Responsabilidad compartida

Los asuntos relacionados con la seguridad y la conformidad son una responsabilidad compartida entre AWS y el cliente. Este modelo compartido puede aliviar la carga operativa del cliente, ya que AWS opera, administra y controla los componentes del sistema operativo host y la capa de virtualización con el fin de ofrecer seguridad física en las instalaciones en las que operan los servicios. Por otra parte, el cliente asume la responsabilidad y la administración del sistema operativo invitado (incluidas las actualizaciones y los parches de seguridad), de cualquier otro software de aplicaciones asociadas y de la configuración del firewall del grupo de seguridad que ofrece AWS. Los clientes deben pensar detenidamente en los servicios que eligen, ya que las responsabilidades varían en función de los servicios que utilicen, la integración de estos en su entorno de TI, y la legislación y los reglamentos aplicables. La naturaleza de esta responsabilidad compartida también ofrece la flexibilidad y la posibilidad de que el cliente pueda controlar la implementación. Tal y como se muestra en el siguiente gráfico, esta diferenciación de responsabilidad suele denominarse Seguridad “de” la nube en comparación con Seguridad “en” la nube.

Responsabilidad de AWS respecto a la “Seguridad en la nube”: AWS es responsable de proteger la infraestructura que ejecuta todos los servicios que se ofrecen en la nube de AWS. Esta infraestructura está conformada por el hardware, el software, las redes y las instalaciones que ejecutan los servicios de la nube de AWS.

Responsabilidad del cliente respecto a la “Seguridad en la nube”: la responsabilidad del cliente vendrá determinada por los servicios en la nube de AWS que seleccione el cliente. Esto determina la cantidad de trabajo de configuración que el cliente debe llevar a cabo como parte de sus responsabilidades de seguridad. Por ejemplo, un servicio como Amazon Elastic Compute Cloud (Amazon EC2) se categoriza como infraestructura como servicio (IaaS) y, como tal, requiere que el cliente lleve a cabo todas las tareas necesarias de administración y configuración de seguridad. Los clientes que implementan una instancia de Amazon EC2 son responsables de administrar el sistema operativo invitado (incluidas las actualizaciones y los parches de seguridad), todo el software de la aplicación o las utilidades que instale el cliente en las instancias y la configuración del firewall proporcionado por AWS (conocido como grupo de seguridad) en cada instancia. En el caso de los servicios abstractos, como Amazon S3 y Amazon DynamoDB, AWS se encarga de gestionar la capa de infraestructura, el sistema operativo y las plataformas, mientras que los clientes acceden a los puntos de conexión para guardar y recuperar información. Los clientes son responsables de administrar sus datos (incluidas las opciones de cifrado), clasificar sus recursos y utilizar herramientas de IAM para aplicar los permisos adecuados.

Shared responsibility model diagram showing customer and AWS security roles in cloud services.

Figura 1: Modelo de responsabilidad compartida de AWS.

Este modelo de responsabilidad compartida entre el cliente y AWS también abarca los controles de TI. De la misma forma que AWS y sus clientes comparten la responsabilidad de operar el entorno de TI, también la comparten en lo referente a la administración, operación y verificación de los controles de TI. AWS puede ayudar a aliviar la carga que supone para los clientes operar los controles mediante la administración de los controles asociados con la infraestructura física implementada en el entorno de AWS, de cuya administración se encargaba el cliente anteriormente. Como la implementación de cada cliente se lleva a cabo de manera diferente en AWS, los clientes tienen la oportunidad de migrar a AWS la administración de determinados controles de TI para así obtener un entorno de control distribuido (nuevo). Los clientes pueden utilizar la documentación de conformidad y control de AWS disponible para llevar a cabo sus procedimientos de evaluación y verificación de control según sea necesario. Los siguientes son ejemplos de controles administrados por AWS, los clientes de AWS o por ambos.

Controles heredados: controles que un cliente hereda completamente de AWS.

Controles ambientales y físicos

Controles compartidos: controles que se aplican tanto a la capa de infraestructura como a la del cliente, pero en perspectivas o contextos distintos. En un control compartido, AWS proporciona los requisitos para la infraestructura y el cliente debe proporcionar su propia implementación de control en el uso que se haga de los servicios de AWS. Entre los ejemplos se incluyen:

Administración de parches: AWS es responsable de la aplicación de parches y de la solución de defectos en la infraestructura, pero los clientes son responsables de la aplicación de parches en las aplicaciones y el sistema operativo invitado.
Administración de la configuración: AWS mantiene la configuración de sus dispositivos de infraestructura, pero los clientes son responsables de la configuración de sus propios sistemas operativos invitados, bases de datos y aplicaciones.
Concienciación y formación: AWS imparte formación a los empleados de AWS, pero los clientes deben formar a sus propios empleados.

Específicos del cliente: controles que son responsabilidad exclusiva del cliente en función de la aplicación que esté implementando en los servicios de AWS. Entre los ejemplos se incluyen:

Protección de comunicaciones y servicios o seguridad de zona, que pueden requerir que un cliente dirija o especifique datos de zona en entornos de seguridad específicos.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Aspectos básicos de seguridad

Gobernanza