NOTA: La versión en Inglés cuenta con algunas actualizaciones que aún no se reflejaron en la versión en español.
A medida que las organizaciones amplían su presencia en la nube e intentan alcanzar mayores niveles de agilidad empresarial mediante la adopción de un enfoque descentralizado para las operaciones en la nube, buscan formas de prevenir los riesgos asociados con errores de configuración y acceso no deseado a sus datos. Los perímetros de datos en AWS (En inglés) son uno de los mecanismos que hemos visto que las empresas utilizan con éxito para reducir estos riesgos y mejorar la postura de seguridad de sus entornos de nube de múltiples cuentas.
Un perímetro de datos es un conjunto de barreras de seguridad de permisos que ayudan a garantizar que solo las identidades confiables accedan a los recursos confiables de las redes esperadas. Las barreras de seguridad del perímetro de datos están diseñadas para funcionar como límites siempre activos para ayudar a proteger los datos de los clientes en un amplio conjunto de cuentas y recursos de AWS. Estas barreras de seguridad para toda la organización no reemplazan los controles de acceso de grano fino. En cambio, ayudan a avanzar a través del recorrido de privilegios mínimos de una manera más ágil al aplicar invariantes de seguridad.
Identidades confiables: Principals (roles o usuarios de IAM) dentro de sus cuentas de AWS o servicios de AWS que actúan en su nombre. Recursos confiables: Recursos propiedad de sus cuentas de AWS o de servicios de AWS que actúan en su nombre. Redes esperadas: Sus centros de datos locales y nubes privadas virtuales (VPC), o redes de servicios de AWS que actúan en su nombre.
Los controles del perímetro de datos deben tratarse como cualquier otro control de seguridad dentro del programa de seguridad de la información y gestión de riesgos. Esto significa que debe realizar un análisis de amenazas para identificar los riesgos potenciales dentro de su entorno de nube y, luego, en función de sus propios criterios de aceptación de riesgos, seleccionar e implementar los controles del perímetro de datos adecuados. Para fundamentar mejor el enfoque iterativo basado en riesgos para la implementación de los controles del perímetro de datos, debe comprender qué riesgos de seguridad y vectores de amenazas aborda el marco del perímetro de datos, así como sus prioridades de seguridad.
Se recomienda aplicar el control de acceso basado en riesgos para aplicaciones críticas de múltiples capas para garantizar que no haya errores de configuración que dejen recursos expuestos, para limitar el acceso solo desde donde esperamos que lleguen los accesos y solo a los objetivos mínimos requeridos.
AWS almacena información útil para usar en condiciones de IAM dentro de la sesión, de modo que pueda otorgar acceso en las circunstancias adecuadas.
Criterios como si la solicitud proviene de un rango de IP o si se invoca desde una cuenta dentro de su organización son condiciones que puede adjuntar a las políticas de IAM.
Para otras aplicaciones que se deben administrar a escala, una buena práctica es usar controles de acceso basados en atributos (ABAC). Si usa AWS IAM Identity Center (sucesor de AWS Single Sign-On) (servicio gratuito), puede aprovechar su compatibilidad con etiquetas de sesión para transferir atributos desde su directorio a AWS y usar esos atributos para determinar el acceso a diferentes recursos.
AWS IAM Identity Center (sucesor de AWS Single Sign-On) puede usar su propio repositorio de usuarios, lo que le permite integrar directorios como Microsoft Active Directory o proveedores de identidad externos como Okta, Auth0, Ping Identity, OneLogin y Azure AD.
Attribute-Based Access Control with IAM Identity Center (successor to AWS Single Sign-On)
El servicio AWS IAM es gratuito y la configuración de políticas de recursos (como políticas de bucket) no tiene ningún costo adicional.