SEC08-BP04 Aplicación del control de acceso - Pilar de seguridad
Guía para la implementaciónRecursos

SEC08-BP04 Aplicación del control de acceso

Para ayudarlo a proteger sus datos en reposo, aplique el control de acceso mediante mecanismos como el aislamiento y el control de versiones. Aplique controles de acceso condicional y de privilegios mínimos. Impida que se conceda acceso público a sus datos.

Resultado deseado: verifica que solo los usuarios autorizados puedan acceder a los datos en función de su necesidad de utilizarlos. Protege sus datos con copias de seguridad periódicas y el control de versiones para evitar que se modifiquen o eliminen de forma intencionada o involuntaria. Aísla los datos críticos de otros datos para proteger la confidencialidad y la integridad.

Patrones comunes de uso no recomendados:

  • Almacenar juntos datos con diferentes requisitos de confidencialidad o clasificación.

  • Utilizar permisos demasiado permisivos en las claves de descifrado.

  • Clasificar incorrectamente los datos.

  • No conservar copias de seguridad detalladas de los datos importantes.

  • Proporcionar acceso persistente a los datos de producción.

  • No auditar el acceso a los datos ni revisar periódicamente los permisos.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

La protección de los datos en reposo es importante para mantener la integridad, la confidencialidad y el cumplimiento de los requisitos normativos. Puede implementar varios controles para lograrlo, como el control de acceso, el aislamiento, el acceso condicional y el control de versiones.

Puede aplicar el control de acceso con el principio de privilegios mínimos, que proporciona a los usuarios y los servicios únicamente los permisos necesarios para realizar sus tareas. Esto incluye el acceso a las claves de cifrado. Revise sus políticas de AWS Key Management Service (AWS KMS) para comprobar que el nivel de acceso que concede es el adecuado y que se aplican las condiciones pertinentes.

Puede separar los datos en función de diferentes niveles de clasificación utilizando distintas Cuentas de AWS para cada nivel y administrar estas cuentas utilizando AWS Organizations. Este aislamiento puede ayudar a evitar el acceso no autorizado y minimizar el riesgo de exposición de los datos.

Revise con regularidad el nivel de acceso concedido en las políticas de buckets de Amazon S3. Evite el uso de buckets de lectura o escritura pública a menos que sea absolutamente necesario. Plantéese utilizar AWS Config para detectar buckets disponibles para el público y Amazon CloudFront para ofrecer contenido de Amazon S3. Verifique que los buckets que no deben permitir el acceso público estén configurados correctamente para impedirlo.

Implemente mecanismos de control de versiones y bloqueo de objetos para los datos críticos almacenados en Amazon S3. El control de versiones de Amazon S3 conserva las versiones anteriores de los objetos para recuperar los datos en caso de que se eliminen o sobrescriban accidentalmente. Bloqueo de objetos de Amazon S3 proporciona un control de acceso obligatorio para los objetos, lo que impide que se eliminen o sobrescriban, incluso por parte del usuario raíz, hasta que caduque el bloqueo. Además, Amazon S3 Glacier Vault Lock ofrece una característica similar para los archivos almacenados en Amazon S3 Glacier.

Pasos para la implementación

  1. Aplique el control de acceso con el principio del privilegio mínimo:

  2. Separe los datos en función de los diferentes niveles de clasificación:

    • Utilice distintas Cuentas de AWS para cada nivel de clasificación de datos.

    • Administre estas cuentas mediante AWS Organizations.

  3. Revise los permisos de buckets y objetos de Amazon S3:

    • Revise con regularidad el nivel de acceso concedido en las políticas de buckets de Amazon S3.

    • Evite el uso de buckets de lectura o escritura pública a menos que sea absolutamente necesario.

    • Valore la posibilidad de utilizar AWS Config para detectar buckets con disponibilidad pública.

    • Use Amazon CloudFront para ofrecer contenido de Amazon S3.

    • Verifique que los buckets que no deben permitir el acceso público estén configurados correctamente para impedirlo.

    • Puede aplicar el mismo proceso de revisión a las bases de datos y a cualquier otro origen de datos que utilice la autenticación de IAM, como SQS o almacenes de datos de terceros.

  4. Use AWS IAM Access Analyzer:

    • Puede configurar AWS IAM Access Analyzer] (https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) para analizar los buckets de Amazon S3 y generar resultados cuando una política de S3 concede acceso a una entidad externa.

  5. Implemente mecanismos de control de versiones y bloqueo de objetos:

    • Utilice el control de versiones de Amazon S3 para conservar las versiones anteriores de los objetos, lo que permite recuperarlos en caso de eliminaciones o sobrescrituras accidentales.

    • Utilice Bloqueo de objetos de Amazon S3 para añadir un control de acceso obligatorio para los objetos, con lo que ni siquiera el usuario raíz podrá eliminarlos o sobrescribirlos hasta que caduque el bloqueo.

    • Utilice Amazon S3 Glacier Vault Lock para los archivos almacenados en Amazon S3 Glacier.

  6. Utilice el inventario de Amazon S3:

    • Puede usar el inventario de Amazon S3 para auditar e informar sobre el estado de replicación y cifrado de sus objetos de S3.

  7. Revise los permisos de uso compartido de Amazon EBS y AMI:

    • Revise los permisos de uso compartido de Amazon EBS y Uso compartido de AMI para comprobar que las imágenes y los volúmenes se compartan con Cuentas de AWS externas a su carga de trabajo.

  8. Revise periódicamente los recursos compartidos de AWS Resource Access Manager:

    • Puede utilizar AWS Resource Access Manager para compartir recursos, como las políticas de AWS Network Firewall, las reglas de Amazon Route 53 Resolver y las subredes, dentro de sus Amazon VPC.

    • Audite periódicamente los recursos compartidos y deje de compartir los recursos que ya no sea necesario compartir.

Recursos

Prácticas recomendadas relacionadas:

Documentos relacionados:

Videos relacionados: