Tema 5: establecimiento de un perímetro de datos - AWS Guía prescriptiva
Prácticas recomendadas relacionadas:Implementación de este temaSupervisión de este tema

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tema 5: establecimiento de un perímetro de datos

Estrategias de Essential Eight que se abarcan

Restricción de los privilegios administrativos

Un perímetro de datos es un conjunto de barreras de protección en el entorno de AWS que ayudan a garantizar que solo las identidades de confianza accedan a los recursos de confianza desde las redes previstas. Estas barreras sirven como límites permanentes que ayudan a proteger sus datos en un amplio conjunto de recursos. Cuentas de AWS Estas barreras de protección para toda la organización no sustituyen a los estrictos controles de acceso existentes. Por el contrario, ayudan a mejorar la estrategia de seguridad al garantizar que todos los usuarios, funciones y recursos AWS Identity and Access Management (de IAM) cumplan con un conjunto de normas de seguridad definidas.

Puede establecer un perímetro de datos mediante políticas que impidan el acceso desde fuera de los límites de una organización, que por lo general se crean en AWS Organizations. Las tres condiciones principales de autorización perimetral que se utilizan para establecer un perímetro de datos son las siguientes:

  • Identidades confiables: personas principales (funciones o usuarios de IAM) que actúan en su Cuentas de AWS nombre o que Servicios de AWS actúan en su nombre.

  • Recursos confiables: recursos que están en su poder Cuentas de AWS o que se administran Servicios de AWS actuando en su nombre.

  • Redes esperadas: sus centros de datos locales y sus nubes privadas virtuales (VPCs), o las redes que Servicios de AWS actúan en su nombre.

Considere la posibilidad de implementar perímetros de datos entre entornos de distintas clasificaciones de datos, como OFFICIAL:SENSITIVE o PROTECTED con distintos niveles de riesgo, como desarrollo, pruebas o producción. Para obtener más información, consulte Creación de un perímetro de datos en AWS (AWS documento técnico) y Establecimiento de un perímetro de datos en AWS: descripción general (AWS entrada del blog).

Mejores prácticas relacionadas en el AWS Well-Architected Framework

Implementación de este tema

Implementación de controles de identidad

  • Permita que solo las identidades confiables accedan a sus recursos: utilice políticas basadas en recursos con las claves de condición aws:PrincipalOrgID y aws:PrincipalIsAWSService. Esto permite que solo los directores de su AWS organización y origen accedan AWS a sus recursos.

  • Permita identidades confiables solo de su red: utiliza las políticas de puntos de conexión de VPC con las claves de condición aws:PrincipalOrgID y aws:PrincipalIsAWSService. Esto permite que solo los directores de su AWS organización y desde accedan AWS a los servicios a través de los puntos de enlace de la VPC.

Implementación de controles de los recursos

  • Permita que sus identidades accedan solo a recursos confiables: utilice las políticas de control de servicios (SCPs) con la clave de condición. aws:ResourceOrgID Esto permite que sus identidades accedan solo a los recursos de su AWS organización.

  • Permita el acceso a los recursos de confianza solo desde su red: utilice políticas de puntos de conexión de VPC con la clave de condición aws:ResourceOrgID. Esto permite que las identidades accedan a los servicios solo a través de los puntos de conexión de VPC que forman parte de su organización de AWS .

Implementación de los controles de red

  • Permita que las identidades accedan a los recursos solo desde las redes esperadas: utilícelas SCPs con las claves de condición aws:SourceIp aws:SourceVpcaws:SourceVpce,, yaws:ViaAWSService. Esto permite que sus identidades accedan a los recursos solo desde las direcciones IP esperadas y los puntos finales de VPC, y desde allí. VPCs Servicios de AWS

  • Permita el acceso a los recursos solo desde las redes previstas: utilice las políticas basadas en recursos con las claves de condición aws:SourceIp, aws:SourceVpc, aws:SourceVpce, aws:ViaAWSService y aws:PrincipalIsAWSService. Esto permite el acceso a sus recursos solo desde los puntos de enlace de VPC IPs esperados VPCs, esperados o esperados Servicios de AWS, hasta o cuando la identidad de llamada sea una. Servicio de AWS

Supervisión de este tema

Supervisión de políticas

  • Implemente mecanismos de revisión SCPs, políticas de IAM y políticas de puntos finales de VPC

Implemente las siguientes reglas AWS Config

  • SERVICE_VPC_ENDPOINT_ENABLED