Comparación de nubes

Cifrado y soberanía de datos en AWS - Aislamiento a nivel de hardware desde KMS hasta Nitro Enclaves

Explicamos el cifrado a nivel de hardware y la garantía de soberanía de datos mediante AWS KMS, CloudHSM y Nitro Enclaves, comparando las diferencias de diseño con otras nubes.

約 8 分で読めます

El principio de diseño de la estructura jerárquica de cifrado

La estrategia de cifrado de AWS está diseñada como una estructura jerárquica que permite elegir según el uso y los requisitos. La capa más accesible es el cifrado del lado del servidor con claves gestionadas por AWS, donde el cifrado por defecto está habilitado en servicios principales como S3, EBS y RDS. Los usuarios no necesitan preocuparse por el cifrado, ya que los datos almacenados se cifran automáticamente con AES-256. La siguiente capa son las claves gestionadas por el cliente de KMS (Key Management Service). Se pueden gestionar internamente las políticas de rotación de claves, la auditoría de registros de uso y el control de acceso mediante políticas IAM. Para requisitos más estrictos, CloudHSM gestiona las claves en hardware dedicado con certificación FIPS 140-2 Nivel 3. La capa superior es Nitro Enclaves, que aísla a nivel de hardware incluso los datos durante el procesamiento. Esta estructura jerárquica permite seleccionar el nivel óptimo de cifrado según los requisitos regulatorios y las políticas de seguridad.

Diseño de KMS y cifrado de sobre

AWS KMS adopta una técnica llamada cifrado de sobre (envelope encryption). Los datos se cifran con una clave de datos (DEK), y esa clave de datos se cifra con una clave maestra (CMK), creando una estructura de doble capa. Este diseño tiene razones claras. Si se cifran grandes volúmenes de datos directamente con la clave maestra, aumenta el riesgo de exposición de la clave maestra y se requiere recifrar todos los datos al rotar la clave. Con el cifrado de sobre, al rotar la clave maestra solo es necesario recifrar la clave de datos, sin necesidad de recifrar los datos en sí. Las claves maestras de KMS se generan y almacenan dentro de un HSM (Hardware Security Module) y nunca salen del HSM en texto plano. Todo uso de claves se registra en CloudTrail, permitiendo rastrear completamente quién usó qué clave y cuándo. Con las claves multirregión, se puede mantener el cifrado durante la replicación de datos entre regiones y descifrar con la clave local de cada región.

Gestión de claves en hardware dedicado con CloudHSM

CloudHSM es un servicio que proporciona appliances HSM dedicados con certificación FIPS 140-2 Nivel 3 dentro de la VPC. La mayor diferencia con KMS es que la propiedad completa de las claves pertenece al cliente. En KMS, la gestión de la clave maestra se comparte con AWS, pero en CloudHSM ni siquiera los operadores de AWS pueden acceder a las claves. Solo el cliente posee las credenciales de administrador del HSM, y AWS se encarga únicamente de la operación del hardware físico. Esta separación es indispensable cuando las regulaciones financieras o los requisitos de agencias gubernamentales exigen un estado donde el proveedor de nube no pueda acceder a las claves. Los clústeres de CloudHSM pueden configurarse abarcando múltiples AZ, y las claves se sincronizan automáticamente entre los HSM, logrando una configuración de alta disponibilidad sin punto único de fallo. Soporta APIs estándar de la industria como PKCS#11, JCE y CNG, facilitando la migración desde HSM on-premises existentes. CloudHSM también puede utilizarse para la gestión de claves de cifrado transparente de datos (TDE) de Oracle y Microsoft SQL Server.

Nitro Enclaves - Aislamiento de hardware para datos en procesamiento

El cifrado convencional protege los datos en reposo (at rest) y en tránsito (in transit), pero los datos durante el procesamiento (in use) existen descifrados en memoria, lo que dificulta su protección. Nitro Enclaves es la solución propia de AWS para este desafío. Nitro Enclaves crea una máquina virtual aislada dentro de una instancia EC2, proporcionando CPU y espacio de memoria independientes inaccesibles incluso desde la instancia padre. La memoria dentro del Enclave está cifrada, y no existen puertos de depuración ni acceso por shell. Ni siquiera el usuario root de la instancia padre puede acceder a los datos dentro del Enclave. Este aislamiento se impone a nivel de hardware por el Nitro Hypervisor. Combinando KMS con Nitro Enclaves, se puede construir una arquitectura donde las claves cifradas se descifran solo dentro del Enclave y el procesamiento de datos confidenciales se completa dentro del Enclave. Es adecuado para casos de uso que requieren protección de datos durante el procesamiento, como análisis de datos médicos, procesamiento de transacciones financieras y verificación de información personal.

Soberanía de datos y comparación con otras nubes

La soberanía de datos (Data Sovereignty) es el principio de que los datos deben gestionarse según las leyes del país donde residen físicamente. AWS proporciona una solución integral de soberanía de datos combinando el control geográfico de datos mediante la selección de región, la gestión de claves de cifrado por el cliente con KMS y CloudHSM, y la protección de datos en procesamiento con Nitro Enclaves. Azure ofrece VMs confidenciales basadas en AMD SEV-SNP como Confidential Computing, liderando en la protección de datos durante el procesamiento. Las VMs confidenciales de Azure cifran toda la VM a nivel de hardware, con la ventaja de no requerir modificaciones en la aplicación. Por otro lado, Nitro Enclaves tiene un diseño que aísla parte de la aplicación en el Enclave, ofreciendo flexibilidad para minimizar el alcance de la protección. GCP ofrece Confidential VMs y Confidential GKE Nodes, y su servicio de HSM dedicado equivalente a CloudHSM de AWS se ofrece como Cloud HSM con certificación FIPS 140-2 Nivel 3. Para profundizar en la práctica del cifrado y la soberanía de datos, libros relacionados (Amazon) también pueden ser útiles.

Resumen

La estrategia de cifrado de AWS proporciona una estructura jerárquica según los requisitos, desde el cifrado automático con claves gestionadas, las claves gestionadas por el cliente de KMS, el hardware dedicado de CloudHSM, hasta la protección de datos en procesamiento con Nitro Enclaves. La gestión eficiente de claves mediante cifrado de sobre, la pista de auditoría completa del uso de claves con CloudTrail y el aislamiento a nivel de hardware con Nitro Hypervisor son la base técnica para garantizar la soberanía de datos. El Confidential Computing de Azure lidera en el cifrado de toda la VM, pero AWS se diferencia con el aislamiento flexible de Nitro Enclaves y la propiedad completa de claves con CloudHSM. Aplicar cifrado en todas las etapas de almacenamiento, transferencia y procesamiento de datos, manteniendo la autoridad de gestión de claves internamente, es lo que permite lograr la soberanía de datos en la era de la nube.

Servicios relacionados

AWS Nitro EnclavesServicio que crea entornos de ejecución aislados dentro de instancias EC2 para procesar datos sensibles de forma segura

Artículos relacionados

La innovación de hardware del AWS Nitro System - El chip dedicado que cambió los paradigmas de virtualización y seguridadExplicamos la filosofía de diseño del Nitro System desarrollado por AWS, analizando cómo la eliminación del overhead de virtualización, el aislamiento de seguridad a nivel de hardware y el rendimiento bare-metal generan una ventaja competitiva sin igual.Control de acceso granular de AWS IAM - El principio de mínimo privilegio logrado por el diseño basado en políticasExplicamos la filosofía de diseño del control de acceso basado en políticas de AWS IAM y comparamos concretamente las diferencias de granularidad con Azure RBAC y GCP IAM.La cobertura de más de 143 certificaciones de cumplimiento de AWS - Desde ISMAP hasta PCI DSS, superando a la competenciaExplicamos las más de 143 certificaciones de cumplimiento obtenidas por AWS centrándonos en ISMAP, SOC, PCI DSS y HIPAA, y comparamos la cobertura de certificaciones con Azure y GCP.

Más sobre este tema

Amazon.com es el mayor cliente de AWS - El secreto de la calidad del servicio nacido del dogfooding internoA partir del hecho de que el sitio de comercio electrónico de Amazon.com, Prime Video y Alexa funcionan sobre AWS, explicamos cómo el dogfooding interno mejora la calidad del servicio y cómo la carga del Prime Day ha fortalecido el diseño de AWS.La estructura por capas de los servicios AI/ML de AWS - La flexibilidad que ofrecen las 3 capas de SageMaker, Bedrock y servicios tipo APIOrganizamos los servicios AI/ML de AWS en 3 capas: SageMaker (control total), Bedrock (IA generativa gestionada) y Rekognition, etc. (tipo API). A través de la comparación con GCP Vertex AI y Azure OpenAI Service, explicamos la flexibilidad de AWS incluyendo la integración con silicio personalizado.Análisis de datos y Data Lake en AWS - El ecosistema integrado de Athena, Glue, Lake Formation y RedshiftExplicamos el stack integrado de análisis de datos de AWS con Athena, Glue, Lake Formation, Redshift y QuickSight, comparándolo con Azure Synapse Analytics y GCP BigQuery, destacando la ventaja de AWS en el grado de integración del ecosistema completo.Compatibilidad retroactiva y estabilidad de las API de AWS - La confianza que genera la política de no deprecar APIs publicadasExplicamos el historial de AWS de mantener su política de no deprecar APIs una vez publicadas, comparándolo con los cambios de marca de Azure y los casos de discontinuación de servicios de GCP, y por qué la estabilidad de las API es importante para las empresas.El diseño de Availability Zones de AWS - La diferencia en confiabilidad que genera la separación física y el aislamiento de fallosExplicamos la filosofía de diseño de las AZ de AWS como grupos de centros de datos físicamente independientes, comparándolas con las zonas de disponibilidad de Azure y GCP, y analizamos la diferencia en madurez del aislamiento de fallos a partir de incidentes reales.El valor de mercado de las habilidades AWS y la prima salarial de las certificacionesAnalizamos el número de ofertas de empleo que requieren habilidades AWS, la prima salarial de los titulares de certificaciones y el impacto en la trayectoria profesional, comparándolo con Azure y GCP, para evaluar el retorno de inversión de obtener certificaciones AWS.La comunidad técnica y los recursos de aprendizaje de AWS - Desde re:Invent hasta JAWS-UGComparamos las comunidades técnicas como re:Invent, AWS Summit y JAWS-UG, y la riqueza de documentación y formación en japonés con Azure y GCP, explicando la ventaja del entorno de aprendizaje de AWS.La cobertura de más de 143 certificaciones de cumplimiento de AWS - Desde ISMAP hasta PCI DSS, superando a la competenciaExplicamos las más de 143 certificaciones de cumplimiento obtenidas por AWS centrándonos en ISMAP, SOC, PCI DSS y HIPAA, y comparamos la cobertura de certificaciones con Azure y GCP.

Artículos y servicios similares

AWS CloudHSMServicio que proporciona módulos de seguridad de hardware con certificación FIPS 140-2 Level 3 de uso exclusivo para generar, almacenar claves criptográficas y ejecutar operaciones de cifrado en la nubeGestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.Procesamiento de datos confidenciales con AWS Nitro Enclaves - Cifrado y autenticación en entornos aisladosExplicación del procesamiento de datos confidenciales con AWS Nitro Enclaves. Se presenta el entorno de ejecución aislado, la integración con KMS, la atestación y los casos de uso.AWS KMSServicio de gestión de claves completamente administrado que centraliza la creación, gestión y rotación de claves de cifrado, integrado con más de 100 servicios de AWSComputación confidencial - Aislamiento y protección de datos en procesamiento con AWS Nitro EnclavesExplicamos el procesamiento aislado de datos confidenciales con AWS Nitro Enclaves. Presentamos la atestación criptográfica, integración con KMS y casos de uso de procesamiento de PII y gestión de claves criptográficas.