Establecimiento de barreras de protección de permisos mediante perímetros de datos
Las barreras de protección de perímetros de datos están diseñadas para servir como límites permanentes para ayudar a proteger los datos en un amplio conjunto de cuentas y recursos de AWS. Los perímetros de datos siguen las prácticas recomendadas de seguridad de IAM para establecer barreras de protección de permisos en varias cuentas. Estas barreras de protección de permisos para toda la organización no sustituyen a los estrictos controles de acceso existentes. En cambio, funcionan como controles de acceso detallados que ayudan a mejorar su estrategia de seguridad al garantizar que los usuarios, los roles y los recursos cumplan con un conjunto de estándares de seguridad definidos.
Un perímetro de datos es un conjunto de barreras de permisos en su entorno de AWS que ayudan a garantizar que solo sus identidades de confianza accedan a los recursos de confianza desde las redes esperadas.
-
Identidades de confianza: entidades principales (roles o usuarios de IAM) de sus cuentas de AWS y servicios de AWS que actúan en su nombre.
-
Recursos de confianza: recursos que son propiedad de sus cuentas de AWS o de servicios de AWS que actúan en su nombre.
-
Redes esperadas: sus centros de datos en las instalaciones y nubes privadas virtuales (VPC), o redes de servicios de AWS que actúan en su nombre.
nota
En algunos casos, es posible que necesite ampliar el perímetro de datos para incluir también el acceso de sus socios comerciales de confianza. Debe tener en cuenta todos los patrones de acceso a los datos previstos al crear una definición de identidades de confianza, recursos de confianza y redes esperadas específicas para su empresa y su uso de Servicios de AWS.
Los controles de perímetros de datos deben tratarse como cualquier otro control de seguridad del programa de seguridad de la información y gestión de riesgos. Esto significa que debe realizar un análisis de amenazas para identificar los posibles riesgos en su entorno en la nube y, a continuación, en función de sus propios criterios de aceptación del riesgo, seleccionar e implementar los controles de perímetros de datos adecuados. Para fundamentar mejor el enfoque iterativo basado en el riesgo para la implementación del perímetro de datos, debe comprender qué riesgos de seguridad y vectores de amenazas abordan los controles de perímetros de datos, así como cuáles son sus prioridades de seguridad.
Controles del perímetro de datos
Los controles detallados del perímetro de datos le ayudan a lograr seis objetivos de seguridad distintos en tres perímetros de datos mediante la implementación de diferentes combinaciones de Tipos de políticas y claves de condiciones.
| Perímetro | Objetivo de control | Utilización | Se aplica en | Claves de contexto de condición global |
|---|---|---|---|---|
Identidad |
Solo las identidades de confianza pueden acceder a mis recursos |
RCP |
Recursos |
aws:PrincipalOrgID aws:PrincipalOrgPaths aws:PrincipalAccount aws:PrincipalIsAwsService aws:SourceOrgID aws:SourceOrgPath aws:SourceAccount |
Solo se permite el acceso desde mi red a identidades de confianza |
Política de punto de conexión de VPC |
Network |
||
Recursos |
Sus identidades solo pueden acceder a recursos de confianza |
SCP |
Identidades |
aws:ResourceOrgID aws:ResourceOrgPaths aws:ResourceAccount |
Solo se puede acceder a los recursos de confianza desde su red |
Política de punto de conexión de VPC |
Network |
||
Network |
Sus identidades solo pueden acceder a los recursos desde las redes esperadas |
SCP |
Identidades |
aws:SourceIp aws:SourceVpc aws:SourceVpce aws:VpceAccount aws:VpceOrgPaths aws:VpceOrgID aws:ViaAWSService aws:PrincipalIsAwsService |
Solo se puede acceder a sus recursos desde las redes esperadas |
RCP |
Recursos |
Puede pensar que los perímetros de datos crean un límite firme alrededor de sus datos para evitar patrones de acceso no deseados. Si bien los perímetros de los datos pueden impedir un acceso no deseado a nivel general, aún debe tomar decisiones sobre el control de acceso detallado. El establecimiento de un perímetro de datos no reduce la necesidad de ajustar continuamente los permisos mediante el uso de herramientas como el Analizador de acceso de IAM como parte de su traspaso a los privilegios mínimos.
Para aplicar controles perimetrales de datos a los recursos que actualmente no son compatibles con las RCP, puede utilizar políticas basadas en recursos que se adjunten directamente a los recursos. Para obtener una lista de los servicios que admiten las RCP y las políticas basadas en recursos, consulte Resource control policies (RCPs) y Servicios de AWS que funcionan con IAM.
Para aplicar los controles perimetrales de la red, le recomendamos que utilice aws:VpceOrgID, aws:VpceOrgPaths y aws:VpceAccount solo si todos los servicios a los que desea restringir el acceso son compatibles actualmente. El uso de estas claves de condición con servicios no compatibles puede provocar resultados de autorización no deseados. Para obtener una lista de los servicios compatibles con las claves, consulte Claves de contexto de condición globales de AWS. Si necesita aplicar los controles a una gama más amplia de servicios, considere la posibilidad de utilizar aws:SourceVpc y aws:SourceVpce en su lugar.
Perímetro de identidad
Un perímetro de identidad es un conjunto de controles de acceso preventivos detallados que ayudan a garantizar que solo las identidades de confianza puedan acceder a sus recursos y que solo las identidades de confianza puedan acceder a su red. Las identidades de confianza por lo general incluyen las entidades principales (roles o usuarios) de sus cuentas de AWS y servicios de AWS que actúan en su nombre. Se considera que todas las demás identidades no son de confianza y el perímetro de identidad las bloquea, a menos que se conceda una excepción explícita.
Las siguientes claves de condiciones globales ayudan a aplicar los controles del perímetro de identidad según su definición de identidades de confianza. Use estas claves en las políticas de control de recursos para restringir el acceso a los recursos, o en las políticas de puntos de conexión de VPC para restringir el acceso a sus redes.
Identidades de su propiedad
Puede usar las siguientes claves de condición para definir las entidades principales de IAM que cree y administre en su Cuentas de AWS.
-
aws:PrincipalOrgID: puede usar esta clave de condición para asegurarse de que las entidades principales de IAM que realizan la solicitud pertenezcan a la organización especificada en AWS Organizations.
-
aws:PrincipalOrgPaths: puede usar esta clave de condición para asegurarse de que el usuario de IAM, el rol de IAM, la entidad principal de usuario federado de AWS STS, la entidad principal federada de SAML, la entidad principal federada de OIDC o el Usuario raíz de la cuenta de AWS que realiza la solicitud pertenezca a la unidad organizativa (OU) especificada enAWS Organizations .
-
aws:PrincipalAccount: puede usar esta clave de condición para garantizar que solo la cuenta de la entidad principal que especifique en la política pueda acceder a los recursos.
Identidades de los servicios de AWS que actúan en su nombre
Puede usar las siguientes claves de condición para permitir que los servicios de AWS utilicen sus propias identidades para acceder a sus recursos cuando actúen en su nombre.
-
aws:PrincipalIsAWSService y aws:SourceOrgID (o alternativa, aws:SourceOrgPaths y aws:SourceAccount): puede usar estas claves de condición para asegurarse de que, cuando las entidades principales de Servicio de AWS accedan a sus recursos, lo hagan únicamente en nombre de un recurso de la organización, unidad organizativa o cuenta especificadas en AWS Organizations.
Para obtener más información, consulte Establishing a data perimeter on AWS: Allow only trusted identities to access company data
Perímetro de recursos
Un perímetro de recursos es un conjunto de controles de acceso preventivos detallados que ayudan a garantizar que sus identidades puedan acceder solo a recursos de confianza y que solo se pueda acceder a recursos de confianza desde su red. Los recursos de confianza por lo general incluyen los recursos que son propiedad de sus cuentas de AWS o de servicios de AWS que actúan en su nombre.
Las siguientes claves de condiciones globales ayudan a aplicar los controles del perímetro de recurso según su definición de recursos de confianza. Use estas claves en las políticas de control de servicio (SCP) para restringir a qué recursos pueden acceder sus identidades, o en las políticas de puntos de conexión de VPC para restringir los recursos a los que se puede acceder desde sus redes.
Recursos de su propiedad
Puede usar las siguientes claves de condición para definir los recursos de AWS que cree y administre en su Cuentas de AWS.
-
aws:ResourceOrgID: puede usar esta clave de condición para asegurarse de que el recurso al que se accede pertenezca a la organización especificada en AWS Organizations.
-
aws:ResourceOrgPaths: puede usar esta clave de condición para asegurarse de que el recurso al que se accede pertenezca a la unidad organizativa especificada en AWS Organizations.
-
aws:ResourceAccount: puede usar esta clave de condición para asegurarse de que el recurso al que se accede pertenezca a la Cuenta de AWS especificada.
Recursos de los servicios de AWS que actúan en su nombre
En algunos casos, es posible que necesite permitir el acceso a los recursos propiedad de AWS, a los recursos que no pertenecen a su organización y a los que acceden sus entidades principales o los servicios de AWS que actúan en su nombre. Para obtener más información sobre estos escenarios, consulte Establishing a data perimeter on AWS: Allow only trusted resources from my organization
Perímetro de red
Un perímetro de red es un conjunto de controles de acceso preventivos detallados que ayudan a garantizar que sus identidades puedan acceder solo a recursos de las redes esperadas y que solo se pueda acceder a sus recursos desde las redes esperadas. Las redes esperadas por lo general incluyen sus centros de datos en las instalaciones y nubes privadas virtuales (VPC), o redes de servicios de AWS que actúan en su nombre.
Las siguientes claves de condiciones globales ayudan a aplicar los controles del perímetro de red según su definición de las redes esperadas. Use estas claves en las políticas de control de servicios (SCP) para restringir las redes desde las que se pueden comunicar sus identidades, o en las políticas de control de recursos para restringir el acceso de los recursos a las redes esperadas.
Redes de su propiedad
Puede usar las siguientes claves de condición para definir las redes que sus empleados y aplicaciones deben usar para acceder a sus recursos, como el rango de direcciones IP CIDR corporativas y sus VPC.
-
aws:SourceIp: puede usar esta clave de condición para asegurarse de que la dirección IP del solicitante esté dentro de un rango de IP específico.
-
aws:SourceVpc: puede usar esta clave de condición para garantizar que el punto de conexión de VPC por el que pasa la solicitud pertenezca a la VPC especificada.
-
aws:SourceVpce: puede usar esta clave de condición para garantizar que la solicitud pasa por el punto de conexión de VPC especificado.
-
aws:VpceAccount: puede usar esta clave de condición para garantizar que las solicitudes pasan por los puntos de conexión de VPC que son propiedad de la cuenta de AWS especificada.
-
aws:VpceOrgPaths: puede usar esta clave de condición para asegurarse de que las entidades principales de IAM que realizan la solicitud pertenezcan a la unidad organizativa (UO) especificada en AWS Organizations.
-
aws:VpceOrgID: puede usar esta clave de condición para asegurarse de que las solicitudes pasan por los puntos de conexión de VPC que son propiedad de las cuentas de la organización especificada en AWS Organizations.
aws:VpceAccount, aws:VpceOrgPaths y aws:VpceOrgID son particularmente útiles para implementar controles perimetrales de red que se escalan automáticamente con el uso de los puntos de conexión de VPC, sin necesidad de actualizar las políticas durante la creación de nuevos puntos de conexión. Consulte Claves de contexto de condición globales de AWS para obtener una lista de los Servicios de AWS compatibles con estas claves.
Redes de los servicios de AWS que actúan en su nombre
Puede usar las siguientes claves de condición para permitir que los servicios de AWS accedan a los recursos desde sus redes cuando actúen en su nombre.
-
aws:ViaAWSService: puede usar esta clave de condición para asegurarse de que Servicios de AWS pueda realizar solicitudes en nombre de su entidad principal mediante Sesiones de acceso directo (FAS).
-
aws:PrincipalIsAWSService: puede usar esta clave de condición para asegurarse de que Servicios de AWS pueda acceder a sus recursos mediante Entidad principal del servicio de AWS.
Existen otros escenarios en los que es necesario permitir el acceso a los Servicios de AWS que acceden a sus recursos desde fuera de la red. Para obtener más información, consulte Establishing a data perimeter on AWS: Allow access to company data only from expected networks
Recursos para obtener más información sobre los perímetros de datos
Los siguientes recursos pueden ayudarle a obtener más información acerca de los perímetros de datos en AWS.
-
Perímetros de datos en AWS
: obtenga información sobre los perímetros de datos y sus ventajas y casos de uso. -
Blog Post Series: Establishing a Data Perimeter on AWS
: estas publicaciones de blog incluyen una guía prescriptiva sobre cómo establecer un perímetro de datos a escala, incluidas las principales consideraciones de seguridad e implementación. -
Data Perimeter Policy Examples
: este repositorio de GitHub contiene políticas de ejemplo que cubren algunos patrones comunes para ayudarle a implementar un perímetro de datos en AWS. -
Data perimeter helper
: esta herramienta le ayuda a diseñar y anticipar el impacto de sus controles de perímetros de datos mediante el análisis de la actividad de acceso en sus registros de AWS CloudTrail.
