Proteção e criptografia de dados - AWS Transfer Family
Criptografia de dados no Transfer FamilyCriptografia em repouso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteção e criptografia de dados

O modelo de responsabilidade AWS compartilhada se aplica à proteção de dados em AWS Transfer Family (Transfer Family). Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa toda a AWS nuvem. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Esse conteúdo inclui as tarefas de configuração e gerenciamento de segurança dos AWS serviços que você usa. Para obter mais informações sobre a privacidade de dados, consulte as Perguntas frequentes sobre privacidade de dados. Para obter informações sobre a proteção de dados na Europa, consulte a publicação Modelo de Responsabilidade Compartilhada e GDPR do AWS no Blog de segurança da AWS .

Para fins de proteção de dados, recomendamos que você proteja as credenciais da AWS conta e configure contas de usuário individuais com AWS IAM Identity Center. Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:

  • Use uma autenticação multifator (MFA) com cada conta.

  • Use SSL/TLS para se comunicar com AWS os recursos. Oferecemos suporte ao TLS 1.2.

  • Configure a API e o registro de atividades do usuário com AWS CloudTrail.

  • Use soluções AWS de criptografia, juntamente com todos os controles de segurança padrão nos AWS serviços.

  • Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados pessoais armazenados no Amazon S3.

  • Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar a AWS por meio de uma interface de linha de comando ou uma API, use um endpoint do FIPS. Para ter mais informações sobre endpoints do FIPS, consulte Federal Information Processing Standard (FIPS) 140-2.

É altamente recomendável que você nunca coloque informações de identificação confidenciais, como números de conta dos seus clientes, em campos de formato livre, como um campo Nome. Isso inclui quando você trabalha com o Transfer Family ou outros AWS serviços usando o console AWS CLI, a API ou AWS SDKs. Todos os dados de configuração inseridos por você na configuração do serviço Transfer Family ou em configurações de outros serviços poderão ser selecionados para inclusão em logs de diagnóstico. Ao fornecer um URL para um servidor externo, não inclua informações de credenciais no URL para validar a solicitação a esse servidor.

Por outro lado, os dados das operações de upload e download que entram e saem dos servidores do Transfer Family são tratados como totalmente privados e nunca existem fora dos canais criptografados, como uma conexão SFTP ou FTPS. Esses dados só podem ser acessados por pessoas autorizadas.

Criptografia de dados no Transfer Family

AWS Transfer Family usa as opções de criptografia padrão que você definiu para seu bucket do Amazon S3 para criptografar seus dados. Ao habilitar a criptografia em um bucket, todos os objetos são criptografados quando armazenados no bucket. Os objetos são criptografados usando criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3) ou AWS Key Management Service () chaves gerenciadas (SSE-KMS) do Amazon S3.AWS KMS Para obter mais informações sobre criptografia no lado do servidor, consulte Proteger dados usando criptografia no lado do servidor no Guia do usuário do Amazon Simple Storage Service.

As etapas a seguir mostram como criptografar dados em AWS Transfer Family.

Para permitir a criptografia em AWS Transfer Family

  1. Habilitar a criptografia padrão para o seu bucket do Amazon S3. Para obter mais detalhes, consulte Criptografia padrão do Amazon S3 para buckets do S3 no Guia do usuário do Amazon Simple Storage Service.

  2. Atualize a política de função AWS Identity and Access Management (IAM) anexada ao usuário para conceder as permissões necessárias AWS Key Management Service (AWS KMS).

  3. Se você estiver usando uma política de sessão para o usuário, a política de sessão deverá conceder as AWS KMS permissões necessárias.

O exemplo a seguir mostra uma política do IAM que concede as permissões mínimas necessárias ao usar AWS Transfer Family com um bucket do Amazon S3 habilitado para AWS KMS criptografia. Inclua essa política de exemplo na política de perfil do IAM do usuário e na política de restrição se estiver usando uma.

{
   "Sid": "Stmt1544140969635",
   "Action": [
      "kms:Decrypt",
      "kms:Encrypt",
      "kms:GenerateDataKey",
      "kms:GetPublicKey",
      "kms:ListKeyPolicies"
   ],
   "Effect": "Allow",
   "Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
nota

A ID de chave do KMS que você especificar nesta política deverá ser a mesma especificada para a criptografia padrão na etapa 1.

A raiz, ou a função do IAM usada pelo usuário, deve ser permitida na política de AWS KMS chaves. Para obter informações sobre a política de AWS KMS chaves, consulte Usando políticas de chaves no AWS KMS no Guia do AWS Key Management Service desenvolvedor.

AWS Transfer Family criptografia em repouso

Por ser AWS Transfer Family um serviço de transferência de arquivos, ele não gerencia seus dados de armazenamento em repouso. Os serviços e sistemas de armazenamento que AWS Transfer Family oferecem suporte são responsáveis por proteger os dados nesse estado. No entanto, há alguns dados relacionados ao serviço que são AWS Transfer Family gerenciados em repouso.

O que é criptografado?

Os únicos dados tratados AWS Transfer Family em repouso estão relacionados aos detalhes necessários para operar seus servidores de transferência de arquivos e processar transferências. AWS Transfer Family armazena os seguintes dados com criptografia total em repouso no Amazon DynamoDB:

  • Configurações do servidor (por exemplo, configurações do servidor, configurações do protocolo e detalhes do endpoint).

  • Dados de autenticação do usuário, incluindo chaves públicas SSH e metadados do usuário.

  • Detalhes da execução do fluxo de trabalho e configurações de etapas.

  • Configurações de conectores e credenciais de autenticação para sistemas de terceiros. Essas credenciais são criptografadas usando chaves de criptografia AWS Transfer Family gerenciadas.

Gerenciamento de chaves

Você não pode gerenciar as chaves de criptografia AWS Transfer Family usadas para armazenar informações no DynamoDB relacionadas à execução de seus servidores e ao processamento de transferências. Essas informações incluem as configurações do servidor, dados de autenticação do usuário, detalhes do fluxo de trabalho e credenciais do conector.

O que não é criptografado?

Embora AWS Transfer Family não controle como seus dados de armazenamento são criptografados em repouso, ainda recomendamos configurar seus locais de armazenamento com o mais alto nível de segurança suportado por eles. Por exemplo, você pode criptografar objetos com chaves de criptografia gerenciadas do Amazon S3 (SSE-S3) ou chaves (SSE-KMS) AWS KMS .

Saiba mais sobre como os serviços AWS de armazenamento criptografam dados em repouso: