Modos de control de cifrado Supervisión del estado de cifrado de los flujos de tráfico Exclusiones de Controles de cifrado de VPC Flujo de trabajo de implementación Estados de Controles de cifrado de VPC Soporte y compatibilidad con servicios de AWS Precios AWS CLIReferencia de comandos de Recursos adicionales

Aplicación del cifrado del tráfico en tránsito en VPC

Controles de cifrado de VPC es una característica de seguridad y cumplimiento que proporciona un control centralizado y autorizado para supervisar el estado de cifrado de los flujos de tráfico, ayuda a identificar recursos que permiten comunicaciones en texto sin cifrar y ofrece mecanismos para aplicar el cifrado del tráfico en tránsito dentro de las VPC y entre ellas en una región.

Controles de cifrado de VPC usa tanto cifrado en la capa de aplicación como la capacidad integrada de cifrado en tránsito del hardware del sistema Nitro de AWS para garantizar la aplicación del cifrado. Esta característica también extiende el cifrado nativo a nivel de hardware, más allá de las instancias modernas basadas en Nitro, a otros servicios de AWS, incluidos Fargate, Equilibrador de carga de aplicación, Transit Gateway y muchos otros.

La característica está diseñada para cualquier persona que desee garantizar visibilidad y control sobre el estado de cifrado de todo su tráfico. Resulta especialmente útil en sectores donde el cifrado de datos es fundamental para cumplir estándares normativos como HIPAA, FedRAMP y PCI DSS. Los administradores de seguridad y los arquitectos en la nube pueden usarla para aplicar de forma centralizada políticas de cifrado del tráfico en tránsito en todo su entorno de AWS.

Esta característica se puede utilizar en dos modos: modo de supervisión y modo de aplicación obligatoria.

Modos de control de cifrado

Modo monitoreado

En modo de supervisión, Controles de cifrado proporciona visibilidad sobre el estado de cifrado de los flujos de tráfico entre los recursos de AWS, tanto dentro de una VPC como entre VPC. También ayuda a identificar recursos de VPC que no aplican el cifrado del tráfico en tránsito. Puede configurar los registros de flujo de VPC para que emitan el campo enriquecido encryption-status, que indica si el tráfico está cifrado. También puede usar la consola o el comando GetVpcResourcesBlockingEncryptionEnforcement para identificar los recursos que no aplican el cifrado del tráfico en tránsito.

nota

Las VPC existentes solo se pueden habilitar inicialmente en modo de supervisión. Esto proporciona visibilidad sobre los recursos que permiten o podrían permitir tráfico en texto sin cifrar. Solo puede activar el modo de aplicación obligatoria en la VPC una vez que estos recursos comiencen a aplicar el cifrado (o cuando cree exclusiones para ellos).

Modo de aplicación obligatoria

En el modo de aplicación obligatoria, los controles de cifrado de VPC impiden el uso de cualquier característica o servicio que permita tráfico sin cifrar dentro del límite de la VPC. No puede habilitar los controles de cifrado de VPC en el modo de aplicación obligatoria directamente en las VPC existentes. Primero debe activar los controles de cifrado de VPC en el modo de supervisión, identificar y modificar los recursos que no cumplan los requisitos para aplicar el cifrado en tránsito y, a continuación, activar el modo de aplicación obligatoria. Sin embargo, puede habilitar los controles de cifrado de VPC en el modo de aplicación obligatoria para VPC nuevas durante su creación.

Cuando está habilitado, el modo de aplicación obligatoria impide crear o asociar recursos de VPC sin cifrar, como instancias de EC2 antiguas que no admiten cifrado nativo integrado o puertas de enlace de Internet, entre otros. Si desea ejecutar un recurso que no cumple los requisitos en una VPC con cifrado aplicado, debe crear una exclusión para ese recurso.

Supervisión del estado de cifrado de los flujos de tráfico

Puede auditar el estado de cifrado de los flujos de tráfico dentro de la VPC mediante el campo encryption-status en los registros de flujo de la VPC. Puede tener los siguientes valores:

0 = sin cifrar
1 = cifrado con Nitro (administrado por Controles de cifrado de VPC)
2 = cifrado a nivel de aplicación
- flujos en el puerto TCP 443 para un punto de conexión de interfaz a un servicio de AWS ^*
- flujos en el puerto TCP 443 para puntos de conexión de puerta de enlace ^*
- flujos hacia un clúster de Redshift cifrado a través de un punto de conexión de VPC ^**
3 = cifrados tanto con Nitro como a nivel de aplicación
(-) = estado de cifrado desconocido o Controles de cifrado de VPC desactivados

Nota:

^* En el caso de los puntos de conexión de interfaz y de puerta de enlace, AWS no examina los datos de los paquetes para determinar el estado de cifrado; en su lugar, se basa en el puerto utilizado para inferir el estado de cifrado.

^** Para los puntos de conexión administrados por AWS especificados, AWS determina el estado de cifrado en función del requisito de TLS en la configuración del servicio.

Limitaciones de los registros de flujo de VPC

Para habilitar los registros de flujo para Controles de cifrado de VPC, debe crear manualmente registros de flujo nuevos que incluyan el campo de estado de cifrado. El campo de estado de cifrado no se agrega automáticamente a los registros de flujo existentes.

Se recomienda agregar los campos ${traffic-path} y ${flow-direction} a los registros de flujo para obtener información más detallada.

Ejemplo:


aws ec2 create-flow-logs \
--resource-type VPC \
--resource-ids vpc-12345678901234567 \
--traffic-type ALL \
--log-group-name my-flow-logs \
--deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
--log-format '${encryption-status} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${traffic-path} ${flow-direction} ${reject-reason}'

Exclusiones de Controles de cifrado de VPC

El modo de aplicación obligatoria de los controles de cifrado de VPC requiere que todos los recursos de la VPC apliquen el cifrado. Esto garantiza el cifrado dentro de AWS en una región. Sin embargo, puede tener recursos como puerta de enlace de Internet, puerta de enlace NAT o puerta de enlace privada virtual que permiten conectividad fuera de las redes de AWS, donde deberá asumir la responsabildiad de configurar y mantener el cifrado de extremo a extremo. Para ejecutar estos recursos en VPC con cifrado aplicado, puede crear exclusiones de recursos. Una exclusión crea una excepción auditable para los recursos en los que el cliente es responsable de mantener el cifrado (por lo general, en la capa de aplicación).

Solo hay 8 exclusiones compatibles con Controles de cifrado de VPC. Si tiene estos recursos en la VPC y desea pasar al modo de aplicación obligatoria, debe agregar estas exclusiones al cambiar del modo de supervisión al modo de aplicación obligatoria. No se puede excluir ningún otro recurso. Puede migrar la VPC al modo de aplicación obligatoria mediante la creación de exclusiones para estos recursos. Debe encargarse de garantizar el cifrado de los flujos de tráfico hacia y desde estos recursos

Puerta de enlace de Internet
Gateway NAT
Puerta de enlace de Internet solo de salida
Conexiones de emparejamiento de VPC con VPC en las que no se aplica el cifrado (consulte la sección de compatibilidad de emparejamiento de VPC para ver escenarios detallados)
Gateway privada virtual
Funciones de Lambda dentro de la VPC
VPC Lattice
Elastic File System

Flujo de trabajo de implementación

Habilitar la supervisión: cree un control de cifrado de VPC en modo de supervisión
Analizar el tráfico: revise los registros de flujo para supervisar el estado de cifrado de los flujos de tráfico
Analizar recursos: use la consola o el comando GetVpcResourcesBlockingEncryptionEnforcement para identificar los recursos que no aplican el cifrado del tráfico en tránsito.
Preparación [opcional]: planifique las migraciones de recursos y las exclusiones necesarias si desea activar el modo de aplicación obligatoria
Aplicación obligatoria [opcional]: cambie al modo de aplicación obligatoria con las exclusiones necesarias configuradas
Auditoría: supervisión continua del cumplimiento mediante los registros de flujo

Para obtener instrucciones detalladas de configuración, consulte el blog Introducción a los controles de cifrado de VPC: aplicar el cifrado del tráfico en tránsito dentro de las VPC y entre ellas en una región

Estados de Controles de cifrado de VPC

Los Controles de cifrado de VPC se pueden encontrar en uno de los siguientes estados:

crear: Los Controles de cifrado de VPC están en proceso de ser creados en la VPC.
modify-in-progress: Los Controles de cifrado de VPC están en proceso de ser modificados en la VPC
deleting: Los Controles de cifrado de VPC están en proceso de ser eliminados en la VPC
available: Los controles de cifrado de VPC se implementaron correctamente en la VPC en el modo de supervisión o en el modo de aplicación obligatoria

Soporte y compatibilidad con servicios de AWS

Para cumplir los requisitos de cifrado, un recurso debe aplicar siempre el cifrado del tráfico en tránsito, ya sea a nivel de hardware o a nivel de aplicación. Para la mayoría de los recursos, no se requiere ninguna acción por su parte.

Servicios con cumplimiento automático

La mayoría de los servicios de AWS compatibles con PrivateLink, incluidos los PrivateLink entre regiones, aceptan tráfico cifrado a nivel de aplicación. No es necesario que realice ningún cambio en estos recursos. AWS descarta automáticamente cualquier tráfico que no esté cifrado a nivel de aplicación. Algunas excepciones incluyen los clústeres de Redshift (tanto aprovisionados como sin servidor), en los que debe migrar manualmente los recursos subyacentes.

Recursos que se migran automáticamente

Los equilibradores de carga de red, equilibradores de carga de aplicaciones, los clústeres de Fargate y el plano de control de EKS se migran automáticamente a hardware que admite cifrado de forma nativa una vez que se habilita el modo de supervisión. No es necesario que modifique estos recursos. AWS se encarga de la migración automáticamente.

Recursos que requieren migración manual

Determinados recursos y servicios de VPC requieren que seleccione los tipos de instancia subyacentes. Todas las instancias modernas de EC2 admiten el cifrado del tráfico en tránsito No es necesario que realice ningún cambio si los servicios ya usan instancias modernas de EC2. Puede usar la consola o el comando GetVpcResourcesBlockingEncryptionEnforcement para identificar si alguno de estos servicios usa instancias anteriores. Si identifica recursos de este tipo, debe actualizarlos a instancias modernas de EC2 que admitan cifrado nativo del hardware del sistema Nitro. Estos servicios incluyen instancias de EC2, grupos de escalado automático, RDS (todas las bases de datos y Amazon DocumentDB), ElastiCache aprovisionado, clústeres aprovisionados de Amazon Redshift, EKS, ECS en EC2, OpenSearch aprovisionado y EMR.

Recursos compatibles:

Los siguientes recursos son compatibles con Controles de cifrado de VPC:

Instancias de EC2 basadas en Nitro
Equilibradores de carga de red (con limitaciones)
Equilibradores de carga de aplicación
Clústeres de AWS Fargate
Amazon Elastic Kubernetes Service (EKS)
Grupos de Auto Scaling de Amazon EC2
Amazon Relational Database Service (RDS) (todas las bases de datos)
Clústeres basados en nodos de Amazon ElastiCache
Clústeres de Amazon Redshift, tanto aprovisionados como sin servidor
Amazon Elastic Container Service (ECS) con instancias de contenedores de EC2
Amazon OpenSearch Service
Amazon Elastic MapReduce (EMR)
Amazon Managed Streaming for Apache Kafka (Amazon MSK)
Los Controles de cifrado de VPC aplican la obligatoriedad del cifrado a nivel de aplicación para todos los servicios de AWS a los que se accede mediante PrivateLink. Cualquier tráfico que no esté cifrado a nivel de aplicación se descarta automáticamente en los puntos de conexión de PrivateLink alojados en una VPC con Controles de cifrado de VPC en modo de aplicación obligatoria

Limitaciones específicas del servicio

Limitaciones de equilibrador de carga de red

Configuración de TLS: no puede usar un oyente TLS para delegar el cifrado y el descifrado en el equilibrador de carga cuando se aplican Controles de cifrado en la VPC que lo contiene. No obstante, puede configurar los destinos para que realicen el cifrado y descifrado TLS

Amazon Redshift (aprovisionado y sin servidor)

Los clientes no pueden pasar al modo de aplicación obligatoria en una VPC que tenga un clúster o un punto de conexión existentes. Para usar Controles de cifrado de VPC con Amazon Redshift, debe restaurar el clúster o el espacio de nombres desde una instantánea. En el caso de los clústeres aprovisionados, cree una instantánea del clúster de Redshift existente y, a continuación, restáurelo desde esa instantánea mediante la operación restaurar desde instantánea de clúster. En el caso de Redshift sin servidor, cree una instantánea del espacio de nombres existente y, a continuación, restáurelo desde esa instantánea mediante la operación restaurar desde instantánea en el grupo de trabajo sin servidor. Tenga en cuenta que no es posible habilitar Controles de cifrado de VPC en clústeres o espacios de nombres existentes sin realizar el proceso de creación de instantánea y restauración. Consulte la documentación de Amazon Redshift para obtener instrucciones sobre la creación de instantáneas.

Amazon MSK (Managed Streaming para Apache Kafka)

Esta funcionalidad es compatible con clústeres nuevos que usan la versión 4.1 y que se crean en su propia VPC. Los pasos siguientes ayudarán a usar el cifrado de VPC con MSK.

El cliente habilita el cifrado de VPC en una VPC que no tenga ningún otro clúster de MSK
El cliente crea un clúster con Kafka versión 4.1 y con el tipo de instancia M7g

Limitaciones regionales y de zona

Subredes de zonas locales: no se admiten en el modo de aplicación obligatoria; se deben eliminar de la VPC

Compatibilidad con emparejamiento de VPC

Para garantizar el cifrado en tránsito con el emparejamiento de VPC entre dos VPC, ambas VPC deben residir en la misma región y tener los controles de cifrado habilitados en el modo de aplicación obligatoria, sin ninguna exclusión. Debe crear una exclusión de emparejamiento si desea emparejar una VPC con cifrado aplicado con otra VPC que resida en una región diferente o que no tenga los controles de cifrado habilitados en el modo de aplicación obligatoria (sin exclusiones).

Si dos VPC están en el modo de aplicación obligatoria y están emparejadas entre sí, no puede cambiar el modo de aplicación obligatoria al modo de supervisión. Debe crear primero una exclusión de emparejamiento, antes de cambiar el modo de Controles de cifrado de VPC a supervisión.

Compatibilidad de cifrado con la puerta de enlace de tránsito

Debe habilitar explícitamente la compatibilidad de cifrado en la puerta de enlace de tránsito para cifrar el tráfico entre las VPC que tengan controles de cifrado habilitados. Habilitar el cifrado en una puerta de enlace de tránsito existente no interrumpe los flujos de tráfico actuales, y la migración de los adjuntos de VPC a canales cifrados se realizará de forma transparente y automática. El tráfico entre dos VPC en el modo de aplicación obligatoria (sin exclusiones) a través de la puerta de enlace de tránsito recorre canales cifrados al 100 %. El cifrado en la puerta de enlace de tránsito también permite conectar dos VPC que se encuentran en distintos modos de controles de cifrado. Debe usarlo cuando desee aplicar controles de cifrado en una VPC que está conectada a una VPC en la que no se exige el cifrado. En un caso de este tipo, todo el tráfico dentro de la VPC con cifrado exigido, incluido el tráfico entre VPC, está cifrado. El tráfico entre VPC se cifra entre los recursos de la VPC con cifrado obligatorio y la puerta de enlace de tránsito. Más allá de eso, el cifrado depende de los recursos a los que se dirige el tráfico en la VPC sin aplicación obligatoria y no se garantiza que esté cifrado (dado que la VPC no está en el modo de aplicación obligatoria). Todas las VPC deben estar en la misma región (consulte los detalles aquí).

Flujo de tráfico entre VPC con distinto estado de control de cifrado

En este diagrama, la VPC 1, la VPC 2 y la VPC 3 tienen los controles de cifrado en el modo de aplicación obligatoria y están conectadas a la VPC 4, que tiene los controles de cifrado en ejecución en el modo de supervisión.
Se cifrará todo el tráfico entre VPC1, VPC2 y VPC3.
Para mayor claridad, cualquier tráfico entre un recurso de la VPC 1 y un recurso de la VPC 4 se cifrará hasta la puerta de enlace de tránsito mediante el cifrado que ofrece el hardware del sistema Nitro. Más allá de eso, el estado del cifrado depende del recurso en la VPC 4 y no se garantiza que esté cifrado.

Para obtener más información sobre la compatibilidad de cifrado de la puerta de enlace de tránsito, consulte la documentación de la puerta de enlace de tránsito.

Precios

Para obtener información sobre los precios, consulte Precios de Amazon VPC.

AWS CLIReferencia de comandos de

Ajustes y configuración

Supervisión y solución de problemas

Eliminación

aws ec2 delete-vpc-encryption-control

Recursos adicionales

Para obtener información más detallada sobre la API, consulte la Guía de referencia de la API de EC2.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Privacidad del tráfico entre redes

Identity and Access Management