Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cuenta Security OU — Log Archive
Encuesta
Nos encantaría saber de ti. Envíe sus comentarios sobre la AWS PRA mediante una breve encuesta
La cuenta de Log Archive es donde se centralizan los tipos de registros de infraestructura, servicios y aplicaciones. Para obtener más información sobre esta cuenta, consulte la Arquitectura AWS de referencia de seguridad (AWS SRA). Con una cuenta dedicada a los registros, puede aplicar alertas coherentes en todos los tipos de registros y confirmar que el personal de respuesta a incidentes puede acceder a un conjunto de estos registros desde un solo lugar. También puedes configurar los controles de seguridad y las políticas de retención de datos desde un solo lugar, lo que puede simplificar la sobrecarga operativa de privacidad. El siguiente diagrama ilustra los servicios AWS de seguridad y privacidad que están configurados en la cuenta de Log Archive.
Almacenamiento de registros centralizado
Los archivos de registro (como AWS CloudTrail los registros) pueden contener información que podría considerarse datos personales. Algunas organizaciones optan por utilizar un registro organizativo para agrupar CloudTrail los registros de todas las cuentas Regiones de AWS y de las distintas cuentas en una ubicación central, con fines de visibilidad. Para obtener más información, consulte la sección AWS CloudTrail de esta guía. Al implementar la centralización de CloudTrail los registros, estos se almacenan normalmente en un bucket de Amazon Simple Storage Service (Amazon S3) en una sola región.
Según la definición de datos personales de su organización, sus obligaciones contractuales con sus clientes y las normas de privacidad regionales aplicables, es posible que deba considerar la posibilidad de realizar transferencias de datos transfronterizas en lo que respecta a la agregación de registros. Determine si los datos personales de los distintos tipos de registro están sujetos a estas restricciones. Por ejemplo, CloudTrail los registros pueden contener datos de los empleados de su organización, pero es posible que no contengan los datos personales de sus clientes. Si su organización debe cumplir con los requisitos de transferencia de datos restringidos, las siguientes opciones pueden ayudarle:
-
Si su organización presta servicios Nube de AWS a interesados de varios países, puede optar por agregar todos los registros del país que tenga los requisitos de residencia de datos más estrictos. Por ejemplo, si opera en Alemania y tiene los requisitos más estrictos, puede agregar datos en un depósito de S3 para que
eu-central-1Región de AWS los datos recopilados en Alemania no salgan de las fronteras de Alemania. Para esta opción, puede configurar un registro organizativo único CloudTrail que agregue los registros de todas las cuentas y de Regiones de AWS la región de destino. -
Redacte los datos personales que deben permanecer en ella Región de AWS antes de copiarlos y agregarlos a otra región. Por ejemplo, puede ocultar los datos personales de la región anfitriona de la aplicación antes de transferir los registros a otra región. Para obtener más información sobre el enmascaramiento de datos personales, consulte la Amazon Data Firehose sección de esta guía.
-
Si tienes problemas estrictos sobre la soberanía de los datos, puedes mantener una landing zone independiente para múltiples cuentas en la Región de AWS que se apliquen estos requisitos. De esta forma, puede simplificar la configuración de la zona de aterrizaje en la región para un registro centralizado. También proporciona beneficios adicionales de segregación de la infraestructura y ayuda a mantener el registro local en su propia región. Trabaje con su asesor legal para determinar qué datos personales están incluidos en el ámbito de aplicación y qué Region-to-Region transferencias están permitidas. Para obtener más información, consulte la sección Elaboración de estrategias para la expansión global de esta guía.
A través de los registros de servicio, los registros de aplicaciones y los registros del sistema operativo (SO), puedes usar Amazon CloudWatch para monitorear Servicios de AWS los recursos de su cuenta y región correspondientes de forma predeterminada. Muchos optan por centralizar estos registros y métricas de varias cuentas y regiones en una sola cuenta. De forma predeterminada, estos registros se conservan en la cuenta y la región correspondientes en las que se originan. Para la centralización, puede utilizar filtros de suscripción y tareas de exportación de Amazon S3 para compartir datos en una ubicación centralizada. Puede ser importante incluir los filtros y las tareas de exportación adecuados al agregar registros de una carga de trabajo que requiere transferencias de datos transfronterizas. Si los registros de acceso de una carga de trabajo contienen datos personales, es posible que tengas que asegurarte de que se transfieran a cuentas y regiones específicas o se conserven en ellas.
Amazon Security Lake
Como se recomienda en la AWS SRA, es posible que desee utilizar la cuenta Log Archive como cuenta de administrador delegado para Amazon Security Lake. Al hacerlo, Security Lake recopila los registros compatibles en depósitos dedicados de Amazon S3 en la misma cuenta que otros registros de seguridad recomendados por la SRA.
Desde el punto de vista de la privacidad, es importante que el personal de respuesta a incidentes tenga acceso a los registros de sus AWS entornos, proveedores de SaaS, locales, fuentes en la nube y fuentes de terceros. Esto les ayuda a bloquear y corregir más rápidamente el acceso no autorizado a los datos personales. Lo más probable es que las mismas consideraciones para el almacenamiento de registros se apliquen a la residencia de registros y al movimiento regional dentro de Amazon Security Lake. Esto se debe a que Security Lake recopila los registros y eventos de seguridad del Regiones de AWS lugar en el que se ha activado el servicio. Para cumplir con los requisitos de residencia de los datos, tenga en cuenta la configuración de las regiones acumulativas.Una región acumulativa es una región en la que Security Lake consolida los datos de una o más regiones contribuyentes, que usted seleccione. Es posible que su organización necesite ajustar sus requisitos de conformidad regionales en materia de residencia de datos antes de poder configurar Security Lake y acumular regiones.
