Az AWS S3 tárolásának 7 legjobb gyakorlata

Mint minden felhőszolgáltatás, a felhőalapú tárolás biztonságáért is felelősséget kell vállalnia.


Ebben a cikkben a legjobb tippeket tárgyaljuk az AWS S3 tárolásának biztosítása érdekében.

Mielőtt megnéznénk az AWS S3 tárolásának biztosítására vonatkozó tippeket, tudnunk kell, miért fontos. 2017-ben olyan kritikus adatokat tett közzé, mint például magán közösségi média számlák és minősített adatok a Pentagonból.

Azóta minden szervezet különös figyelmet fordít az AWS S3-ban tárolt adatainak biztonságára.

Ez azt jelenti, hogy az S3 az Amazon Web Services nem biztonságos tárolási megoldása? Egyáltalán nem, az S3 biztonságos tárolási megoldás, de attól függ, hogy a felhasználó hogyan szeretné biztonságosítani az adatait.

AWS megosztott felelősségvállalási modell

A nyilvános felhő által kínált legtöbb megoldás megosztott felelősségvállalási modellt kínál. Ez azt jelenti, hogy a felhőplatform biztonságáért az AWS gondoskodik, és a felhő ügyfelei felelősek a felhő biztonságáért.

Ez a megosztott modell hozzájárul az adatsértések elleni küzdelemhez. Az alábbi ábra az általános képet mutatja az AWS felelőssége és az ügyfél felelõssége az adatok biztonságáért.

Biztonságos AWS S3 tárolás

Tanulmányozza a fenti ábrát, hogy megismerkedjen a vállalt felelősséggel. Alapvető fontosságú az S3 tárolás biztonságos megelőzése, ám minden veszélyt nem lehet megelőzni. Az AWS néhány lehetőséget kínál az adatmegsértések proaktív figyelemmel kísérésére és elkerülésére.

Nézzük meg a következő bevált gyakorlatokat az AWS S3 tárolásának biztosításához.

Hozzon létre egy privát és nyilvános vödröt

Új vödör létrehozásakor az alapértelmezett vödör házirendje privát. Ugyanez vonatkozik a feltöltött új objektumokra. Manuálisan hozzáférést kell biztosítania ahhoz az entitáshoz, amelyhez hozzáférni kíván az adatokhoz.

A vödör házirendek kombinációjának használatával az ACL és az IAM házirendek biztosítják a megfelelő hozzáférést a megfelelő entitásokhoz. Ez azonban bonyolult és nehéz lesz, ha a magán- és a nyilvános objektumokat egyazon vödörben tartja. Ha a köz- és a magántulajdonban lévő tárgyakat ugyanabba a vödörbe keverjük, az ACL-ek gondos elemzéséhez vezet, ami a termelési idő pazarlásához vezet..

Egy egyszerű megközelítés az objektumok elkülönítése nyilvános vödörbe és magán vödörbe. Hozzon létre egy nyilvános vödröt egy vödör házirenddel, hogy hozzáférést biztosítson az abban tárolt összes objektumhoz.

{
"Hatás": "Lehetővé teszi",
"Fő": "*",
"Akció": "S3: GetObject",
"Forrás": "arn: AWS: s3 ::: YOURPUBLICBUCKET / *"
}

Ezután hozzon létre egy újabb vödröt a magán objektumok tárolására. Alapértelmezés szerint a vödörhez való minden hozzáférést letiltják a nyilvános hozzáférés érdekében. Ezután az IAM-házirendek segítségével megadhat hozzáférést ezekhez az objektumokhoz bizonyos felhasználók számára vagy az alkalmazáshoz való hozzáféréshez.

Adatok titkosítása nyugalomban és tranzitban

Az adatok pihenés és átutazás közbeni védelme érdekében engedélyezze a titkosítást. Az AWS-ben beállíthatja az objektumok titkosítását a kiszolgálói oldalon, mielőtt az S3-ban tárolja.

Ez elérhető az alapértelmezett AWS által kezelt S3 kulcsok vagy a Kulcskezelő szolgáltatásban létrehozott kulcsok használatával. Az adatok titkosításának érvényesítésére az átvitel során a HTTPS protokoll használatával az összes vödörművelethez, az alábbi kódot hozzá kell adnia a vödör házirendjéhez.

{
"Akció": "S3: *",
"Hatás": "Tagadni",
"Fő": "*",
"Forrás": "arn: AWS: s3 ::: YOURBUCKETNAME / *",
"Feltétel": {
"Bool": { "AWS: SecureTransport": hamis }
}
}

Használd a CloudTrail szolgáltatást

A CloudTrail egy AWS szolgáltatás, amely naplózza és fenntartja az AWS szolgáltatáson keresztül zajló események nyomvonalát. A CloudTrail események két típusa adat- és kezelési események. Az adat események alapértelmezés szerint le vannak tiltva, és sokkal részletesebbek.

A felügyeleti események az S3 vödrök létrehozására, törlésére vagy frissítésére vonatkoznak. És az Adat események olyan objektumokra hívott API-hívásokra vonatkoznak, mint például a PutObject, a GetObject vagy a GetObject..

A kezelési eseményektől eltérően, az adatszolgáltatások 0,10 dollárba kerülnek 100 000 eseményenként.

Hozzon létre egy speciális nyomvonalat az S3 vödör naplózására és figyelésére egy adott régióban vagy globálisan. Ezek a nyomvonalak naplókat tárolnak az S3 vödörben.

CloudWatch és riasztás

Miután CloudTrail A telepítés nagyszerű a figyeléshez, de ha ellenőrizni kell a riasztást és az öngyógyítást, akkor használja a CloudWatch alkalmazást. Az AWS CloudWatch azonnali naplózást kínál az eseményekről.

Beállíthatja a CloudTrail-t egy CloudWatch naplócsoporton belül naplófolyamok létrehozásához. A CloudTrail eseménynek a CloudWatch-ben való részvétele néhány hatékony funkcióval bővül. Beállíthatja a metrikus szűrőket, hogy engedélyezze a CloudWatch riasztását gyanús tevékenységek esetén.

Az életciklus-házirend beállítása

Az életciklus-házirend felállítása biztosítja az Ön adatait, és pénzt takarít meg. Az életciklus-házirend beállításával áthelyezi a nem kívánt adatokat privátvá, majd később törli azokat. Ez biztosítja, hogy a hackerek már nem férjenek hozzá a nem kívánt adatokhoz, és a hely megszabadításával pénzt takarítson meg. Engedélyezze az Életciklus házirendet, hogy pénzt takarítson meg az adatok átvitele a szokásos tárolóból az AWS Glacierbe.

Később a Gleccserben tárolt adatok törölhetők, ha azok nem jelentenek több értéket Önnek vagy szervezetének.

S3 nyilvános hozzáférés blokkolása

Az AWS lépéseket tett annak érdekében, hogy automatizálja a vödör nyilvános hozzáférésének blokkolását, korábban a CloudWatch, a CloudTrail és a Lambda kombinációját használták.

Vannak esetek, amikor a fejlesztők véletlenül elkészítik az objektumokat vagy vödröt a nyilvánosság számára. A vödör vagy tárgyak véletlenszerű hozzáférésének elkerülése érdekében ezek a funkciók hasznosak.

Az új nyilvános hozzáférés-blokkoló funkció megakadályozza, hogy bárki nyilvánosvá tegye a vödröt. Engedélyezheti ezt a beállítást az AWS konzolban, a fenti videó szerint. Ezt a beállítást fiókszinten is alkalmazhatja, amint azt az alábbi videó ismerteti.

Hallgassa meg az AWS megbízható tanácsadóját

AWS megbízható tanácsadó egy beépített szolgáltatás, amelyet a fiókjában található AWS-erőforrások elemzéséhez használ, és a legjobb gyakorlatokat javasolja.

5 kategóriában nyújtanak ajánlásokat; az egyik kulcsfontosságú tulajdonság a biztonság. 2018. február óta az AWS figyelmeztet, amikor az S3 vödröket nyilvánosan elérhetővé teszik.

Harmadik féltől származó AWS biztonsági eszközök

Az Amazonon kívül van néhány harmadik fél, amely biztonsági eszközöket biztosít az Ön adatainak biztonságához. Óriási időt takaríthat meg, és ezzel egyidőben megőrizheti az adatokat. Néhány népszerű eszköz az alábbiakban található:

Biztonsági majom

Ez egy olyan eszköz, amelyet a Netflix fejlesztett ki az AWS házirend változásainak figyelésére és figyelmeztetésekre, ha bizonytalan konfigurációkat talál.. Biztonsági majom néhány ellenőrzést hajt végre az S3-on annak biztosítása érdekében, hogy a legjobb gyakorlatok érvényesek legyenek. Támogatja a Google Cloud Platformot is.

Cloud Custodian

Cloud Custodian segít az erőforrások kezelésében a felhőben, összhangban a bevált gyakorlatokkal. Egyszerű szavakkal: miután meghatározta a legjobb gyakorlatot, ezt az eszközt felhasználhatja a felhőben található erőforrások átvizsgálására annak biztosítása érdekében, hogy az teljesüljön.

Ha ezek nem teljesülnek, számos lehetőséget használhat riasztások küldésére vagy a hiányzó politikák érvényesítésére.

Cloud Mapper

A Duo Security létrehozta a Cloud Mapper, amely nagyszerű felhőmegjelenítési és -ellenőrző eszköz. Hasonló biztonsági funkcióval rendelkezik a Security Monkey, hogy elvégezze az S3 vödrök esetleges hibás konfigurációinak vizsgálatát. Kiváló vizuális ábrázolást kínál az AWS-infrastruktúrának, hogy javítsa a további problémák azonosítását.

Kiváló jelentéstételt kínál.

Következtetés

Mivel a munka nagy részét adatok felhasználásával végzik, az adatvédelemnek az egyik legfontosabb feladatnak kell lennie.

Soha nem lehet tudni, hogy mikor és hogyan fog történni az adatsértés. Ezért mindig javasolt a megelőzés. Jobban biztonságos, mint sajnálom. Az adatok védelme ezer dollárt takarít meg.

Ha még nem ismeri a felhőt, és szeretne AWS-t tanulni, akkor nézd meg ezt Udemy tanfolyam.

CÍMKÉK:

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map