¿Cómo gestionas el cifrado en reposo y en tránsito en la nube?
Respuesta breve
El cifrado en tránsito (TLS) protege los datos que se mueven por la red frente a la escucha y la manipulación; aplica TLS en todas partes y rechaza el texto plano. El cifrado en reposo protege los datos almacenados en discos y copias de seguridad, normalmente mediante claves gestionadas por KMS usando cifrado por sobre. Ambos son controles básicos, pero ninguno detiene una solicitud autorizada pero maliciosa — el servicio descifra de forma transparente para los llamantes válidos — así que el control de acceso sigue siendo lo más importante.
El cifrado es un requisito mínimo en la nube, pero los candidatos suelen exagerar lo que aporta. Una buena respuesta cubre ambos estados de los datos y es honesta sobre el modelo de amenazas.
En tránsito — proteger los datos en el cable
Los datos que se mueven entre clientes, servicios y regiones pueden ser leídos o modificados por cualquiera en el camino. TLS proporciona confidencialidad e integridad para ese tráfico.
- Aplica TLS en todas partes, incluidas las llamadas internas de servicio a servicio — "está dentro de la VPC" no es una garantía frente a un host comprometido o un tráfico mal enrutado.
- Rechaza el texto plano explícitamente (p. ej. una política de almacenamiento que deniega las solicitudes donde
aws:SecureTransportsea false), para que un cliente mal configurado no pueda volver atrás en silencio.
En reposo — proteger los datos almacenados
El cifrado en reposo protege los datos en discos, instantáneas y copias de seguridad para que un soporte robado o mal dado de baja resulte inútil.
- Los servicios en la nube se integran con KMS usando cifrado por sobre: KMS guarda la clave maestra, genera una clave de datos por objeto, y la clave de datos cifra los datos. Las políticas de clave de KMS deciden quién puede descifrar.
- Las claves gestionadas por el cliente (CMK) te dan control sobre la rotación, la política de acceso y la revocación; las claves gestionadas por el proveedor son más simples pero menos controlables. Elige según tus necesidades de cumplimiento.
La limitación honesta
Aquí está el matiz que sondean los entrevistadores: el cifrado en reposo no detiene una solicitud autorizada. Cuando un principal IAM válido lee un objeto, el servicio lo descifra de forma transparente. Así que un rol con permisos excesivos o una política de bucket pública filtra datos a pesar del cifrado. El cifrado defiende contra el robo de soportes y la escucha de red — no contra un mal control de acceso.
Qué buscan los entrevistadores
Distinguir los dos estados y sus amenazas diferenciadas, conocer el cifrado por sobre de KMS y las CMK frente a las claves gestionadas, y afirmar que el cifrado complementa — nunca sustituye — los controles de IAM y de política.
Posibles preguntas de seguimiento
- ¿Contra qué amenaza defiende realmente el cifrado en reposo?
- ¿Cuál es la diferencia entre claves de KMS gestionadas por el proveedor y gestionadas por el cliente?
- ¿Por qué el cifrado en reposo no detiene una solicitud de un principal IAM con permisos excesivos?