Mejores prácticas SNS de seguridad de Amazon - Amazon Simple Notification Service

Prácticas recomendadas preventivas

AWS proporciona muchas funciones de seguridad para AmazonSNS. Revise estas características de seguridad en el contexto de su propia política de seguridad.

nota

Las instrucciones para estas características de seguridad se aplican a los casos de uso comunes y a las implementaciones. Le sugerimos que revise estas prácticas recomendadas en el contexto de su caso de uso, arquitectura y modelo de amenaza concretos.

Prácticas recomendadas preventivas

Las siguientes son las mejores prácticas de seguridad preventiva para AmazonSNS.

Temas

Asegúrese de que los temas no sean accesibles de forma pública
Implementación del acceso a los privilegios mínimos
Usa IAM roles para aplicaciones y AWS servicios que requieren SNS acceso a Amazon
Implementación del cifrado en el servidor
Aplicación del cifrado de los datos en tránsito
Considere la posibilidad de utilizar VPC puntos de enlace para acceder a Amazon SNS
Asegúrese de que las suscripciones no están configuradas para entregar en puntos de enlace HTTP sin procesar

Asegúrese de que los temas no sean accesibles de forma pública

A menos que exijas explícitamente a cualquier persona en Internet que pueda leer o escribir en tu SNS tema de Amazon, debes asegurarte de que tu tema no sea de acceso público (accesible para todo el mundo o para cualquier AWS usuario autenticado).

Evite la creación de políticas con Principal establecido en "".
Evite usar un carácter comodín (*). En su lugar, designe a un usuario o usuarios específicos.

Implementación del acceso a los privilegios mínimos

Cuando concedes permisos, decides quién los recibe, para qué temas son los permisos y API las acciones específicas que deseas permitir para estos temas. La aplicación del principio de privilegios mínimos es importante para reducir los riesgos de seguridad. También ayuda a reducir el efecto negativo de los errores o intenciones maliciosas.

Siga el consejo de seguridad estándar de concesión del privilegio mínimo. Es decir, conceda solo los permisos necesarios para realizar una tarea específica. Puede implementar los privilegios mínimos mediante una combinación de políticas de seguridad relacionadas con el acceso de los usuarios.

Amazon SNS utiliza el modelo de publicador-suscriptor, que requiere tres tipos de acceso a la cuenta de usuario:

Administradores: acceso a la creación, modificación y eliminación de temas. Los administradores también controlan las políticas de temas.
Publicadores: acceso al envío de mensajes a los temas.
Suscriptores: acceso a la suscripción a los temas.

Para obtener más información, consulte las siguientes secciones:

Usa IAM roles para aplicaciones y AWS servicios que requieren SNS acceso a Amazon

Para que las aplicaciones o AWS los servicios, como AmazonEC2, puedan acceder a SNS los temas de Amazon, deben utilizar AWS credenciales válidas en sus AWS API solicitudes. Como estas credenciales no se rotan automáticamente, no debes almacenar AWS las credenciales directamente en la aplicación o la EC2 instancia.

Deberías usar un IAM rol para gestionar las credenciales temporales de las aplicaciones o los servicios que necesitan acceder a AmazonSNS. Cuando utilizas un rol, no necesitas distribuir credenciales de larga duración (como un nombre de usuario, contraseña y claves de acceso) a una EC2 instancia o AWS servicio, como AWS Lambda. En su lugar, el rol proporciona permisos temporales que las aplicaciones pueden usar cuando realizan llamadas a otros AWS recursos.

Para obtener más información, consulte IAMFunciones y escenarios comunes de las funciones: usuarios, aplicaciones y servicios en la Guía del IAM usuario.

Implementación del cifrado en el servidor

Para mitigar los problemas de fuga de datos, utilice el cifrado en reposo para cifrar sus mensajes mediante una clave almacenada en una ubicación distinta de la ubicación en la que se almacenan los mensajes. El cifrado del lado del servidor (SSE) proporciona el cifrado de los datos en reposo. Amazon SNS cifra tus datos a nivel de mensaje cuando los almacena y descifra los mensajes por ti cuando accedes a ellos. SSEutiliza claves gestionadas en. AWS Key Management Service Siempre que autentique su solicitud y tenga permisos de acceso, no existe diferencia alguna entre obtener acceso a los temas cifrados y sin cifrar.

Para obtener más información, consulte Protección de SNS los datos de Amazon con cifrado del lado del servidor y Gestión de las claves SNS de cifrado y los costes de Amazon.

Aplicación del cifrado de los datos en tránsito

Es posible, pero no recomendable, publicar mensajes que no estén cifrados durante el tránsito mediante el usoHTTP. Sin embargo, cuando un tema se cifra en reposo AWS KMS, es obligatorio utilizarlo HTTPS para publicar mensajes a fin de garantizar el cifrado tanto en reposo como en tránsito. Si bien el tema no rechaza automáticamente HTTP los mensajes, HTTPS es necesario utilizarlo para mantener los estándares de seguridad.

AWS recomienda que utilice HTTPS en lugar deHTTP. Cuando lo usasHTTPS, los mensajes se cifran automáticamente durante el tránsito, incluso si el SNS tema en sí no está cifrado. Sin ellaHTTPS, un atacante basado en la red puede espiar el tráfico de la red o manipularlo mediante un ataque como. man-in-the-middle

Para hacer que solo se superen las conexiones cifradasHTTPS, añada la aws:SecureTransportcondición a la IAM política que se adjunta a los temas no cifrados. SNS Esto obliga a los editores de mensajes a utilizar HTTPS en lugar deHTTP. Puede utilizar la política de ejemplo siguiente como guía:


{
  "Id": "ExamplePolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPublishThroughSSLOnly",
      "Action": "SNS:Publish",
      "Effect": "Deny",
      "Resource": [
        "arn:aws:sns:us-east-1:1234567890:test-topic"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      },
      "Principal": "*"
    }
  ]
}

Considere la posibilidad de utilizar VPC puntos de enlace para acceder a Amazon SNS

Si tiene temas con los que debe poder interactuar, pero estos temas no deben estar expuestos en Internet, utilice VPC puntos finales para limitar el acceso a los temas únicamente a los anfitriones de un tema determinadoVPC. Puedes usar las políticas de temas para controlar el acceso a los temas desde puntos de VPC enlace de Amazon específicos o desde puntos de vista específicosVPCs.

SNSVPCLos puntos de enlace de Amazon ofrecen dos formas de controlar el acceso a tus mensajes:

Puede controlar las solicitudes, los usuarios o los grupos que están permitidos a través de un VPC punto final específico.
Puedes controlar qué VPCs VPC puntos finales tienen acceso a tu tema mediante una política temática.

Para obtener más información, consulte Creación del punto de enlace y Creación de una política de VPC puntos de conexión de Amazon para Amazon SNS.

Asegúrese de que las suscripciones no están configuradas para entregar en puntos de enlace HTTP sin procesar

Evite configurar suscripciones para entregarlas a puntos de enlace HTTP sin procesar. Siempre tiene suscripciones que se entregan a un nombre de dominio de punto de enlace. Por ejemplo, una suscripción configurada para entregar a un punto de enlace http://1.2.3.4/my-path debe cambiarse a http://my.domain.name/my-path.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Seguridad de la infraestructura

Resolución de problemas