Encriptación en S3 con Llaves Propias del Usuario

Clase 19 de 37 • Curso Práctico de Storage en AWS

Resumen

¿Cómo funciona la encriptación del lado del servidor en AWS S3?

La encriptación del lado del servidor con AWS S3 es un componente crucial para garantizar la seguridad de tus datos en la nube. AWS ofrece diferentes formas de encriptación, y en este artículo nos centraremos en la tercera opción, caracterizada por ofrecer al usuario un control completo sobre las llaves de encriptación.

¿Cuál es la participación del cliente en la encriptación?

En esta opción de encriptación, el usuario es quien genera y gestiona las llaves en su propio sistema, proporcionando las claves necesarias a S3 para encriptar y desencriptar la información. Esta forma de encriptación le otorga al cliente un control total sobre la administración de las llaves y la seguridad de sus datos, ya que las claves no se almacenan en S3, sino que son manejadas por el propio usuario.

¿Qué consideraciones se deben tener en cuenta?

Provisión y manejo de llaves: El usuario debe encargarse de generar y proporcionar las llaves necesarias para la encriptación y desencriptación de los datos.
Seguridad de la transferencia: Es esencial utilizar HTTPS para enviar las llaves a través de los encabezados, asegurando así que la transferencia de datos sea segura y evitando que AWS rechace las solicitudes por razones de seguridad.
Rotación y manejo de encabezados: La responsabilidad del ciclo de vida de las llaves, así como de cualquier actividad relacionada con los encabezados, recae totalmente en el usuario.

Esta metodología destaca por ofrecer flexibilidad y control, especialmente útil para organizaciones que tienen requisitos específicos de seguridad o normativas que exigen mayor gestión sobre las llaves de encriptación.

¿Cuáles son los casos de uso más comunes?

Este tipo de encriptación es ideal para:

Empresas con sistemas de generación de llaves propios: Organizaciones que ya cuentan con mecanismos y políticas internas para el manejo de llaves y desean conservar ese control.
Cumplimiento de normativas: Situaciones donde las leyes o regulaciones exigen un estricto manejo y control de las claves de encriptación para proteger la información sensible.
Necesidades específicas de seguridad: Empresas que requieren un nivel superior de seguridad y desean evitar almacenar claves en servicios de terceros.

En resumen, esta opción es recomendable para quienes buscan tener un control exhaustivo sobre la encriptación de sus datos en la nube, alineándose perfectamente con las necesidades específicas de seguridad y cumplimiento normativo de muchas organizaciones.

Juan David Cajamarca Acuña

student•

En esta forma de encriptación, el usuario tiene mayor participación en cuanto a la administración de las llaves.

El usuario proporciona las llaves de cifrado y AWS administra el cifrado de los objetos. AWS no almacena las llaves, lo hace el usuario y es totalmente su responsabilidad.
Para las solicitudes se deben realizar con HTTPS o serán negadas por AWS.
La rotación de las llaves es responsabilidad del usuario, no de AWS.

Patricio Sánchez Fernández

student•

Buen aporte, Juan.

Carlos Javier Bazan Huaman

student•

para la generacion de llaves por parte del usuario podrian recomendar alguna herramienta?

LUIS ARTURO ZARATE AYALA

student•

putty key generator

john ct

student•

nivel de autonomia del end user es mayor. bien flexible. teniendo en cuenta el contexto actual de seguridad delos datos y cybersecurity. las compañias que usan Aws cual utilizan mas frecuente? sse s3? All you need to do is enable server-side encryption in your object metadata when you upload your data to Amazon S3. As soon as your data reaches S3, it is encrypted and stored. puede ser!!

Ivan Acosta

student•

Qué tan común es hacer uso de llaves diferentes a las que provee KMS?. Algunos casos de uso serían de utilidad. Gracias.

Oscar Andrés Ortegano Mora

student•

Un ejemplo claro es cuando trabajas con un ente gubernamental, o una empresa con un departamento de seguridad, en este caso ese departamento tiene las llaves root que firman todos sus certificados y llaves de cifrado, por lo tanto es responsabilidad de ese departamento de seguridad de proveerte tanto las llaves de cifrado como certificados a usar en cada uno de los ambientes, bien sea producción, desarrollo y pruebas.

Mario Alexander Vargas Celis

student•

🔐 Encriptación en S3 con Llaves del Usuario (SSE-C - Server-Side Encryption with Customer-Provided Keys)

AWS permite cifrar objetos en Amazon S3 utilizando llaves de cifrado proporcionadas por el usuario. Esta opción es conocida como SSE-C (Server-Side Encryption with Customer-Provided Keys) y brinda control total sobre las claves, pero también mayor responsabilidad en su gestión.

🛡️ ¿Qué es SSE-C?

SSE-C permite que tú proporciones la clave de cifrado en cada operación de carga y recuperación de objetos en S3.

✅ Control total sobre la clave de cifrado ✅ AWS S3 cifra y almacena el objeto sin retener la clave ✅ Los datos se desencriptan solo si proporcionas la clave correcta ✅ No hay costos adicionales por uso de AWS KMS

⚠️ Desventaja: 🔹 AWS NO almacena la clave, por lo que si la pierdes, los datos serán irrecuperables.

⚙️ ¿Cómo funciona?

El usuario proporciona una clave de cifrado cuando sube un objeto a S3.
S3 usa la clave para cifrar el objeto antes de almacenarlo.
Al recuperar el objeto, el usuario debe proporcionar la misma clave.
S3 usa la clave para descifrar y entregar el archivo.

📝 ¿Cómo habilitar SSE-C?

📌 Opción 1: Con AWS CLI

🔸 Subir un objeto con SSE-C

aws s3 cp archivo.txt s3://mi-bucket/ --sse-c AES256 --sse-c-key MiClaveBase64

📌 Nota: MiClaveBase64 es la clave de cifrado en formato Base64.

🔸 Descargar un objeto cifrado con SSE-C

aws s3 cp s3://mi-bucket/archivo.txt ./archivo_descifrado.txt --sse-c AES256 --sse-c-key MiClaveBase64

📌 Nota: Debes proporcionar la misma clave utilizada al cifrar el archivo.

📌 Opción 2: Con AWS SDK (Python - Boto3)

import boto3 import base64

s3 = boto3.client('s3')

# Clave del usuario en Base64 user_key = base64.b64encode(b'MiClaveSeguraDe256Bits').decode('utf-8')

# Subir un archivo con SSE-C s3.put_object( Bucket='mi-bucket', Key='archivo.txt', Body=open('archivo.txt', 'rb'), SSECustomerAlgorithm='AES256', SSECustomerKey=user_key )

# Descargar un archivo cifrado con SSE-C obj = s3.get_object( Bucket='mi-bucket', Key='archivo.txt', SSECustomerAlgorithm='AES256', SSECustomerKey=user_key ) contenido = obj['Body'].read()

📌 Nota: La clave debe ser segura y de 256 bits, codificada en Base64.

🎯 ¿Cuándo usar SSE-C?

✔️ Cuando no quieres depender de AWS para gestionar claves. ✔️ Si necesitas cumplir requisitos estrictos de seguridad y almacenar claves externamente. ✔️ Cuando quieres evitar los costos de AWS KMS.

⚠️ No usar SSE-C si existe riesgo de perder la clave, ya que los datos serán inaccesibles.

🚀 Conclusión

SSE-C ofrece máximo control sobre la encriptación en S3, pero también mayor responsabilidad en la gestión de claves. Es ideal para empresas con estrictos requisitos de seguridad o que ya gestionan sus claves externamente.

Vicente López Robles

student•

Nosotros acabamos de implementar este tipo de cifrado en S3, movimos 1 TB de datos, todo funcionando bien.

Carlos Andrés Zambrano Barrera

teacher•

Excelente noticia, he visto casos de éxito así y el ahorro vs tenerlo on premise es muy alto.

Jorge Armando Sanjuan Angarita

student•

Gracias por exponer ese caso de uso y los resutados.