¿Cuáles DOS de las siguientes afirmaciones sobre el cifrado de datos en AWS son correctas? (Elija DOS opciones.)

1 / 1
Selecciona todas las que correspondan
CorrectoA, D

Explicación

Resumen de la pregunta

Pregunta sobre la selección de DOS afirmaciones correctas sobre el cifrado en AWS.

Condiciones a cumplir
  • 1cifrado de datos en AWSLa pregunta evalúa si se pueden distinguir correctamente los tres roles: KMS para la gestión de claves, cifrado en reposo para proteger los datos almacenados y cifrado en tránsito para proteger los datos en movimiento.
Explicación por opción
ACorrecto

AWS KMS permite crear, gestionar y controlar de forma centralizada las claves de cifrado y el acceso a ellas.

Correcto. AWS KMS (Key Management Service) es un servicio administrado que gestiona de forma centralizada la creación, el almacenamiento y la rotación (sustitución periódica de claves) de las claves de cifrado utilizadas para cifrar datos. Permite controlar el acceso sobre quién puede usar qué clave mediante IAM y políticas de clave, y permite auditar cuándo y por quién se usó una clave mediante CloudTrail. Muchos servicios de AWS, incluidos S3 y EBS, utilizan claves de KMS para el cifrado.

BIncorrecto

Habilitar el cifrado en reposo para S3 también cifra automáticamente los datos en tránsito.

El cifrado en reposo (como SSE) protege únicamente los datos almacenados en disco.

Proteger el canal de comunicación es una cuestión separada que se gestiona con el cifrado en tránsito mediante TLS (HTTPS). Habilitar el cifrado en reposo no cubre automáticamente los datos en tránsito, por lo que es incorrecto.

CIncorrecto

Dado que AWS gestiona las claves de KMS, los clientes no pueden controlar el acceso a ellas.

Con AWS KMS, los propios clientes controlan quién puede usar qué clave mediante políticas de clave y políticas de IAM.

La afirmación de que 'AWS lo gestiona, por lo que los clientes no pueden controlarlo' contradice la funcionalidad principal de KMS (creación, gestión y control de acceso centralizado de claves), por lo que es incorrecto.

DCorrecto

El cifrado en tránsito utiliza TLS y protocolos similares para proteger los datos en el canal de comunicación.

Correcto. El cifrado en tránsito cifra los datos en el canal de comunicación mediante TLS/SSL para protegerlos contra la interceptación y la alteración. HTTPS es el ejemplo principal.

EIncorrecto

Habilitar el cifrado en reposo requiere cambios en el código de la aplicación.

Con el cifrado del lado del servidor (SSE) en servicios como S3 y EBS, AWS cifra automáticamente los datos al escribirlos y los descifra automáticamente al leerlos. El cifrado es transparente para la aplicación: la aplicación puede simplemente leer y escribir como antes.

Como puede habilitarse solo mediante configuración, la afirmación de que se requieren cambios en la aplicación es incorrecta.

Punto clave

Puntos clave del cifrado: KMS = gestión centralizada de claves y control de acceso (políticas de clave); en tránsito = TLS protege la comunicación; en reposo ≠ en tránsito (objetivos distintos, se habilitan por separado); el cifrado del lado del servidor es transparente y no requiere cambios en la aplicación.

Enlaces relacionados