Лучшие методы обеспечения безопасности Amazon S3

Лучшие методы обеспечения безопасности Amazon S3

Amazon S3

Amazon S3 — это служба объектного хранения данных. Он позволяет хранить практически неограниченные объемы данных. Файлы данных хранятся в виде объектов.

Мы помещаем объекты в ведро. Имя каждого ведра S3 должно быть глобально уникальным для всех регионов (уникальным для всех учетных записей клиентов AWS).

Размер хранимых объектов может варьироваться от 0 байт до 5 ТБ. Хотя размер отдельных объектов не может превышать 5 ТБ, мы можем хранить столько данных, сколько нам нужно.

Значения объектов неизменяемы, что означает, что после загрузки объекта мы не можем изменить его значение. Если мы хотим изменить объект, мы должны внести изменения за пределами Amazon S3, а затем повторно загрузить объект.

Объекты также включают метаданные, которые представляют собой набор пар имя-значение, используемых для хранения информации об объекте. Мы можем назначать метаданные, которые называются пользовательскими метаданными, нашим объектам в Amazon S3. Amazon S3 также присваивает этим объектам системные метаданные, которые он использует для управления объектами.

Безопасность Amazon S3 — введение

Безопасность — это общая ответственность AWS и клиентов. AWS отвечает за «безопасность облака», а клиенты отвечают за «безопасность в облаке».

Безопасность облака

AWS отвечает за защиту инфраструктуры, на которой работает Amazon Simple Storage Service (Amazon S3). Эффективность защиты регулярно проверяется и подтверждается сторонними аудиторами в рамках программ соответствия AWS.

Безопасность в облаке

Наша ответственность заключается в управлении доступом к нашим данным (с помощью инструментов для применения соответствующих
разрешений и уровней доступа). Мы также несем ответственность за соблюдение требований вашей организации, а также применимых законов и нормативных актов.

Основные передовые методы обеспечения безопасности Amazon S3

— Контроль доступа

— Защита данных

— Мониторинг и аудит параметров безопасности

Amazon S3 предлагает варианты политик доступа, которые подразделяются на политики, основанные на ресурсах, и пользовательские политики. Политики доступа, которые мы прикрепляем к нашим ресурсам (ведрам и объектам), называются политиками на основе ресурсов.

При предоставлении разрешений мы должны решить, кто их получит, на какие ресурсы Amazon S3 они получат разрешения, и какие действия мы хотим разрешить на этих ресурсах.

По умолчанию все ресурсы Amazon S3 (ведра, объекты и связанные с ними субресурсы (конфигурация жизненного цикла и конфигурация сайта) являются частными.

Лучшие практики контроля доступа:

— Внедрите модель доступа «Наименьшие привилегии» для ограничения доступа к ресурсам S3 с помощью комбинации политик управления идентификацией и доступом (IAM), политик ведра и точек доступа S3.

— Убедитесь, что наши ведра S3 не находятся в открытом доступе

— Ограничить доступ к определенным виртуальным частным облакам (VPC) или известным диапазонам IP-адресов с помощью политик ведер и точек доступа.

— Используйте роли IAM для приложений и служб AWS, которым требуется доступ к Amazon S3.

— Используйте предварительно подписанные URL Amazon S3 или подписанные URL Amazon CloudFront для предоставления ограниченного по времени доступа к Amazon S3 для определенных приложений.

— Используйте конечные точки Amazon S3 VPC и политики контроля сервисов.

— Используйте Access Analyzer для S3 для мониторинга и контроля доступа к нашим данным.

Лучшие практики защиты данных для S3

— Шифруйте все данные Amazon S3 в состоянии покоя с помощью шифрования на стороне сервера (SSE) или на стороне клиента.

— Применяйте шифрование в процессе передачи для доступа к Amazon S3

— Включите версионность объектов

— Включите многофакторную аутентификацию (MFA) Удаление и блокировку объектов S3, когда это необходимо

— Рассмотрите возможность репликации S3 на различные учетные записи AWS для защиты наших данных и обеспечения соответствия нормативным требованиям

— Используйте инструменты, включая Amazon Macie, Amazon GuardDuty for S3 и Amazon S3 Inventory для защиты конфиденциальных данных Мониторинг

Мониторинг и аудит параметров безопасности для S3

— Аудит действий API Amazon S3 с помощью AWS CloudTrail

— Контролируйте доступ к данным из Amazon S3 с помощью протоколирования доступа.

Другие передовые методы работы с S3

Шифрование данных в состоянии покоя

Мы можем использовать шифрование на стороне сервера и шифрование на стороне клиента для защиты данных в состоянии покоя в Amazon S3

Шифрование на стороне сервера — запрос Amazon S3 на шифрование нашего объекта перед сохранением его на дисках в своих центрах обработки данных и последующая расшифровка при загрузке объектов. Шифрование на стороне сервера может помочь снизить риск для наших данных за счет шифрования данных с помощью ключа, который хранится в механизме, отличном от механизма, хранящего сами данные.

Amazon S3 предоставляет такие варианты шифрования на стороне сервера:

  • Шифрование на стороне сервера с помощью ключей, управляемых Amazon S3 (SSE-S3).
  • Шифрование на стороне сервера с помощью ключа KMS, хранящегося в службе управления ключами AWS (SSE-KMS).
  • Шифрование на стороне сервера с помощью ключей, предоставленных клиентом (SSE-C).

Шифрование на стороне клиента — шифрование данных на стороне клиента и загрузка зашифрованных данных в Amazon S3.

Мы должны управлять процессом шифрования, ключами шифрования и соответствующими инструментами. Как и в случае с шифрованием на стороне сервера, шифрование на стороне клиента может помочь снизить риск за счет шифрования данных с помощью ключа, который хранится в механизме, отличном от механизма, хранящего сами данные.

Обеспечьте шифрование данных при передаче

Использование HTTPS (TLS) помогает предотвратить подслушивание или манипулирование сетевым трафиком потенциальными злоумышленниками с помощью атаки «человек посередине» или аналогичных атак. Вы должны разрешить только зашифрованные соединения по HTTPS (TLS), используя условие aws:SecureTransport в политике ведра Amazon S3.

Надеюсь, вы получили базовое представление о лучших практиках безопасности S3.

Счастливого обучения 📚.

Спасибо!

Социальные следы:

  • Мой LinkedIn

  • Мой GitHub

Оцените статью
devanswers.ru
Добавить комментарий