Aprende con claridad cómo proteger data at rest y data in transit en AWS usando encriptación y claves gestionadas. Conecta los conceptos clave: certificados SSL, KMS, Secrets Manager y encripción predeterminada en RDS. Así aseguras que, incluso si alguien accede al dispositivo físico, tus datos sigan protegidos.
¿Qué diferencia hay entre data at rest y data in transit?
Los datos existen en estados distintos y requieren protecciones específicas. Data in transit es la información que viaja por la web; data at rest es la que “vive” en el servidor, dentro de la base de datos.
¿Cómo protege SSL la data in transit?
- Uso de certificados SSL para cifrar el tráfico mientras navega por la web.
- Los datos viajan encriptados punto a punto.
- Se evita que terceros lean la información durante el tránsito.
¿Por qué encriptar la data at rest?
- La “nube” es el computador de alguien más: existe un dispositivo físico detrás.
- Si alguien accede al dispositivo, sin encripción podría leer los datos.
- Con encripción y una clave de seguridad, los datos quedan inutilizables sin la clave.
¿Cómo protege AWS los datos con KMS, Secrets y RDS?
AWS centraliza la gestión de claves con Key Management Service (KMS) y aplica encripción en servicios como RDS. Además, diferencia claramente entre KMS y Secrets.
¿Qué es KMS y para qué sirve?
- Servicio para gestionar claves de encriptado.
- Permite usar claves para proteger data at rest.
- Admite claves manejadas por AWS y también importar claves propias.
¿En qué se diferencia de Secrets?
- Secrets es para guardar API keys y credenciales.
- Esos secretos están encriptados usando KMS.
- KMS gestiona las claves; Secrets almacena información sensible encriptada.
¿Qué significa AWS Managed Keys?
- Conjunto de claves predefinidas y seguras manejadas por AWS.
- Pueden existir claves para servicios como Lambda, Secrets Manager y RDS.
- Incluyen configuración visible: policy de uso, tipo de key (por ejemplo, simétrica) y detalles criptográficos.
¿Qué se hizo en la consola AWS para verificar la encripción?
Se navegó la consola para confirmar que RDS tiene encripción habilitada por defecto y para revisar las claves en KMS.
¿Cómo se verifica en RDS?
- Ir a RDS y seleccionar la base de datos.
- Abrir el menú de configuración en la parte inferior.
- Revisar storage: la encripción aparece habilitada por defecto.
- Ver la key usada: una KMS key manejada por AWS, nombrada como AWS RDS.
¿Qué se observa en KMS?
- Entrar a KMS y abrir AWS Managed Keys.
- Ver múltiples claves por servicio: Lambda, Secrets Manager, RDS.
- Consultar detalles: policy de uso, tipo de key (por ejemplo, simétrica), configuración criptográfica.
¿Qué beneficios prácticos obtienes?
- Encripción activa en servicios que “viven” en servidores de terceros.
- Protección efectiva: sin la clave correcta, no se accede a los datos.
- Conocimientos transferibles a otras nubes y a entornos on premise.
¿Te gustaría compartir tus dudas sobre encripción con KMS, diferencias con Secrets o cómo relacionarlo con sistemas de logs y seguridad? Deja tu comentario y cuéntame tu contexto.
