Cómo AWS ayuda a cumplir los requerimientos de soberanía digital

Por Jorge Castillo, arquitecto de soluciones en AWS para el sector público.

Introducción

La soberanía digital se ha convertido en una prioridad clave para muchas organizaciones, especialmente en Europa. Según estudios recientes (IDC Survey), el 80% de las empresas europeas consideran la soberanía digital como una de las principales prioridades para sus juntas directivas. Sin embargo, el 60% cree que esto aumenta los costos de hacer negocios a nivel global.

En AWS entendemos estas preocupaciones y hemos desarrollado un enfoque integral para ayudar a nuestros clientes a cumplir sus requerimientos de soberanía digital sin comprometer los beneficios de la nube pública. En este blog exploraremos en detalle cómo AWS aborda los principales aspectos de la soberanía digital:

Residencia de datos

AWS ofrece la mayor infraestructura global de nube, con 34 regiones lanzadas, cada una con 2 o más zonas de disponibilidad, 108 zonas de disponibilidad en total, y más de 600 ubicaciones de borde. Esto permite a los clientes elegir dónde almacenar y procesar sus datos.

Para garantizar el control sobre la residencia de datos, AWS proporciona herramientas como AWS Control Tower, que incluye:

• Controles preventivos: Políticas que impiden acciones que violen las reglas de residencia de datos.
• Controles de detección: Para identificar incumplimientos y riesgos de seguridad en recursos existentes.
• Nuevos controles proactivos: Políticas que se aplican automáticamente en todos los despliegues de CloudFormation.

Específicamente para residencia de datos, Control Tower ofrece:

• Cuatro (4) barreras de protección preventivas, como denegar acceso a servicios en regiones seleccionadas o deshabilitar conexiones de red entre regiones.
• Trece (13) barreras de protección de detección, que van desde detectar instancias públicas de AWS Database Migration Service hasta subredes de Amazon VPC con direcciones IP públicas.
• Además, AWS se ha comprometido a expandir los controles de residencia de datos para información operativa como identidad y facturación

Figura 1: Consola de AWS Control Tower

Restricción de acceso del operador

AWS ha diseñado sus sistemas para minimizar el acceso humano a los datos de los clientes:

• Prácticas de manejo de datos: Categorizando tipos de datos y capacitando a los empleados en prácticas seguras.
• Rendición de cuentas permanente: Cada acción de cualquier operador se registra de forma segura e indeleble.
• Autorización contingente: Ninguna persona o sistema es un único punto de falla para la seguridad.
• Sistemas herméticos: Sin acceso interactivo general y sin forma de divulgar datos por diseño.

El AWS Nitro System, es una combinación de diseños de servidores especialmente diseñados, procesadores de datos, componentes de administración del sistema y firmware especializado, juega un papel clave en esto, reinventando la virtualización para la nube con componentes como:

• Tarjetas Nitro: Para almacenamiento NVMe local, almacenamiento de bloques elásticos, redes, monitoreo y seguridad.
• Chip de Seguridad Nitro: Integrado en la placa base para proteger los recursos de hardware.
• Hipervisor Nitro: Un hipervisor ligero que proporciona rendimiento similar al bare metal.

AWS también ofrece Nitro Enclaves, que proporciona aislamiento adicional para datos en uso dentro de instancias EC2.

Cifrado en todas partes

AWS permite cifrar todos los datos, ya sea en tránsito, en reposo o en memoria. Servicios clave incluyen:

• AWS Key Management Service (KMS): Para crear y controlar claves criptográficas.
• AWS CloudHSM: Clústeres de HSM dedicados que el cliente posee y opera en su VPC.

AWS utiliza cifrado en múltiples capas:

• Capa física: Instalaciones seguras y cifrado óptico usando AES-256.
• Capa de enlace de datos: MACsec AES-256.
• Capa de red: Cifrado VPC, interconexión entre regiones, VPN de Amazon.
• Capa de transporte: Amazon s2n, NLB-TLS, ALB, CloudFront, integración ACM.
• Capa de aplicación: AWS Crypto SDK, cifrado del lado del servidor con KMS, cifrado en memoria.

Resiliencia en la nube

Las regiones de AWS están diseñadas con múltiples zonas de disponibilidad para alta disponibilidad, escalabilidad y tolerancia a fallos. AWS también ofrece:

• Servicios completamente regionalizados (más de 200).
• Opciones para denegar acceso a regiones específicas.
• Regiones nuevas deshabilitadas por defecto desde marzo de 2019.

AWS se compromete a seguir mejorando las opciones soberanas y resilientes para que los clientes puedan mantener sus operaciones incluso en caso de interrupción o desconexión.

AWS empodera a gobiernos de todos los tamaños para salvaguardar sus activos digitales frente a disrupciones. Trabajamos con orgullo junto al gobierno ucraniano para migrar de forma segura datos y cargas de trabajo a la nube inmediatamente después de la invasión rusa, preservando servicios gubernamentales vitales que serán críticos en la reconstrucción del país. Apoyamos la migración de más de 10 petabytes de datos. Para contextualizarlo, esto significa que migramos datos de 42 autoridades gubernamentales ucranianas, 24 universidades ucranianas, una escuela de educación a distancia K-12 que atiende a cientos de miles de niños desplazados, y docenas de otras empresas del sector privado.

Para clientes que ejecutan cargas de trabajo en sus instalaciones o para casos de uso remoto, ofrecemos soluciones como AWS Local Zones, AWS Dedicated Local Zones, AWS Outposts y AWS Snowball. Los clientes implementan estas soluciones para ayudar a satisfacer sus necesidades en industrias altamente reguladas. Por ejemplo, para ayudar a cumplir con las rigurosas demandas de rendimiento, resiliencia y regulación de los mercados de capitales, Nasdaq utilizó AWS Outposts para proporcionar a los operadores y participantes del mercado una mayor agilidad para ajustar rápidamente los sistemas operativos y las estrategias, manteniéndose al día con la evolución de la dinámica de la industria.

Estas soluciones complementan nuestra infraestructura global y ofrecen opciones adicionales para la soberanía y resiliencia digital:

1. AWS Local Zones: Ubicaciones de infraestructura que acercan determinados servicios de AWS a áreas geográficas específicas, ideal para aplicaciones que requieren baja latencia.
2. AWS Dedicated Local Zones: Similares a las Local Zones, pero dedicadas a un solo cliente o un pequeño grupo de clientes, ofreciendo aún más control y aislamiento.
3. AWS Outposts: Lleva los servicios, infraestructura y modelos operativos nativos de AWS a prácticamente cualquier centro de datos, espacio de coubicación o instalación on-premises.
4. AWS Snowball: es un servicio que proporciona dispositivos seguros y resistentes para que pueda llevar capacidades de almacenamiento y cómputo de AWS para sus entornos de borde, y transferir datos desde y hacia AWS.

Estas opciones permiten a los clientes:

• Mantener datos y cargas de trabajo críticas en ubicaciones específicas para cumplir con requisitos de residencia de datos.
• Reducir la latencia para aplicaciones que requieren respuesta en tiempo real.
• Procesar datos localmente mientras se mantiene una conexión segura con los servicios regionales de AWS.
• Cumplir con regulaciones estrictas en industrias como finanzas, salud y sector público.

Transparencia y garantías

AWS proporciona numerosas certificaciones y atestaciones (SOC 1, SOC 2, SOC 3, HDS, etc.), así como características de privacidad documentadas. También ofrece compromisos contractuales sólidos, incluyendo:

• Impugnar solicitudes de aplicación de la ley que sean demasiado amplias.
• Informe semestral de solicitudes de información.
• Cero (0) divulgaciones de datos empresariales fuera de EE.UU. al gobierno de EE.UU. desde julio de 2020.

Socios locales de confianza

AWS colabora con socios locales para ayudar a abordar requisitos de soberanía digital, incluyendo:

• Proveedores de servicios de seguridad gestionados.
• Socios con competencia en seguridad de AWS.
• Programas como Data Protection as a Managed Service en Alemania y AWS ClearStart en Suecia.

Conclusión

AWS está comprometido con la soberanía digital y continúa innovando para proporcionar a los clientes el control y la flexibilidad que necesitan, sin comprometer los beneficios de la nube pública. A través de controles robustos de residencia de datos, restricciones de acceso, cifrado integral, resiliencia, transparencia y colaboraciones con socios locales, AWS ofrece una plataforma en la que los clientes pueden confiar para cumplir sus requisitos de soberanía digital más exigentes.

Autor

Jorge Castillo es arquitecto de soluciones en AWS para el sector público y reside en Santiago de Chile. Se especializa en seguridad y cumplimiento normativo y trabaja con algunas agencias gubernamentales.