Protección de datos en AWS Snowball Edge - AWS Snowball Edge Guía para desarrolladores
Protección de los datos en la nubeProtección de los datos de su dispositivo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en AWS Snowball Edge

AWS Snowball se ajusta al modelo de responsabilidad AWS compartida, que incluye normas y directrices para la protección de datos. AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los AWS servicios. AWS mantiene el control de los datos alojados en esta infraestructura, incluidos los controles de configuración de seguridad para gestionar el contenido y los datos personales de los clientes. AWS los clientes y APN socios, que actúan como controladores o procesadores de datos, son responsables de cualquier dato personal que introduzcan en el Nube de AWS.

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS Identity and Access Management (IAM), de modo que cada usuario reciba únicamente los permisos necesarios para cumplir con sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

  • Utilice la autenticación multifactorial (MFA) con cada cuenta.

  • UseSSL/TLSpara comunicarse con AWS los recursos. Recomendamos la versión TLS 1.2 o una versión posterior.

  • Configure API y registre la actividad del usuario con AWS CloudTrail.

  • Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados de AWS los servicios.

  • Utilice avanzados servicios de seguridad administrados, como Amazon Macie, que lo ayuden a detectar y proteger los datos personales almacenados en Amazon S3.

  • Si necesita entre FIPS 140 y 2 módulos criptográficos validados para acceder a AWS través de una interfaz de línea de comandos o unaAPI, utilice un FIPS terminal. Para obtener más información sobre los FIPS puntos finales disponibles, consulte la Norma federal de procesamiento de información () FIPS 140-2.

Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como, por ejemplo, números de cuenta de sus clientes, en los campos de formato libre, como el campo Nombre. Esto incluye cuando trabaja con AWS Snowball u otros AWS servicios utilizando la consola, API AWS CLI, o. AWS SDKs Es posible que cualquier dato que ingrese en AWS Snowball o en otros servicios se incluya en los registros de diagnóstico. Cuando proporciones una URL a un servidor externo, no incluyas información sobre las credenciales en ella URL para validar la solicitud a ese servidor.

Para obtener más información sobre la protección de datos, consulta el modelo de responsabilidad AWS compartida y la entrada del GDPR blog sobre AWS seguridad.

Protección de los datos en la nube

AWS Snowball protege sus datos cuando importa o exporta datos a Amazon S3, cuando crea un trabajo para solicitar un dispositivo de la familia Snow y cuando su dispositivo se actualiza. En las siguientes secciones se describe cómo puede proteger sus datos cuando utiliza Snowball Edge y está conectado a Internet o interactúa con ellos AWS en la nube.

Cifrado para Edge AWS Snowball

Cuando utiliza un Snowball Edge para importar datos a S3, todos los datos transferidos a un dispositivo se protegen mediante SSL cifrado a través de la red. Para proteger los datos en reposo, AWS Snowball Edge utiliza el cifrado del lado del servidor ()SSE.

Cifrado del lado del servidor en Edge AWS Snowball

AWS Snowball Edge admite el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (-S3). SSE El cifrado del lado del servidor consiste en proteger los datos en reposo, y el SSE -S3 cuenta con un cifrado multifactor sólido para proteger los datos en reposo en Amazon S3. Para obtener más información sobre SSE -S3, consulte Protección de datos mediante el cifrado del lado del servidor con claves de cifrado administradas por Amazon SSE S3 (-S3) en la Guía del usuario de Amazon Simple Storage Service.

Actualmente, AWS Snowball Edge no ofrece cifrado del lado del servidor con claves proporcionadas por el cliente (-C). SSE El almacenamiento compatible con Amazon S3 en los dispositivos de la familia Snow ofrece SSE -C para tareas de computación y almacenamiento locales. Sin embargo, es posible que desee usar ese SSE tipo para proteger los datos que se han importado, o puede que ya lo use en los datos que desee exportar. En estos casos, tenga en cuenta lo siguiente:

  • Importación:

    Si desea utilizar SSE -C para cifrar los objetos que ha importado a Amazon S3, debería considerar la posibilidad de utilizar el cifrado SSE - KMS o el cifrado SSE -S3, establecido en su lugar como parte de la política de bucket de ese bucket. Sin embargo, si tiene que usar SSE -C para cifrar los objetos que ha importado a Amazon S3, tendrá que copiar el objeto dentro de su bucket para cifrarlos con -C. SSE A continuación, se muestra un ejemplo de CLI comando para lograrlo:

    aws s3 cp s3://amzn-s3-demo-bucket/object.txt s3://amzn-s3-demo-bucket/object.txt --sse-c --sse-c-key 1234567891SAMPLEKEY

    o

    aws s3 cp s3://amzn-s3-demo-bucket s3://amzn-s3-demo-bucket --sse-c --sse-c-key 1234567891SAMPLEKEY --recursive

  • Exportación: si desea exportar objetos que están cifrados con SSE -C, primero cópielos en otro depósito que no tenga cifrado del lado del servidor o que tenga especificados SSE - KMS o SSE -S3 en la política de depósito de ese depósito.

Activación SSE de -S3 para los datos importados a Amazon S3 desde un Snowball Edge

Utilice el siguiente procedimiento en la consola de administración de Amazon S3 para habilitar SSE -S3 para la importación de datos a Amazon S3. No es necesaria ninguna configuración en el Consola de administración de la familia de productos Snow de AWS propio dispositivo Snowball ni en él.

Para habilitar el cifrado SSE -S3 para los datos que va a importar a Amazon S3, solo tiene que configurar las políticas de bucket para todos los buckets a los que va a importar datos. Actualice las políticas para denegar el permiso de carga de objeto (s3:PutObject) si la solicitud de carga no incluye el encabezado x-amz-server-side-encryption.

Para habilitar SSE -S3 para los datos importados a Amazon S3

  1. Inicie sesión en la consola de Amazon S3 AWS Management Console y ábrala en https://console.aws.amazon.com/s3/.

  2. Elija el bucket al que desea importar datos en la lista de buckets.

  3. Elija Permisos.

  4. Elija Política de bucket.

  5. En el Editor de políticas de bucket, escriba la política siguiente. Sustituya todas las instancias de YourBucket en esta política con el nombre real de su depósito.

    {
  "Version": "2012-10-17",
  "Id": "PutObjPolicy",
  "Statement": [
    {
      "Sid": "DenyIncorrectEncryptionHeader",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::YourBucket/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "AES256"
        }
      }
    },
    {
      "Sid": "DenyUnEncryptedObjectUploads",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::YourBucket/*",
      "Condition": {
        "Null": {
          "s3:x-amz-server-side-encryption": "true"
        }
      }
    }
  ]
}

  6. Seleccione Guardar.

Ha finalizado la configuración de su bucket de Amazon S3. Cuando sus datos se importan a este depósito, están protegidos por SSE -S3. Repita este procedimiento para los demás buckets, según sea necesario.

AWS Key Management Service en Edge AWS Snowball

AWS Key Management Service (AWS KMS) es un servicio gestionado que le facilita la creación y el control de las claves de cifrado utilizadas para cifrar sus datos. AWS KMS utiliza módulos de seguridad de hardware (HSMs) para proteger la seguridad de sus claves. En concreto, el nombre del recurso de Amazon (ARN) de la AWS KMS clave que elija para un trabajo en AWS Snowball Edge está asociado a una KMS clave. Esa KMS clave se usa para cifrar el código de desbloqueo de su trabajo. El código de desbloqueo se utiliza para descifrar la capa superior de cifrado del archivo de manifiesto. Las claves de cifrado almacenadas en el archivo de manifiesto se utilizan para cifrar y descifrar los datos en el dispositivo.

En AWS Snowball Edge, AWS KMS protege las claves de cifrado utilizadas para proteger los datos de cada AWS Snowball Edge dispositivo. Cuando creas tu trabajo, también eliges una KMS clave existente. Al especificar la clave ARN para una AWS KMS clave AWS Snowball , se indica cuál AWS KMS keys se debe utilizar para cifrar las claves únicas del AWS Snowball Edge dispositivo. Para obtener más información sobre las server-side-encryption opciones de Amazon S3 compatibles con AWS Snowball Edge, consulteCifrado del lado del servidor en Edge AWS Snowball.

Uso del cliente gestionado AWS KMS keys para Snowball Edge

Si desea utilizar el cliente gestionado AWS KMS keys para Snowball Edge creado para su cuenta, siga estos pasos.

Selección de las AWS KMS keys de su trabajo

  1. En Consola de administración de la familia de productos Snow de AWS, selecciona Crear trabajo.

  2. Elija el tipo de trabajo y, a continuación, elija Siguiente.

  3. Indique los datos de envío y elija Siguiente.

  4. Rellene los datos del trabajo y elija Siguiente.

  5. Establezca las opciones de seguridad. En Cifrado, para la KMSclave, elija la clave Clave administrada de AWS o una clave personalizada que haya creado anteriormente AWS KMS, o bien elija Introducir una clave ARN si necesita introducir una clave que pertenezca a una cuenta independiente.

    nota

    AWS KMS key ARNEs un identificador único a nivel mundial para las claves gestionadas por el cliente.

  6. Elija Siguiente para terminar de seleccionar su AWS KMS key.

  7. Permita que el IAM usuario del dispositivo Snow acceda a la KMS clave.

    1. En la IAM consola (https://console.aws.amazon.com/iam/), vaya a Claves de cifrado y abra la KMS clave que eligió usar para cifrar los datos del dispositivo.

    2. En Usuarios clave, selecciona Añadir, busca el IAM usuario del dispositivo Snow y selecciona Adjuntar.

Creación de una clave de cifrado de KMS sobres personalizada

Tiene la opción de usar su propia clave de cifrado de AWS KMS sobres personalizada con AWS Snowball Edge. Si decide crear su propia clave, debe crearla en la misma región en que se creó el trabajo.

Para crear tu propia AWS KMS clave para un trabajo, consulta Cómo crear claves en la Guía para AWS Key Management Service desarrolladores.

Protección de los datos de su dispositivo

Proteja su AWS Snowball ventaja

A continuación, se indican algunos puntos de seguridad que te recomendamos tener en cuenta al utilizar AWS Snowball Edge, así como información general sobre otras precauciones de seguridad que adoptamos cuando recibimos un dispositivo AWS para procesarlo.

Recomendamos los siguientes enfoques de seguridad:

  • Al recibir el dispositivo, inspecciónelo para ver si ha sufrido daños o alteraciones evidentes. Si observa cualquier indicio sospechoso en el dispositivo , no lo conecte a la red interna. En su lugar, contacte con AWS Support y se le enviará un nuevo dispositivo.

  • Es importante asegurarse de proteger las credenciales del trabajo para que no las conozca nadie más. Cualquier persona que tenga acceso al manifiesto y al código de desbloqueo de un trabajo podrá obtener acceso al contenido del dispositivo enviado para ese trabajo.

  • Nunca deje el dispositivo en un muelle de carga. Si lo hiciera, podría quedar expuesto a las inclemencias meteorológicas. Si bien todos los dispositivos AWS Snowball Edge son resistentes, las inclemencias del tiempo pueden dañar el hardware más resistente. Si un dispositivo se extravía, es robado o se estropea, debe comunicarlo lo antes posible. Cuanto antes se notifique el problema, antes podremos enviarle otro para completar su trabajo.

nota

Los dispositivos AWS Snowball Edge son propiedad de. AWS La manipulación de un dispositivo constituye una infracción de la Política de uso AWS aceptable. Para obtener más información, consulte http://aws.amazon.com/aup/.

Adoptamos las siguientes medidas de seguridad:

  • Al transferir datos con el adaptador de Amazon S3, los metadatos de los objetos no se almacenan de forma persistente. Los únicos metadatos que se conservan iguales son filename y filesize. Todos los demás metadatos se establecen como en el ejemplo siguiente: -rw-rw-r-- 1 root root [filesize] Dec 31 1969 [path/filename]

  • Al transferir datos con la interfaz de archivos, los metadatos de los objetos se almacenan de forma persistente.

  • Cuando recibimos un dispositivo AWS, lo inspeccionamos para detectar cualquier indicio de manipulación y verificamos que el módulo de plataforma segura no haya detectado ningún cambio ()TPM. AWS Snowball Edge utiliza varios niveles de seguridad diseñados para proteger sus datos, como carcasas a prueba de manipulaciones, cifrado de 256 bits y un estándar del sector TPM diseñado para proporcionar seguridad y una cadena de custodia completa para sus datos.

  • Una vez que se haya procesado y verificado el trabajo de transferencia de datos AWS , borra el dispositivo Snowball mediante software siguiendo las directrices del Instituto Nacional de Estándares y Tecnología NIST () para la desinfección de los medios.

Validación de etiquetas NFC

Los NFC dispositivos Snowball Edge Compute Optimized y Snowball Edge Storage Optimized (para transferencia de datos) tienen etiquetas integradas. Puede escanear estas etiquetas con la aplicación AWS Snowball Edge Verification, disponible en Android. Escanear y validar estas NFC etiquetas puede ayudarle a comprobar que su dispositivo no ha sido manipulado antes de usarlo.

La validación de NFC etiquetas incluye el uso del cliente Snowball Edge para generar un código QR específico para cada dispositivo y comprobar que las etiquetas que está escaneando son del dispositivo correcto.

El siguiente procedimiento describe cómo validar las NFC etiquetas en un dispositivo Snowball Edge. Antes de empezar, asegúrese de haber realizado los siguientes cinco primeros pasos del ejercicio de introducción:

  1. Cree su trabajo de Snowball Edge. Para obtener más información, consulte Crear una tarea para solicitar un dispositivo de la familia Snow

  2. Recepción del dispositivo. Para obtener más información, consulte Recepción del dispositivo Snowball Edge.

  3. Conexión a la red local. Para obtener más información, consulte Conexión de un dispositivo de la familia Snow a su red local.

  4. Obtención de las credenciales y herramientas. Para obtener más información, consulte Obtener credenciales para acceder a un dispositivo de la familia Snow.

  5. Descarga e instalación del cliente de Snowball Edge. Para obtener más información, consulte Descarga e instalación del cliente de Snowball Edge.

Para validar las NFC etiquetas

  1. Ejecute el comando snowballEdge get-app-qr-code del cliente de Snowball Edge. Si ejecuta este comando para un nodo en un clúster, proporcione el número de serie (--device-sn) para obtener un código QR para un nodo único. Repita este paso para cada nodo del clúster. Para obtener más información acerca del uso de este comando, consulte Obtener un código QR para validar las etiquetas de Snowball Edge NFC.

    El código QR se guarda en la ubicación que prefiera como archivo .png.

  2. Vaya al archivo .png que ha guardado y ábralo para poder escanear el código QR con la aplicación.

  3. Puedes escanear estas etiquetas con la aplicación AWS Snowball Edge Verification en Android.

    nota

    La aplicación AWS Snowball Edge Verification no está disponible para su descarga, pero si tienes un dispositivo con la aplicación ya instalada, puedes usarla.

  4. Inicie la aplicación y siga las instrucciones en pantalla.

Ya has escaneado y validado correctamente las NFC etiquetas de tu dispositivo.

Si surge algún problema al escanear, pruebe lo siguiente:

  • Confirme que su dispositivo tiene las opciones Snowball Edge Compute Optimized (con o GPU sin).

  • Si tiene la aplicación en otro dispositivo, intente usar ese dispositivo.

  • Mueva el dispositivo a un área aislada de la habitación, lejos de la interferencia de otras NFC etiquetas, e inténtelo de nuevo.

  • Si los problemas persisten, contacte con AWS Support.