Cómo Mejorar la Seguridad de los Datos en S3: Cifrado y Monitoreo con AWS
Pregunta
Su equipo de seguridad tiene algunas preocupaciones de seguridad sobre los datos de la aplicación almacenados en S3
El equipo requiere que introduzca dos mejoras: (i) agregue "cifrado en reposo" y (ii) les dé la posibilidad de monitorear quién ha accedido a los datos y cuándo se ha accedido a los datos. ¿Cuál de las siguientes soluciones de AWS adoptaría para satisfacer el requisito?
Respuestas
A. Administrador de certificados de AWS con CloudTrail.
B. Cifrado del lado del servidor administrado por S3 (SSE-S3) con CloudTrail.
C. Cifrado del lado del servidor administrado por el cliente (SSE-C) con CloudTrail.
D. Cifrado del lado del servidor administrado por KMS (SSE-KMS) con CloudTrail.
Respuesta Correcta
A.BCD
Respuesta: D.
Amazon S3 está integrado con AWS CloudTrail, un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un servicio de AWS en Amazon S3
CloudTrail registra las operaciones exitosas y los intentos de llamadas que fallaron, como cuando a la persona que llama se le niega el acceso a un recurso.
Las operaciones en claves KMS en otras cuentas se registran tanto en la cuenta de la persona que llama como en la cuenta del propietario de la clave KMS.
La opción A es INCORRECTA AWS Certificate Manager no es una solución para el cifrado en reposo.
Es un servicio que le permite aprovisionar, administrar e implementar fácilmente certificados públicos y privados de Capa de sockets seguros/Seguridad de la capa de transporte (SSL/TLS).
Por lo tanto, es una solución para "cifrado en tránsito", no un "cifrado en reposo".
La opción B es INCORRECTA porque SSE-S3 hace "cifrado/descifrado en reposo", pero no ofrece capacidades de monitoreo (quién/cuándo cifra/descifra).
La opción C es INCORRECTA porque SSE-C hace "cifrado/descifrado en reposo", pero no ofrece capacidades de monitoreo (quién/cuándo cifra/descifra).
La opción D es CORRECTA porque SSE-KMS hace "cifrado/descifrado en reposo" y ofrece capacidades de monitoreo.
CloudTrail captura todas las llamadas de API a AWS KMS como eventos, incluidas las llamadas desde la consola de AWS KMS, las API de AWS KMS, la interfaz de línea de comandos de AWS (AWS CLI) y las herramientas de AWS para PowerShell.
Referencias:
https://docs.aws.amazon.com/kms/latest/developerguide/services-s3.html#sse
https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html
¡Ahora puedes descargar los tests!
Poco a poco vamos agregando más.