Conozca sus datos, controle su acceso: cómo Cyera y AWS IAM Access Analyzer ofrecen una gobernanza basada en datos para datos confidenciales en AWS.

Jun 24, 2025
Share

Desvelando el acceso: Por qué la seguridad de los datos comienza con el conocimiento de la identidad.

En el mundo digital actual, los datos son el activo más importante y el más codiciado de una organización. Desde la información de los clientes y la propiedad intelectual hasta los análisis operativos y los registros financieros, los datos impulsan la innovación y la toma de decisiones empresariales. Por ello, proteger los datos confidenciales ya no es un mero trámite normativo, sino un pilar fundamental de la confianza, la resiliencia y el éxito a largo plazo.

Sin embargo, a medida que las organizaciones se mueven con mayor rapidez y adoptan la escala de la infraestructura en la nube, el desafío de proteger los datos ha evolucionado. Ya no se trata solo de cifrar archivos o configurar cortafuegos, sino de comprender quién tiene acceso a qué y por qué.

Un presentador de AWS destacó las integraciones con socios como Cyera, Wiz, Orca Security, Saviynt y Ping Identity.

La brecha de visibilidad de los datos de identidad

Uno de los desafíos más importantes en la seguridad en la nube hoy en día es la necesidad de visibilidad de las configuraciones de IAM (Administración de Identidades y Accesos) en entornos extensos con múltiples cuentas. Por ejemplo, es fundamental responder a la pregunta "¿quién puede acceder a qué tipo de datos?". En AWS, se puede otorgar acceso a almacenes de datos confidenciales, como buckets de S3, instancias de RDS y tablas de DynamoDB, a múltiples identidades de IAM (usuarios, roles y entidades federadas). Algunos de estos permisos son intencionales, definidos por políticas. Otros pueden ser heredados, estar mal configurados o ser el resultado de roles o relaciones de confianza excesivamente permisivas.

¿El problema? Es increíblemente difícil obtener una visión completa y precisa de todas las identidades que tienen acceso a un almacén de datos determinado, especialmente cuando esos datos son altamente confidenciales. Para complicar aún más las cosas, es igual de difícil determinar qué nivel de acceso tiene realmente cada identidad, ya sea de solo lectura, escritura, eliminación o administrativo, y si ese acceso abarca una sola cuenta de AWS o si cruza los límites de las cuentas en estructuras organizativas complejas.

Por qué esto importa ahora

La consecuencia de esto brecha de visibilidad de los datos La realidad es alarmante: las organizaciones ignoran la posible sobreexposición de sus datos más valiosos. Esto no solo aumenta el riesgo de amenazas internas y filtraciones externas, sino que también dificulta enormemente el cumplimiento de normativas como el RGPD, la HIPAA y la PCI-DSS.

En Cyera, creemos que la seguridad de los datos debe comenzar con la claridad: saber dónde se almacenan sus datos confidenciales y quién puede acceder a ellos. En este blog, exploraremos cómo las estrategias modernas de seguridad de datos ayudan a las organizaciones a superar esta brecha al correlacionar la identidad, el acceso y la confidencialidad de los datos a gran escala, lo que permite a los equipos de seguridad tomar medidas decisivas basadas en el análisis de riesgos.

Cómo lograr visibilidad y control con AWS IAM Access Analyzer

Amazon ha mejorado IAM Access Analyzer con capacidades para detectar identidades internas de IAM que acceden a recursos de AWS como S3, DynamoDB y instantáneas de RDS. Estas mejoras permiten a los equipos de seguridad identificar quién tiene acceso a la infraestructura crítica.

Cuando se integra con Cyera Plataforma DSPMEsta herramienta, que clasifica datos confidenciales a gran escala, ofrece información valiosa sobre la gestión de identidades y accesos (IAM), creando una combinación poderosa. Los equipos obtienen información sobre si el acceso es válido o está mal configurado, lo que mejora la seguridad y permite una pronta solución.

Seguridad de datos basada en la identidad: Prevención de la divulgación mediante el análisis.

Al correlacionar acceso a la identidad Con la clasificación de datos, los equipos de seguridad pasan de la teoría a la información práctica. Pueden identificar qué usuarios, roles o servicios tienen acceso a datos confidenciales (por ejemplo, información de identificación personal, información de salud protegida, propiedad intelectual) y mitigar los riesgos de forma proactiva.

Esta alineación permite medir y auditar los controles de IAM. En lugar de gestionar IAM de forma aislada, las organizaciones obtienen un mapa en tiempo real del acceso a los datos.

Identidades de Cyera: Elevando la inteligencia de acceso contextual

El módulo Identidades de Cyera asigna el acceso a los buckets de S3 clasificados por el motor DSPM de Cyera, proporcionando el qué (datos confidenciales) y el quién (identidades IAM).

A medida que los datos se expanden a formatos estructurados en DynamoDB y RDS, ampliar esta información se vuelve esencial. La compatibilidad con el mapeo de acceso entre múltiples recursos de AWS permite una gobernanza escalable en toda la organización.

Lo que este blog te mostrará

Le mostraremos cómo usar IAM Access Analyzer para detectar el acceso a los almacenes de datos de Cyera y correlacionar esta información con la sensibilidad de los datos. Este enfoque ayuda a descubrir accesos excesivos, aplicar los principios de mínimo privilegio y proteger los datos confidenciales, independientemente de dónde se encuentren.

Pasos de implementación de alto nivel

Paso 1: Crear un analizador de acceso IAM interno

Implemente un analizador de acceso de IAM con ámbito en la organización de AWS de la cuenta maestra. Esto garantiza una visibilidad centralizada de los permisos entre cuentas.

Paso 2: Recuperar los resultados del analizador

Utilice el `recuperar-hallazgos.shScript para recopilar detalles de acceso en todos los analizadores. Los resultados se guardan en el archivo `finding-details.csv`.

Paso 3: Correlacionar con los almacenes de datos de Cyera

Compare los hallazgos (por ejemplo, instantáneas relacionadas con RDS) con los recursos escaneados por Cyera correspondientes para determinar su clasificación de sensibilidad.

Paso 4: Generar la matriz de permisos

Ejecutar `generate_permissions.py` para crear un `permissions_matrix.csv` que muestre el acceso a IAM en función de los niveles de sensibilidad.

Paso 5: Analizar y visualizar

Importa la matriz a herramientas como Amazon QuickSight o Excel para filtrar y visualizar qué entidades de IAM tienen acceso a almacenes de datos confidenciales.

Ejemplo de información: “Muéstrame todas las entidades principales de IAM con acceso a almacenes de datos de confidencialidad 'Restrictivos' y sus tipos de permisos”.
Ejemplo de información: “Muéstrame todas las entidades principales de IAM con acceso a almacenes de datos de confidencialidad 'Restrictivos' y sus tipos de permisos”.

Aquí encontrará ejemplos de scripts: cyeragit/AWS-IAM-Access-Analyzer-samples: Repositorio público para demostrar el uso de la CLI de AWS IAM Access Analyzer con la plataforma Cyera DSPM.

Conclusión

Las organizaciones que utilizan la plataforma DSPM de Cyera ahora pueden reforzar la gobernanza de datos integrando AWS IAM Access Analyzer. Esto es especialmente relevante para mitigar los riesgos en entornos donde los datos confidenciales se exponen inadvertidamente o se utilizan para el entrenamiento de IA.

Al correlacionar identidad y sensibilidad, los equipos pueden tener confianza en lo siguiente:

- Detectar accesos excesivos o mal configurados
- Aplicar el principio de mínimo privilegio
- Mantener el cumplimiento

Ya sea usted ingeniero de seguridad en la nube, responsable de gobernanza de datos o responsable de cumplimiento normativo, esta integración le permite responder a una pregunta fundamental:
¿Quién tiene acceso a mis datos confidenciales y qué nivel de acceso tienen?

Share