Protección de datos en AWS Site-to-Site VPN

El modelo de responsabilidad compartida de AWS se aplica a la protección de datos de AWS Site-to-Site VPN. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el Modelo de responsabilidad compartida de AWS y GDPR en el Blog de seguridad de AWS.

Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

Utiliza la autenticación multifactor (MFA) en cada cuenta.
Utiliza SSL/TLS para comunicarse con los recursos de AWS. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulta Working with CloudTrail trails en la Guía del usuario de AWS CloudTrail.
Utiliza las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de línea de comandos o una API, utiliza un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta Estándar de procesamiento de la información federal (FIPS) 140-3.

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye cuando se trabaja con Site-to-Site VPN u otros Servicios de AWS con la consola, la API, la AWS CLI o los SDK de AWS. Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.

Privacidad del tráfico entre redes

Las conexiones de Site-to-Site VPN conectan de forma privada la VPC a la red local. Los datos que se transfieren entre su VPC y su red se direccionan a través de una conexión de VPN cifrada para ayudarlo a mantener la confidencialidad y la integridad de los datos en tránsito. Amazon da soporte a conexiones de VPN de seguridad de protocolo de Internet (IPSec). IPsec es un conjunto de protocolos que se usa para proteger las comunicaciones por protocolo de Internet (IP) mediante la autenticación y el cifrado de todos los paquetes IP de una transmisión de datos.

Cada conexión de Site-to-Site VPN consta de dos túneles de VPN IPsec cifrados que conectan AWS y la red. El tráfico de cada túnel puede cifrarse con AES128 o AES256 y usar grupos Diffie-Hellman para el intercambio de claves, lo que proporciona una confidencialidad directa total. AWS autentica con funciones de hash SHA1 o SHA2.

Las instancias de la VPC no necesitan una dirección IP pública para conectarse a los recursos del otro extremo de la conexión de Site-to-Site VPN. Las instancias pueden direccionar el tráfico de Internet hacia la red de las instalaciones a través de la conexión de Site-to-Site VPN. A continuación, pueden obtener acceso a Internet a través de los puntos de tráfico salientes y de sus dispositivos de monitoreo y seguridad de la red.

Consulte los siguientes temas para obtener más información:

Opciones de túnel para la conexión de AWS Site-to-Site VPN: proporciona información sobre las opciones de IPsec e Intercambio de claves de Internet (IKE) disponibles para cada túnel.
AWS Site-to-Site VPNOpciones de autenticación de túneles de : proporciona información sobre las opciones de autenticación de los puntos de enlace del túnel de VPN.
Requisitos para un dispositivo de puerta de enlace de cliente de AWS Site-to-Site VPN: proporciona información sobre los requisitos del dispositivo de gateway de cliente en su extremo de la conexión de VPN.
Comunicación segura entre conexiones de AWS Site-to-Site VPN mediante VPN CloudHub: si tiene varias conexiones de Site-to-Site VPN, puede proporcionar una comunicación segura entre los sitios en las instalaciones con AWS VPN CloudHub.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cambio del modo de almacenamiento de claves compartidas previamente

Identity and Access Management