Data at rest: qué es y cómo KMS la protege

Clase 26 de 30 • Curso de Ciberseguridad para Desarrollo Web

Resumen

Aprende con claridad cómo proteger data at rest y data in transit en AWS usando encriptación y claves gestionadas. Conecta los conceptos clave: certificados SSL, KMS, Secrets Manager y encripción predeterminada en RDS. Así aseguras que, incluso si alguien accede al dispositivo físico, tus datos sigan protegidos.

¿Qué diferencia hay entre data at rest y data in transit?

Los datos existen en estados distintos y requieren protecciones específicas. Data in transit es la información que viaja por la web; data at rest es la que “vive” en el servidor, dentro de la base de datos.

¿Cómo protege SSL la data in transit?

Uso de certificados SSL para cifrar el tráfico mientras navega por la web.
Los datos viajan encriptados punto a punto.
Se evita que terceros lean la información durante el tránsito.

¿Por qué encriptar la data at rest?

La “nube” es el computador de alguien más: existe un dispositivo físico detrás.
Si alguien accede al dispositivo, sin encripción podría leer los datos.
Con encripción y una clave de seguridad, los datos quedan inutilizables sin la clave.

¿Cómo protege AWS los datos con KMS, Secrets y RDS?

AWS centraliza la gestión de claves con Key Management Service (KMS) y aplica encripción en servicios como RDS. Además, diferencia claramente entre KMS y Secrets.

¿Qué es KMS y para qué sirve?

Servicio para gestionar claves de encriptado.
Permite usar claves para proteger data at rest.
Admite claves manejadas por AWS y también importar claves propias.

¿En qué se diferencia de Secrets?

Secrets es para guardar API keys y credenciales.
Esos secretos están encriptados usando KMS.
KMS gestiona las claves; Secrets almacena información sensible encriptada.

¿Qué significa AWS Managed Keys?

Conjunto de claves predefinidas y seguras manejadas por AWS.
Pueden existir claves para servicios como Lambda, Secrets Manager y RDS.
Incluyen configuración visible: policy de uso, tipo de key (por ejemplo, simétrica) y detalles criptográficos.

¿Qué se hizo en la consola AWS para verificar la encripción?

Se navegó la consola para confirmar que RDS tiene encripción habilitada por defecto y para revisar las claves en KMS.

¿Cómo se verifica en RDS?

Ir a RDS y seleccionar la base de datos.
Abrir el menú de configuración en la parte inferior.
Revisar storage: la encripción aparece habilitada por defecto.
Ver la key usada: una KMS key manejada por AWS, nombrada como AWS RDS.

¿Qué se observa en KMS?

Entrar a KMS y abrir AWS Managed Keys.
Ver múltiples claves por servicio: Lambda, Secrets Manager, RDS.
Consultar detalles: policy de uso, tipo de key (por ejemplo, simétrica), configuración criptográfica.

¿Qué beneficios prácticos obtienes?

Encripción activa en servicios que “viven” en servidores de terceros.
Protección efectiva: sin la clave correcta, no se accede a los datos.
Conocimientos transferibles a otras nubes y a entornos on premise.

¿Te gustaría compartir tus dudas sobre encripción con KMS, diferencias con Secrets o cómo relacionarlo con sistemas de logs y seguridad? Deja tu comentario y cuéntame tu contexto.

Diego Fernando Ramos Aguirre

student•

Protege tus datos con Key Management Services

Para poder proteger tus datos debes conocer que estos se encuentran en diferentes estados, uno de estos es Data at-rest vs Data in transit, Datos en tránsito es cuando están por ejemplo circulando o navegando estos datos por la web, los cuales se aseguran con certificados SSL que garantizan que los datos mientras están navegando se encriptan y Datos en reposo son aquellos que están dentro del servidor, que están quietos dentro de la base de datos, hay que recordar que aunque hablamos de la nube no quiere decir que estén nuestros datos en el aire, sino que están en el servidor de alguien mas, estan dentro de un dispositivo físico, si alguien accede a este dispositivo podría acceder a los datos, por eso los datos en reposos deben estar encriptados con una clave de seguridad para que si alguien tiene acceso al dispositivo no pueda acceder a los datos.

El servicio de AWS que nos provee la capacidad de tener claves de encriptado para manejar nuestra Data at-rest o Datos en reposo, es KMS o Key Management Service, este servicio en ocasiones se confunde con Secret Manager pero son servicios totalmente diferentes ya que Secret Manager es un servicio donde guardamos nuestras API Key, credenciales, secretos, que son encriptados utilizando una clave o sea usando una KMS.

Data at rest: qué es y cómo KMS la protege

Conceptos generales de seguridad

Cómo evitar que te hackeen con ingeniería social

Los 3 riesgos de seguridad que ignoras

Principios AAA de seguridad con AWS IAM

Funciona en mi local

Configuración de webhooks de GitHub con ngrok

Cómo prevenir SQL injection en Go

Creando mocks con Testify para commits

Introducción a DevSecOps

DevSecOps y pruebas con GitHub Actions

GitHub Actions para pruebas Go con vendor

Mocks en Go para aislar la base de datos

Configuración de budget cero en AWS

Seguridad en la arquitectura

Arquitectura AWS para métricas de Git

Configuración de AWS CLI para Terraform

Terraform IAM: roles y policies automáticos

Modificando main.tf para enlazar módulos IAM en Terraform

Bucket S3 para Lambdas con Terraform

Configuración de Postgres RDS con VPC y seguridad

Configurando VPC para AWS Lambda con Terraform

Cómo configurar API Gateway para Lambdas

Evitando vulnerabilidades en el código

Configuración completa de Auth0 para tokens

Authorizer Lambda con Auth0 y JWT

Conecta Go a Postgres usando AWS Secrets

Conexión segura de Lambdas a Secrets con VPC

Validación de webhooks desde GitHub con user-agent

Cómo validar integridad de webhooks con HMAC

Controles de seguridad sobre datos

Certificados SSL/TLS en AWS RDS