Acceso de operadores en AWS

Muchos de los sistemas y servicios principales de AWS están diseñados con acceso cero para operadores, incluidos AWS Key Management Service (AWS KMS), Amazon EC2 (a través de AWS Nitro System), AWS Lambda, Amazon Elastic Kubernetes Service (Amazon EKS) y AWS Wickr. Estos servicios no disponen de medios técnicos para que los operadores de AWS accedan a los datos de los clientes. En su lugar, los sistemas y servicios se administran mediante automatización y API seguras que protegen los datos de los clientes de una divulgación involuntaria o incluso forzada.

AWS siempre ha utilizado un modelo de privilegio mínimo para minimizar el número de humanos que tienen acceso a los sistemas que procesan los datos de los clientes. Esto significa que nos aseguramos de que cada usuario de Amazon tenga acceso únicamente al conjunto mínimo de sistemas necesarios para realizar la tarea o responsabilidad laboral que se le haya asignado, limitado al tiempo en que se necesite ese privilegio. Cualquier acceso a los sistemas que almacenan o procesan datos o metadatos de clientes se registra, se monitorea en busca de anomalías y se audita. AWS protege contra cualquier acción que pueda desactivar o eludir estos controles.

También aplicamos el principio de privilegio mínimo a la seguridad de los sistemas y servicios de AWS. AWS supera las normas del sector en este ámbito. AWS Identity and Account Management (IAM) permite a los clientes articular permisos detallados mediante roles de IAM, lo que permite a los clientes controlar cuidadosamente quién tiene acceso a qué. También agregamos una capa de seguridad adicional y única llamada Sesiones de acceso reenviado (FAS) que garantiza que los permisos sensibles dependan criptográficamente de la autorización del cliente. Los servicios de AWS como Amazon EC2 y Amazon Simple Storage Service (Amazon S3) también permiten a los clientes cifrar sus datos, de modo que ni siquiera AWS puede utilizar las claves de cifrado del cliente sin su autorización directa. Esto se aplica mediante FAS, que demuestra que el cliente ha autorizado esta operación. Además, estas acciones, conocidas como operaciones de servicio “en nombre de”, se registran y se muestran a los clientes en AWS CloudTrail. Por diseño, no existe ninguna clave de superusuario que permita a los servicios de AWS acceder a los recursos del cliente en otro servicio sin su autorización implícita.

Para evitar el acceso no supervisado de operadores a sistemas que contienen datos de clientes, AWS ha diseñado nuestros sistemas para garantizar que todas las operaciones administrativas se registran y supervisan de forma centralizada. Todas las acciones de los operadores se pueden rastrear con precisión forense hasta la persona real que las realiza; no hay cuentas de equipo compartidas que proporcionen anonimato. El acceso se supervisa en tiempo real en busca de actividad inusual, incluidos posibles errores o actividades sospechosas, y los gerentes y equipos de liderazgo de los operadores de AWS, así como la organización independiente AWS Security, reciben resúmenes periódicos de toda esa actividad. Esta monitorización se realiza a varios niveles, incluidos los agentes de registro en el host que envían rápidamente los eventos locales fuera del host a un sistema centralizado de agregación de registros operado por el equipo de seguridad de AWS, y alertas en tiempo real si, por cualquier motivo, el agente en el host deja de funcionar. Esto se complementa con la monitorización a nivel de red, la monitorización del servicio bastión y otros controles.

El personal de AWS realiza todas las operaciones a través de interfaces seguras que garantizan que los operadores disponen de estaciones de trabajo actualizadas y seguras, tokens de seguridad de hardware validados por FIPS y que están correctamente autenticados. Estas interfaces proporcionan a los operadores de AWS credenciales temporales de corta duración y también monitorean toda la actividad mediante mecanismos que no se pueden anular ni eludir. Estas interfaces de operador seguras sólo permiten operaciones limitadas que no revelan datos de los clientes, y exigen la aprobación de varias personas para las operaciones sensibles.

Si resulta necesario acceder a recursos internos que puedan almacenar o procesar datos de clientes, por ejemplo para solucionar un problema relacionado con un servicio, agregamos un nivel adicional de control para restringir, evaluar y monitorear el acceso del operador.

El personal de AWS Support que ayuda a los clientes con sus solicitudes de asistencia no tiene acceso a los datos de los clientes. Todos los permisos de AWS IAM utilizados con fines de asistencia están totalmente documentados y se accede a ellos desde roles dedicados que cada cliente de AWS puede desactivar. Cualquier uso de estos roles dedicados también se registra en AWS CloudTrail.

AWS opera centros de datos seguros para reducir el riesgo de intervención de la red, robo u otros ataques físicos. Utilizamos el principio del privilegio mínimo para examinar las solicitudes de acceso. Esas solicitudes deben especificar a qué capa del centro de datos necesita acceder la persona, y están sujetas a plazos. No está permitido que ningún medio de almacenamiento electrónico abandone los centros de datos de AWS sin haber sido destruido físicamente o borrado criptográficamente mediante técnicas detalladas en el NIST 800-88. Los servicios y sistemas de AWS admiten el cifrado permanente de la red, la memoria y el almacenamiento. En muchos casos, hay dos o más capas de cifrado permanente, lo que garantiza que el único acceso a los datos sea el de los sistemas encargados de procesarlos para los clientes.

AWS emplea controles organizacionales y técnicos para garantizar que ningún evento de seguridad pueda pasar desapercibido, y que ningún individuo o grupo pueda subvertir controles de seguridad importantes. Los sistemas de control de acceso de AWS y los sistemas de monitorización de acceso son intencionadamente independientes y operados por equipos separados.

Diseñamos AWS con medidas de seguridad exhaustivas que incluyen controles de cambios, capacidades de registro inmutables, separación de funciones, aprobaciones multipartitas, mecanismos de autorización contingentes y herramientas operativas de no intervención. Estas medidas de seguridad van más allá de las prácticas de seguridad estándar para que las acciones realizadas por los operadores de AWS sean seguras, transparentes, queden registradas y se revisen.

Hemos implementado grupos de permisos para asignar el acceso a los recursos, una herramienta de permisos para administrar la pertenencia a grupos de permisos y herramientas seguras que permiten a los operadores autorizados realizar el mantenimiento del sistema y la resolución de problemas sin acceso directo a los recursos de servicio. También actualizamos automáticamente la afiliación cuando los empleados cambian de rol o abandonan la empresa.