Protección de datos en Amazon WorkMail

El modelo de responsabilidad compartida de AWS se aplica a la protección de datos en Amazon WorkMail. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el Modelo de responsabilidad compartida de AWS y GDPR en el Blog de seguridad de AWS.

Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

Utiliza la autenticación multifactor (MFA) en cada cuenta.
Utiliza SSL/TLS para comunicarse con los recursos de AWS. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulta Working with CloudTrail trails en la Guía del usuario de AWS CloudTrail.
Utiliza las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de línea de comandos o una API, utiliza un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta Estándar de procesamiento de la información federal (FIPS) 140-3.

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto es igualmente válido al trabajar con Amazon WorkMail o con otros Servicios de AWS mediante la consola, la API, las AWS CLI o los SDK de AWS. Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.

Cómo Amazon WorkMail utiliza AWS KMS

Amazon WorkMail cifra de manera transparente todos los mensajes de los buzones de correo de todas las organizaciones de Amazon WorkMail antes de que se escriban en disco y también los descifra de forma transparente cuando el usuario obtiene acceso a ellos. No puede deshabilitar el cifrado. Para proteger las claves de cifrado que protegen los mensajes, Amazon WorkMail se integra con AWS Key Management Service (AWS KMS).

Amazon WorkMail también proporciona una opción que permite a los usuarios enviar correo electrónico firmado o cifrado. Esta característica de cifrado no utiliza AWS KMS. Para obtener más información, consulte Habilitación del correo electrónico firmado o cifrado.

Temas

El cifrado de Amazon WorkMail
Autorizar el uso de la CMK
Contexto de cifrado de Amazon WorkMail
Supervisión de la interacción de Amazon WorkMail con AWS KMS

El cifrado de Amazon WorkMail

En Amazon WorkMail, cada organización puede contener varios buzones de correo, una para cada usuario de la organización. Todos los mensajes, incluido los elementos de correo electrónico y de calendario, se almacenan en el buzón de correo del usuario.

Para proteger el contenido de los buzones de correo de sus organizaciones de Amazon WorkMail, Amazon WorkMail cifra todos los mensajes de buzón de correo antes de que se escriban en disco. Ninguno de los datos proporcionados por el cliente se almacena en texto no cifrado.

Cada mensaje se cifra con una clave de cifrado de datos única. La clave del mensaje se protege con una clave del buzón de correo, que es una clave de cifrado única que se utiliza únicamente para ese buzón de correo. La clave del buzón de correo se cifra con una clave maestra del cliente (CMK) de AWS KMS de la organización que nunca deja AWS KMS sin cifrar. En el siguiente diagrama se muestra la relación de los mensajes cifrados, claves de mensaje cifradas, clave de buzón de correo cifrada y la CMK de la organización en AWS KMS.

Cifrar los buzones de correo electrónico de Amazon WorkMail

Establecimiento de una CMK para la organización

Al crear una organización de Amazon WorkMail, tiene la opción de seleccionar una clave maestra de cliente (CMK) de AWS KMS para la organización. Esta CMK protege todas las claves de buzón de correo de esa organización.

Puede seleccionar la CMK administrada de AWS predeterminada para Amazon WorkMail, o puede seleccionar una CMK administrada por el cliente existente que posea y administre. Para obtener más información, consulte Claves maestras de cliente (CMK) en la Guía para desarrolladores de AWS Key Management Service. Puede seleccionar la misma CMK o una CMK diferente para cada una de sus organizaciones, pero no puede cambiar la CMK una vez que la haya seleccionado.

importante

Amazon WorkMail solo admite CMK simétricas. No puede utilizar una CMK asimétrica. Para obtener ayuda a fin de determinar si una CMK es simétrica o asimétrica, consulte Identificación de CMK simétricas y asimétricas en la Guía para desarrolladores de AWS Key Management Service.

Para buscar la CMK de su organización, utilice la entrada del registro de AWS CloudTrail que registra las llamadas a AWS KMS.

Clave de cifrado única para cada buzón de correo

Al crear un buzón de correo, Amazon WorkMail genera una clave única de cifrado Advanced Encryption Standard (AES) simétrica de 256 bits para el buzón, conocida como su clave de buzón de correo, fuera de AWS KMS. Amazon WorkMail utiliza la clave del buzón para proteger las claves de cifrado de cada mensaje del buzón.

Para proteger la clave de buzón de correo, Amazon WorkMail llama a AWS KMS para cifrar la clave del buzón de correo bajo la CMK de la organización. A continuación, almacena la clave del buzón de correo cifrada en los metadatos del buzón.

nota

Amazon WorkMail utiliza una clave de cifrado de buzón de correo simétrica para proteger las claves de los mensajes. Anteriormente, Amazon WorkMail protegía cada buzón de correo con un par de claves asimétricas. Utilizaba la clave pública para cifrar cada clave del mensaje y la clave privada para descifrarla. La clave privada del buzón de correo se protegía con la CMK de la organización. Los buzones de correo más antiguos podrían utilizar un par de claves de buzón de correo asimétricas. Este cambio no afecta a la seguridad de la bandeja de entrada ni de sus mensajes.

Cifrado de cada mensaje

Cuando un usuario añade un mensaje a un buzón de correo, Amazon WorkMail genera una clave de cifrado AES simétrica de 256 bits única para el mensaje fuera de AWS KMS. Utiliza esta clave de mensaje para cifrar el mensaje. Amazon WorkMail cifra la clave del mensaje con la clave del buzón de correo y almacena la clave del mensaje cifrada con el mensaje. A continuación, cifra la clave de buzón de correo con la CMK de la organización.

Creación de un nuevo buzón de correo

Cuando Amazon WorkMail crea un nuevo buzón de correo, utiliza el siguiente proceso para preparar el buzón de correo para almacenar mensajes cifrados.

Amazon WorkMail genera una clave de cifrado AES simétrica de 256 bits única para el buzón de correo fuera de AWS KMS.
Amazon WorkMail llama a la operación AWS KMS cifrado. Pasa la clave del buzón de correo y el identificador de la clave maestra del cliente (CMK) de la organización. AWS KMS devuelve un texto cifrado de la clave del buzón de correo cifrada con la CMK.
Amazon WorkMail almacena la clave del buzón de correo cifrada con los metadatos del buzón de correo.

Cifrar un mensaje del buzón de correo

Para cifrar un mensaje, Amazon WorkMail utiliza el siguiente proceso.

Amazon WorkMail genera una clave simétrica AES única de 256 bits para el mensaje. Utiliza la clave del mensaje en texto no cifrado y el algoritmo Advanced Encryption Standard (AES) para cifrar el mensaje fuera de AWS KMS.
Para proteger la clave del mensaje con la clave del buzón de correo, Amazon WorkMail necesita descifrar la clave del buzón de correo, que siempre se almacena en formato cifrado.

Amazon WorkMail llama a la operación Descifrado de AWS KMS y pasa la clave del buzón de correo cifrada. AWS KMS utiliza la clave de KMS para que la organización descifre la clave de buzón de correo y devuelve la clave de buzón de correo en texto sin formato a Amazon WorkMail.
Amazon WorkMail utiliza la clave del buzón de correo en texto no cifrado y el algoritmo Advanced Encryption Standard (AES) para cifrar la clave del mensaje fuera de AWS KMS.
Amazon WorkMail almacena la clave del mensaje cifrada en los metadatos del mensaje cifrado, por lo que está disponible para descifrarla.

Descifrar un mensaje del buzón de correo

Para descifrar un mensaje, Amazon WorkMail utiliza el siguiente proceso.

Amazon WorkMail llama a la operación Descifrado de AWS KMS y pasa la clave del buzón de correo cifrada. AWS KMS utiliza la clave de KMS para que la organización descifre la clave de buzón de correo y devuelve la clave de buzón de correo en texto sin formato a Amazon WorkMail.
Amazon WorkMail utiliza la clave del buzón de correo en texto no cifrado y el algoritmo Advanced Encryption Standard (AES) para descifrar la clave del mensaje cifrada fuera de AWS KMS.
Amazon WorkMail utiliza la clave del mensaje en texto no cifrado para descifrar el mensaje cifrado.

Almacenamiento en caché de las claves del buzón de correo

Para mejorar el rendimiento y reducir el número de llamadas a AWS KMS, Amazon WorkMail almacena en caché cada clave del buzón de correo en texto sin formato para cada cliente de forma local durante un máximo de un minuto. Al final del período de almacenamiento en caché, la clave del buzón de correo se elimina. Si la clave de buzón de correo de ese cliente se requiere durante el período de almacenamiento en caché, Amazon WorkMail puede obtenerla de la caché en lugar de llamar a AWS KMS. La clave del buzón de correo está protegida en la memoria caché y nunca se escribe en disco en texto sin formato.

Autorizar el uso de la CMK

Cuando Amazon WorkMail utiliza una clave maestra de cliente (CMK) en las operaciones criptográficas, actúa en nombre del administrador del buzón de correo.

Para utilizar la clave maestra de cliente (CMK) de AWS KMS para un secreto en su nombre, el administrador debe tener los siguientes permisos. Puede especificar estos permisos necesarios en una política de IAM o política de claves.

kms:Encrypt
kms:Decrypt
kms:CreateGrant

Para permitir que la clave de KMS solo se pueda utilizar para solicitudes que tengan origen en Amazon WorkMail, puede usar la clave de condición kms:ViaService con el valor workmail.<region>.amazonaws.com.

También puede utilizar las claves o los valores en el contexto de cifrado como condición para utilizar la CMK para operaciones criptográficas. Por ejemplo, puede utilizar un operador de condición de cadena en un IAM o en un documento de política de claves, o bien utilizar una restricción de concesión en una concesión.

Política de claves para la CMK administrada de AWS

La política de claves para la CMK administrada de AWS para Amazon WorkMail da a los usuarios permiso para utilizar la CMK para las operaciones especificadas solo cuando Amazon WorkMail realiza la solicitud en nombre del usuario. La política de claves no permite a ningún usuario utilizar la CMK directamente.

Esta política de claves, como las políticas de todas las claves administradas por AWS, la establece el servicio. No puede cambiar la política de claves, pero puede verla en cualquier momento. Para obtener más información, consulte Visualización de una política de claves en la Guía para desarrolladores de AWS Key Management Service.

Las declaraciones de política de la política de claves tienen el siguiente efecto:

Permiten a los usuarios de la cuenta y de la región utilizar la CMK para operaciones criptográficas y para crear concesiones, pero solo cuando la solicitud procede de Amazon WorkMail en su nombre. La clave de condición kms:ViaService aplica esta restricción.
Permite a la cuenta de AWS crear políticas de IAM que permitan a los usuarios ver las propiedades de la CMK y revocar concesiones.

A continuación se muestra una política de claves para un ejemplo de CMK administrada de AWS para Amazon WorkMail.

Uso de concesiones para autorizar a Amazon WorkMail

Además de las políticas de claves, Amazon WorkMail utiliza concesiones para añadir permisos a la CMK de cada organización. Para ver las concesiones de la CMK de su cuenta, utilice la operación ListGrants.

Amazon WorkMail utiliza concesiones para añadir los siguientes permisos a la CMK de la organización.

Añade el permiso kms:Encrypt para permitir que Amazon WorkMail cifre la clave del buzón de correo.
Añade el permiso kms:Decrypt para permitir que Amazon WorkMail utilice la CMK para descifrar la clave del buzón de correo. Amazon WorkMail requiere este permiso en una concesión porque la solicitud para leer mensajes del buzón de correo utiliza el contexto de seguridad del usuario que lee el mensaje. La solicitud no utiliza las credenciales de la cuenta de AWS. Amazon WorkMail crea esta concesión cuando usted selecciona una CMK para la organización.

Para crear las concesiones, Amazon WorkMail llama a CreateGrant en nombre del usuario que ha creado la organización. El permiso para crear la concesión proviene de la política de claves. Esta política permite a los usuarios de la cuenta de CreateGrant llamar a la CMK para la organización cuando Amazon WorkMail realiza la solicitud en nombre de un usuario autorizado.

La política de claves también permite a la raíz de la cuenta revocar la concesión para la clave administrada de AWS. Sin embargo, si revoca la concesión, Amazon WorkMail no podrá descifrar los datos cifrados de sus buzones de correo.

Contexto de cifrado de Amazon WorkMail

Un contexto de cifrado es un conjunto de pares de clave-valor que contienen datos no secretos arbitrarios. Cuando se incluye un contexto de cifrado en una solicitud para cifrar datos, AWS KMS vincula criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado. Para obtener más información, consulte Contexto de cifrado en la Guía para desarrolladores de AWS Key Management Service.

Amazon WorkMail utiliza el mismo formato de contexto de cifrado en todas las operaciones criptográficas de AWS KMS. Puede utilizar el contexto de cifrado para identificar una operación criptográfica en los registros y registros de auditoría, como AWS CloudTrail y como una condición para la autorización en las políticas y concesiones.

En sus solicitudes de cifrado y decifrado a AWS KMS, Amazon WorkMail utiliza un contexto de cifrado en el que la clave es aws:workmail:arn y el valor es el Nombre de recurso de Amazon (ARN) de la organización.


"aws:workmail:arn":"arn:aws:workmail:region:account ID:organization/organization-ID"

Por ejemplo, el siguiente contexto de cifrado incluye un ARN de organización de ejemplo en la región de Europa (Irlanda) (eu-west-1).


"aws:workmail:arn":"arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"

Supervisión de la interacción de Amazon WorkMail con AWS KMS

Puede usar AWS CloudTrail y los Amazon CloudWatch Logs para realizar un seguimiento de las solicitudes que Amazon WorkMail envía a AWS KMS en su nombre.

Encrypt

Al crear un buzón de correo, Amazon WorkMail genera una clave de buzón y llama a AWS KMS para cifrar la clave de buzón. Amazon WorkMail envía una solicitud Cifrar a AWS KMS con la clave del buzón de correo en texto sin formato y un identificador para la CMK de la organización de Amazon WorkMail.

El evento que registra la operación Encrypt es similar al siguiente evento de ejemplo. El usuario es el servicio Amazon WorkMail. Los parámetros incluyen el ID de CMK (keyId) y el contexto de cifrado para la organización de Amazon WorkMail. Amazon WorkMail pasa también la clave del buzón de correo, pero esta clave no se registra en el registro de CloudTrail.


{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "workmail.eu-west-1.amazonaws.com"
    },
    "eventTime": "2019-02-19T10:01:09Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Encrypt",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
    "userAgent": "workmail.eu-west-1.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        },
        "keyId": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
    },
    "responseElements": null,
    "requestID": "76e96b96-7e24-4faf-a2d6-08ded2eaf63c",
    "eventID": "d5a59c18-128a-4082-aa5b-729f7734626a",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333",
    "sharedEventID": "d08e60f1-097e-4a00-b7e9-10bc3872d50c"
}

Decrypt

Al agregar, ver o eliminar un mensaje de buzón de correo, Amazon WorkMail le pregunta a AWS KMS para descifrar la clave del buzón. Amazon WorkMail envía una solicitud Descifrar a AWS KMS con la clave cifrada del buzón de correo y un identificador para la CMK de la organización de Amazon WorkMail.

El evento que registra la operación Decrypt es similar al siguiente evento de ejemplo. El usuario es el servicio Amazon WorkMail. Los parámetros incluyen la clave cifrada del buzón de correo (como blob de texto cifrado) que no se registra en el registro y el contexto de cifrado de la organización de Amazon WorkMail. AWS KMS obtiene el ID de CMK a partir del texto cifrado.


{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "workmail.eu-west-1.amazonaws.com"
    },
    "eventTime": "2019-02-20T11:51:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
    "userAgent": "workmail.eu-west-1.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        }
    },
    "responseElements": null,
    "requestID": "4a32dda1-34d9-4100-9718-674b8e0782c9",
    "eventID": "ea9fd966-98e9-4b7b-b377-6e5a397a71de",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333",
    "sharedEventID": "241e1e5b-ff64-427a-a5b3-7949164d0214"
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Seguridad

Identity and Access Management