Uso del cifrado del servidor de doble capa con claves de AWS KMS (DSSE-KMS) - Amazon Simple Storage Service

Uso del cifrado del servidor de doble capa con claves de AWS KMS (DSSE-KMS)

Al utilizar el cifrado del servidor de doble capa con claves de AWS Key Management Service (AWS KMS) (DSSE-KMS), se aplican dos capas de cifrado a los objetos cuando se cargan en Amazon S3. El DSSE-KMS le ayuda a cumplir con mayor facilidad los estándares de conformidad que requieren que aplique un cifrado de varias capas a sus datos y tenga el control total de sus claves de cifrado.

El término “doble” en DSSE-KMS se refiere a dos capas independientes de cifrado AES-256 que se aplican a los datos:

  • Primera capa: los datos se cifran mediante una clave de cifrado de datos (DEK) única generada por AWS KMS

  • Segunda capa: los datos ya cifrados se cifran de nuevo mediante una clave de cifrado AES-256 administrada por Amazon S3

Esto difiere de SSE-KMS estándar, que aplica solo una capa de cifrado. El enfoque de doble capa proporciona una seguridad mejorada al garantizar que, incluso si una capa de cifrado se viera comprometida, los datos permanecerían protegidos por la segunda capa. Esta seguridad adicional viene acompañada de un aumento de la sobrecarga de procesamiento y de las llamadas a la API de AWS KMS, lo que supone un mayor costo en comparación con SSE-KMS estándar. Para obtener más información sobre los precios de DSSE-KMS, consulte Conceptos de AWS KMS key en la Guía para desarrolladores de AWS Key Management Service y Precios de AWS KMS.

Al utilizar el DSSE-KMS con un bucket de Amazon S3, las claves de AWS KMS deben estar en la misma región que el bucket. Además, cuando se solicita el DSSE-KMS para el objeto, la suma de comprobación de S3 que forma parte de los metadatos del objeto se almacena cifrada. Para obtener más información acerca de las sumas de comprobación, consulte Comprobación de la integridad de objetos en Amazon S3.

nota

Las claves de bucket de S3 no son compatibles con DSSE-KMS.

Las principales diferencias entre DSSE-KMS y SSE-KMS estándar son:

  • Capas de cifrado: DSSE-KMS aplica dos capas independientes de cifrado AES-256, mientras que SSE-KMS estándar aplica una capa

  • Seguridad: DSSE-KMS proporciona una protección mejorada contra posibles vulnerabilidades de cifrado

  • Conformidad: DSSE-KMS ayuda a cumplir los requisitos normativos que exigen cifrado multicapa

  • Rendimiento: DSSE-KMS tiene una latencia ligeramente superior debido al procesamiento de cifrado adicional

  • Costo: DSSE-KMS genera cargos más altos debido al aumento de la sobrecarga computacional y a las operaciones adicionales de AWS KMS

Exigir el cifrado del servidor de doble capa con AWS KMS keys (DSSE-KMS)

Para exigir el cifrado del servidor de doble capa para todos los objetos en un bucket de Amazon S3 determinado, puede usar una política de bucket. Por ejemplo, la siguiente política de bucket deniega el permiso de carga de objeto (s3:PutObject) para todos, si la solicitud no incluye el encabezado x-amz-server-side-encryption, que solicita el cifrado del servidor con DSSE-KMS.

JSON
{
             "Version":"2012-10-17",		 	 	 
             "Id": "PutObjectPolicy",
             "Statement": [{
                   "Sid": "DenyUnEncryptedObjectUploads",
                   "Effect": "Deny",
                   "Principal": {
                       "AWS": "arn:aws:iam::111122223333:root"
                   },
                   "Action": "s3:PutObject",
                   "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
                   "Condition": {
                      "StringNotEquals": {
                         "s3:x-amz-server-side-encryption": "aws:kms:dsse"
                      }
                   }
                }
             ]
          }
Temas