with-ebs-encr.html#encryption-by-default) en cuentas para que todos los volúmenes nuevos de EBS se cifren automáticamente. Cuando utilice AWS KMS, tenga en cuenta hasta qué punto es necesario restringir los datos. Las claves de AWS KMS predeterminadas y controladas por el servicio son administradas y utilizadas por AWS en su nombre. En el caso de los datos confidenciales que requieren un acceso detallado a la clave de cifrado subyacente, considere la posibilidad de usar claves administradas por el cliente (CMK). Tiene el control total sobre las CMK, incluida la rotación y la administración del acceso mediante el uso de políticas de claves. 

 Además, servicios como Amazon Simple Storage Service ([Amazon S3](https://aws.amazon.com/blogs/aws/amazon-s3-encrypts-new-objects-by-default/)) ahora cifran todos los objetos nuevos de forma predeterminada. Esta implementación proporciona una seguridad mejorada sin afectar al rendimiento. 

 Otros servicios, como [Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) (Amazon EC2) o [Amazon Elastic File System](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/efs.html) (Amazon EFS) admiten ajustes para el cifrado predeterminado. También puede utilizar [Reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) para comprobar automáticamente que está utilizando cifrado para [volúmenes de Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instancias de Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html), [buckets de Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html) y otros servicios de su organización. 

 AWS también proporciona opciones para el cifrado del cliente, lo que le permite cifrar los datos antes de subirlos a la nube. El AWS Encryption SDK proporciona una forma de cifrar sus datos mediante el [cifrado de sobre](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping). Proporciona la clave de encapsulado y AWS Encryption SDK genera una clave de datos única para cada objeto de datos que cifra. Considere la posibilidad de utilizar AWS CloudHSM si necesita un módulo de seguridad de hardware (HSM) administrado de un solo inquilino. AWS CloudHSM le permite generar, importar y administrar claves criptográficas en un HSM validado por FIPS 140-2 nivel 3. Entre los casos de uso de AWS CloudHSM, se incluye la protección de claves privadas para la emisión de una autoridad de certificación (CA) y la habilitación del cifrado de datos transparente (TDE) para bases de datos Oracle. El SDK de cliente de AWS CloudHSM proporciona software que le permite cifrar datos del cliente mediante claves almacenadas dentro de AWS CloudHSM antes de subir sus datos a AWS. El Cliente de encriptación de Amazon DynamoDB también le permite cifrar y firmar elementos antes de subirlos a una tabla de DynamoDB. 

### Pasos para la implementación
<a name="implementation-steps"></a>
+  **Configuración del **[https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)**:** especifique que desea que todos los volúmenes de Amazon EBS recién creados se creen de forma cifrada, con la opción de utilizar la clave predeterminada que proporciona AWS o una clave que cree. 
+  **Configuración de imágenes de máquina de Amazon (AMI) cifradas:** al copiar una AMI existente con cifrado habilitado, se cifran automáticamente las instantáneas y los volúmenes raíz. 
+  **Configuración del **[https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)**:** configure el cifrado para sus clústeres de base de datos e instantáneas en reposo de Amazon RDS mediante la opción de cifrado. 
+  **Creación y configuración de claves de AWS KMS con políticas que limiten el acceso a las entidades principales adecuadas para cada clasificación de datos:** por ejemplo, cree una clave de AWS KMS para cifrar los datos de producción y otra distinta para cifrar los datos de desarrollo o de prueba. También puede proporcionar acceso a la clave a otras Cuentas de AWS. Considere la posibilidad de tener cuentas diferentes para sus entornos de desarrollo y de producción. Si en su entorno de producción es necesario descifrar artefactos en la cuenta de desarrollo, puede editar la política de CMK que se utiliza para cifrar los artefactos de desarrollo para otorgar a la cuenta de producción la capacidad de descifrar dichos artefactos. Después, el entorno de producción puede ingerir los datos descifrados para usarlos en producción. 
+  **Configuración del cifrado en servicios de AWS adicionales:** para otros servicios de AWS que utilice, revise la [documentación de seguridad](https://docs.aws.amazon.com/security/) de ese servicio para determinar las opciones de cifrado del servicio. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools) 
+  [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 
+  [AWS KMS Cryptographic Details Whitepaper](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 
+  [AWS Key Management Service](https://aws.amazon.com/kms) 
+  [AWS cryptographic services and tools](https://docs.aws.amazon.com/aws-crypto-tools/) 
+  [Amazon EBS Encryption](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) 
+  [Default encryption for Amazon EBS volumes](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/) 
+  [Encrypting Amazon RDS Resources](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) 
+  [¿Cómo puedo habilitar el cifrado predeterminado para un bucket de Amazon S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html) 
+  [Protecting Amazon S3 Data Using Encryption](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 

 **Videos relacionados:** 
+  [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM) 
+  [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP03 Automatización de la protección de los datos en reposo
<a name="sec_protect_data_rest_automate_protection"></a>

 Utilice la automatización para validar y aplicar los controles de datos en reposo.  Utilice el análisis automatizado para detectar errores de configuración de sus soluciones de almacenamiento de datos y, en la medida de lo posible, aplique las correcciones mediante una respuesta programática automatizada.  Incorpore la automatización en sus procesos de CI/CD para detectar errores de configuración del almacenamiento de datos antes de que se implementen en producción. 

 **Resultado deseado:** los sistemas automatizados analizan y supervisan las ubicaciones de almacenamiento de datos para detectar los errores de configuración de los controles, el acceso no autorizado y el uso inesperado.  La detección de ubicaciones de almacenamiento mal configuradas inicia las correcciones automatizadas.  Los procesos automatizados crean copias de seguridad de los datos y almacenan copias inmutables fuera del entorno original. 

 **Patrones comunes de uso no recomendados:** 
+  No tener en cuenta las opciones de habilitar el cifrado de forma predeterminada, cuando sea posible. 
+  No tener en cuenta los eventos de seguridad, además de los eventos operativos, al formular una estrategia automatizada de copias de seguridad y recuperación. 
+  No aplicar la configuración de acceso público a los servicios de almacenamiento. 
+  No supervisar ni auditar los controles para proteger los datos en reposo. 

 **Beneficios de establecer esta práctica recomendada:** la automatización ayuda a prevenir el riesgo de configurar erróneamente las ubicaciones de almacenamiento de datos. También ayuda a evitar que los errores de configuración lleguen a los entornos de producción. Esta práctica recomendada también ayuda a detectar y corregir errores de configuración si se producen.  

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** medio 

## Guía para la implementación 
<a name="implementation-guidance"></a>

 La automatización es una noción común a todas las prácticas de protección de los datos en reposo. [SEC01-BP06 Automatización de la implementación de controles de seguridad estándares](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) describe cómo puede plasmar la configuración de sus recursos en plantillas de *infraestructura como código* (IaC), por ejemplo, con[AWS CloudFormation](https://aws.amazon.com/cloudformation/).  Estas plantillas están confirmadas con un sistema de control de versiones y se utilizan para implementar recursos en AWS a través de una canalización de CI/CD.  Estas técnicas también se aplican a la automatización de la configuración de sus soluciones de almacenamiento de datos, como la configuración de cifrado en los buckets de Amazon S3.   

 Puede comprobar la configuración que defina en sus plantillas de IaC para determinar si hay errores de configuración en sus canalizaciones de CI/CD mediante las reglas en [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html).  Puede supervisar los ajustes que aún no estén disponibles en CloudFormation u otras herramientas de IaC para detectar errores de configuración con [AWS Config](https://aws.amazon.com/config/).  Las alertas que Config genera por errores de configuración se pueden corregir automáticamente, tal como se describe en [SEC04-BP04 Inicio de correcciones para recursos no conformes](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html). 

 El uso de la automatización como parte de su estrategia de administración de permisos también es un componente integral de las protecciones de datos automatizadas. [SEC03-BP02 Concesión de acceso con privilegios mínimos](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html) y [SEC03-BP04 Reducción continua de los permisos](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html) describen la configuración de políticas de acceso con privilegios mínimos bajo la supervisión continua del [AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) para generar resultados cuando puedan reducirse los permisos.  Además de la automatización de los permisos de supervisión, puede configurar [Amazon GuardDuty](https://aws.amazon.com/guardduty/) para detectar comportamientos anómalos en el acceso a los datos de sus [volúmenes de EBS](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html) (a través de una instancia de EC2), [buckets de S3](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) y [bases de datos de Amazon Relational Database Service](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) compatibles. 

 La automatización también desempeña un papel a la hora de detectar cuándo se almacenan datos confidenciales en ubicaciones no autorizadas. [SEC07-BP03 Automatización de la identificación y la clasificación](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html) describe cómo [Amazon Macie](https://aws.amazon.com/macie/) puede supervisar sus buckets de S3 para detectar datos confidenciales inesperados y generar alertas que puedan iniciar una respuesta automática. 

 Siga las prácticas de [REL09 Copia de seguridad de los datos](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/back-up-data.html) para desarrollar una estrategia automatizada de copia de seguridad y recuperación de datos. La copia de seguridad y la recuperación de datos son tan importantes para la recuperación de los eventos de seguridad como para los eventos operativos. 

### Pasos para la implementación
<a name="implementation-steps"></a>

1.  Capture la configuración de almacenamiento de datos en plantillas de IaC.  Utilice comprobaciones automatizadas en sus canalizaciones de CI/CD para detectar errores de configuración. 

   1.  Para [CloudFormation](https://aws.amazon.com/cloudformation/) puede usar sus plantillas de IaC, y [CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) para comprobar si hay errores de configuración en las plantillas. 

   1.  Utilice [AWS Config](https://aws.amazon.com/config/) para ejecutar reglas en un modo de evaluación proactiva. Use esta configuración para comprobar la conformidad de un recurso como uno de los pasos del proceso de CI/CD antes de crearlo. 

1.  Supervise los recursos en busca de errores de configuración de almacenamiento de datos. 

   1.  Configure [AWS Config](https://aws.amazon.com/config/) para supervisar los recursos de almacenamiento de datos con el fin de detectar cambios en las configuraciones de control y para generar alertas que invoquen acciones correctivas cuando se detecte un error de configuración. 

   1.  Consulte [SEC04-BP04 Inicio de correcciones para recursos no conformes](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html) para obtener más información sobre las correcciones automatizadas. 

1.  Supervise y reduzca los permisos de acceso a los datos de forma continua mediante la automatización. 

   1.  El [Analizador de acceso de IAM](https://aws.amazon.com/iam/access-analyzer/) puede ejecutarse de forma continua para generar alertas cuando los permisos puedan reducirse. 

1.  Supervise los comportamientos anómalos de acceso a los datos y emita alertas si detecta alguno. 

   1.  [GuardDuty](https://aws.amazon.com/guardduty/) vigila tanto las firmas de amenazas conocidas como las desviaciones de los comportamientos de acceso básicos para los recursos de almacenamiento de datos, como los volúmenes de EBS, los buckets de S3 y las bases de datos de RDS. 

1.  Supervise los datos confidenciales que se almacenan en ubicaciones inesperadas y emita alertas si detecta algún caso. 

   1.  Use [Amazon Macie](https://aws.amazon.com/macie/) para analizar continuamente sus buckets de S3 en busca de datos confidenciales. 

1.  Automatice las copias de seguridad seguras y cifradas de sus datos. 

   1.  [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) es un servicio administrado que crea copias de seguridad de diferentes orígenes de datos en AWS.  La [Recuperación de desastres elástica](https://aws.amazon.com/disaster-recovery/) le permite copiar cargas de trabajo completas del servidor y mantener una protección de datos continua con un objetivo de punto de recuperación (RPO) medido en segundos.  Puede configurar ambos servicios para que funcionen en conjunto con el fin de automatizar la creación de copias de seguridad de datos y su almacenamiento en ubicaciones de conmutación por error.  Esto puede ayudar a mantener sus datos disponibles cuando se vean afectados por eventos operativos o de seguridad. 

## Recursos
<a name="resources"></a>

 **Prácticas recomendadas relacionadas:** 
+  [SEC01-BP06 Automatización de la implementación de controles de seguridad estándares](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) 
+  [SEC03-BP02 Concesión de acceso con privilegios mínimos](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html) 
+  [SEC03-BP04 Reducción continua de los permisos](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html) 
+  [SEC04-BP04 Inicio de correcciones para recursos no conformes](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html) 
+  [SEC07-BP03 Automatización de la identificación y la clasificación](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html) 
+  [REL09-BP02 Protección y cifrado de copias de seguridad](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_secured_backups_data.html) 
+  [REL09-BP03 Copias de seguridad automáticas de los datos](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_automated_backups_data.html) 

 **Documentos relacionados:** 
+  [AWS Prescriptive Guidance: Automatically encrypt existing and new Amazon EBS volumes](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) 
+  [Ransomware Risk Management on AWS Using the NIST Cyber Security Framework (CSF)](https://docs.aws.amazon.com/whitepapers/latest/ransomware-risk-management-on-aws-using-nist-csf/ransomware-risk-management-on-aws-using-nist-csf.html) 

 **Ejemplos relacionados:** 
+  [How to use AWS Config proactive rules and AWS CloudFormation Hooks to prevent creation of noncompliant cloud resources](https://aws.amazon.com/blogs/mt/how-to-use-aws-config-proactive-rules-and-aws-cloudformation-hooks-to-prevent-creation-of-non-complaint-cloud-resources/) 
+  [Automate and centrally manage data protection for Amazon S3 with AWS Backup](https://aws.amazon.com/blogs/storage/automate-and-centrally-manage-data-protection-for-amazon-s3-with-aws-backup/) 
+  [AWS re:Invent 2023 - Implement proactive data protection using Amazon EBS snapshots](https://www.youtube.com/watch?v=d7C6XsUnmHc) 
+  [AWS re:Invent 2022 - Build and automate for resilience with modern data protection](https://www.youtube.com/watch?v=OkaGvr3xYNk) 

 **Herramientas relacionadas:** 
+  [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 
+  [AWS CloudFormation Guard Rules Registry](https://github.com/aws-cloudformation/aws-guard-rules-registry) 
+  [IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) 
+  [Amazon Macie](https://aws.amazon.com/macie/) 
+  [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) 
+  [Recuperación de desastres elástica](https://aws.amazon.com/disaster-recovery/) 

# SEC08-BP04 Aplicación del control de acceso
<a name="sec_protect_data_rest_access_control"></a>

 Para ayudarlo a proteger sus datos en reposo, aplique el control de acceso mediante mecanismos como el aislamiento y el control de versiones. Aplique controles de acceso condicional y de privilegios mínimos. Impida que se conceda acceso público a sus datos. 

 **Resultado deseado:** verifica que solo los usuarios autorizados puedan acceder a los datos en función de su necesidad de utilizarlos. Protege sus datos con copias de seguridad periódicas y el control de versiones para evitar que se modifiquen o eliminen de forma intencionada o involuntaria. Aísla los datos críticos de otros datos para proteger la confidencialidad y la integridad. 

**Patrones comunes de uso no recomendados:**
+  Almacenar juntos datos con diferentes requisitos de confidencialidad o clasificación. 
+  Utilizar permisos demasiado permisivos en las claves de descifrado. 
+  Clasificar incorrectamente los datos. 
+  No conservar copias de seguridad detalladas de los datos importantes. 
+  Proporcionar acceso persistente a los datos de producción. 
+  No auditar el acceso a los datos ni revisar periódicamente los permisos.

**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** alto 

## Guía para la implementación
<a name="implementation-guidance"></a>

 La protección de los datos en reposo es importante para mantener la integridad, la confidencialidad y el cumplimiento de los requisitos normativos. Puede implementar varios controles para lograrlo, como el control de acceso, el aislamiento, el acceso condicional y el control de versiones. 

 Puede aplicar el control de acceso con el principio de privilegios mínimos, que proporciona a los usuarios y los servicios únicamente los permisos necesarios para realizar sus tareas. Esto incluye el acceso a las claves de cifrado. Revise sus [políticas de AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) para comprobar que el nivel de acceso que concede es el adecuado y que se aplican las condiciones pertinentes. 

 Puede separar los datos en función de diferentes niveles de clasificación utilizando distintas Cuentas de AWS para cada nivel y administrar estas cuentas utilizando [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html). Este aislamiento puede ayudar a evitar el acceso no autorizado y minimizar el riesgo de exposición de los datos. 

 Revise con regularidad el nivel de acceso concedido en las políticas de buckets de Amazon S3. Evite el uso de buckets de lectura o escritura pública a menos que sea absolutamente necesario. Plantéese utilizar [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) para detectar buckets disponibles para el público y Amazon CloudFront para ofrecer contenido de Amazon S3. Verifique que los buckets que no deben permitir el acceso público estén configurados correctamente para impedirlo. 

 Implemente mecanismos de control de versiones y bloqueo de objetos para los datos críticos almacenados en Amazon S3. El [control de versiones de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) conserva las versiones anteriores de los objetos para recuperar los datos en caso de que se eliminen o sobrescriban accidentalmente. [Bloqueo de objetos de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) proporciona un control de acceso obligatorio para los objetos, lo que impide que se eliminen o sobrescriban, incluso por parte del usuario raíz, hasta que caduque el bloqueo. Además, [Amazon Glacier Vault Lock](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html) ofrece una característica similar para los archivos almacenados en Amazon Glacier. 

### Pasos para la implementación
<a name="implementation-steps"></a>

1.  **Aplique el control de acceso con el principio del privilegio mínimo**: 
   +  Revise los permisos de acceso concedidos a los usuarios y servicios y compruebe que solo tienen los permisos necesarios para realizar sus tareas. 
   +  Revise el acceso a las claves de cifrado consultando [las políticas de AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html). 

1.  **Separe los datos en función de los diferentes niveles de clasificación**: 
   +  Utilice distintas Cuentas de AWS para cada nivel de clasificación de datos. 
   +  Administre estas cuentas mediante [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html). 

1.  **Revise los permisos de buckets y objetos de Amazon S3**: 
   +  Revise con regularidad el nivel de acceso concedido en las políticas de buckets de Amazon S3. 
   +  Evite el uso de buckets de lectura o escritura pública a menos que sea absolutamente necesario. 
   +  Valore la posibilidad de utilizar [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) para detectar buckets con disponibilidad pública. 
   +  Use Amazon CloudFront para ofrecer contenido de Amazon S3. 
   +  Verifique que los buckets que no deben permitir el acceso público estén configurados correctamente para impedirlo. 
   +  Puede aplicar el mismo proceso de revisión a las bases de datos y a cualquier otro origen de datos que utilice la autenticación de IAM, como SQS o almacenes de datos de terceros. 

1.  **Use AWS IAM Access Analyzer**: 
   +  Puede configurar [Analizador de acceso de IAM de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) para analizar buckets de Amazon S3 y generar resultados cuando una política de S3 concede acceso a una entidad externa. 

1.  **Implemente mecanismos de control de versiones y bloqueo de objetos**: 
   +  Utilice el [control de versiones de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) para conservar las versiones anteriores de los objetos, lo que permite recuperarlos en caso de eliminaciones o sobrescrituras accidentales. 
   +  Utilice [Bloqueo de objetos de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) para añadir un control de acceso obligatorio para los objetos, con lo que ni siquiera el usuario raíz podrá eliminarlos o sobrescribirlos hasta que caduque el bloqueo. 
   +  Utilice [Amazon Glacier Vault Lock](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html) para los archivos almacenados en Amazon Glacier. 

1.  **Utilice el inventario de Amazon S**: 
   +  Puede usar el [inventario de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) para auditar e informar sobre el estado de replicación y cifrado de sus objetos de S3. 

1.  **Revise los permisos de uso compartido de Amazon EBS y AMI**: 
   +  Revise los permisos de uso compartido de [Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) y [Uso compartido de AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) para comprobar que las imágenes y los volúmenes se compartan con Cuentas de AWS externas a su carga de trabajo. 

1.  **Revise periódicamente los recursos compartidos de AWS Resource Access Manager**: 
   +  Puede utilizar [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) para compartir recursos, como las políticas de AWS Network Firewall, las reglas de Amazon Route 53 Resolver y las subredes, dentro de sus Amazon VPC. 
   +  Audite periódicamente los recursos compartidos y deje de compartir los recursos que ya no sea necesario compartir. 

## Recursos
<a name="resources"></a>

 **Prácticas recomendadas relacionadas:** 
+ [SEC03-BP01 Definición de los requisitos de acceso](sec_permissions_define.md) 
+  [SEC03-BP02 Concesión de acceso con privilegios mínimos](sec_permissions_least_privileges.md) 

 **Documentos relacionados:** 
+  [AWS KMS Cryptographic Details Whitepaper](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 
+  [Introducción a la administración de permisos de acceso para los recursos de Amazon S](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html) 
+  [Overview of managing access to your AWS KMS resources](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) 
+  [Reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 
+  [Amazon S3 \$1 Amazon CloudFront: A Match Made in the Cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/) 
+  [Usar el control de versiones en buckets de S](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html) 
+  [Usar Bloqueo de objetos de Amazon S](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html) 
+  [Sharing an Amazon EBS Snapshot](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) 
+  [AMI compartidas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) 
+  [Hosting a single-page application on Amazon S3](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-a-react-based-single-page-application-to-amazon-s3-and-cloudfront.html) 
+  [AWS Claves de condición globales de](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 
+  [Building a Data Perimeter on AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) 

 **Videos relacionados:** 
+  [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)