7 cele mai bune practici pentru securizarea stocării AWS S3

La fel ca toate serviciile cloud, trebuie să vă asumați responsabilitatea pentru securizarea stocării în cloud.


În acest articol, vom discuta despre cele mai bune sfaturi pentru a asigura stocarea AWS S3.

Înainte de a vedea sfaturile pentru securizarea stocării AWS S3, ar trebui să știm de ce este crucial. În 2017, a expus date critice, cum ar fi media socială privată conturi și date clasificate din Pentagon.

De atunci, fiecare organizație acordă o atenție deosebită securizării datelor stocate în AWS S3.

Asta înseamnă că S3 este o soluție nesigură de stocare de la Amazon Web Services? Deloc, S3 este o soluție de stocare sigură, dar depinde de utilizator cum vor să-și securizeze datele.

Model de responsabilitate comună AWS

Majoritatea soluțiilor oferite de cloud-ul public oferă un model de responsabilitate partajată. Aceasta înseamnă că responsabilitatea pentru securitatea platformei cloud este îngrijită de AWS, iar clienții din cloud sunt responsabili de securitatea în cloud.

Acest model partajat ajută la atenuarea încălcărilor de date. Diagrama de mai jos arată generalul responsabilitatea AWS și responsabilitatea clientului pentru securizarea datelor.

Stocare securizată AWS S3

Studiați diagrama de mai sus pentru a vă familiariza cu responsabilitățile pe care trebuie să le asumați. Măsurile preventive pentru a asigura stocarea S3 sunt esențiale, dar orice amenințare nu poate fi prevenită. AWS oferă câteva modalități de a vă ajuta să monitorizați proactiv și să evitați riscul încălcării datelor.

Să ne uităm la următoarele bune practici pentru a asigura stocarea AWS S3.

Creați o găleată privată și publică

Când creați o nouă bucketă, politica standard de bucket este privată. Același lucru este valabil și pentru obiectele noi încărcate. Va trebui să acordați manual accesul la entitatea la care doriți să accesați datele.

Prin utilizarea combinației de politici de bucle, politicile ACL și IAM oferă accesul corect la entitățile potrivite. Dar, acest lucru va deveni complex și greu dacă țineți obiecte private și publice în aceeași găleată. Amestecând atât obiectele publice cât și cele private în aceeași găleată va duce la o analiză atentă a ACL-urilor, ceea ce va duce la pierderea timpului dvs. productiv..

O abordare simplă este separarea obiectelor într-o găleată publică și cupă privată. Creați o singură găleată publică cu o politică de găleată pentru a acorda acces la toate obiectele stocate în ea.

{
"Efect": "Permite",
"Principal": "*",
"Acțiune": "s3: GetObject",
"Resursă": "AWS: ARN: s3 ::: YOURPUBLICBUCKET / *"
}

Apoi, creați o altă găleată pentru a stoca obiecte private. În mod implicit, tot accesul la găleată va fi blocat pentru accesul publicului. Puteți utiliza apoi politicile IAM pentru a acorda acces la aceste obiecte anumitor utilizatori sau acces la aplicații.

Criptarea datelor în repaus și în tranzit

Pentru a proteja datele în timpul repausului și al tranzitului, activați criptarea. Puteți configura acest lucru în AWS pentru a cripta obiecte pe serverele-sider înainte de a le stoca în S3.

Acest lucru poate fi realizat folosind cheile S3 administrate AWS implicit sau cheile create în Serviciul de gestionare a cheilor. Pentru a impune criptarea datelor în timpul tranzitului folosind protocolul HTTPS pentru toate operațiunile cu găleată, trebuie să adăugați codul de mai jos în politica de găleată.

{
"Acțiune": "s3: *",
"Efect": "tăgădui",
"Principal": "*",
"Resursă": "AWS: ARN: s3 ::: YOURBUCKETNAME / *",
"Condiție": {
"bool": { "AWS: SecureTransport": fals }
}
}

Utilizați CloudTrail

CloudTrail este un serviciu AWS care înregistrează și menține urmele evenimentelor care au loc pe toate serviciile AWS. Cele două tipuri de evenimente CloudTrail sunt evenimente de date și evenimente de gestionare. Evenimentele de date sunt dezactivate implicit și sunt mult mai granulare.

Evenimentele de gestionare se referă la crearea, ștergerea sau actualizarea găleților S3. Și evenimentele Data se referă la apelurile API făcute pe obiecte precum PutObject, GetObject sau GetObject.

Spre deosebire de evenimentele de management, evenimentele de date vor costa 0,10 USD la 100 000 de evenimente.

Creați un traseu specific pentru a vă jurnaliza și monitoriza cupa S3 într-o anumită regiune sau la nivel global. Aceste trasee vor păstra jurnalele în găleata S3.

CloudWatch și alertare

Având CloudTrail configurarea este excelentă pentru monitorizare, dar dacă doriți să controlați alertele și vindecarea de sine, atunci utilizați CloudWatch. AWS CloudWatch oferă înregistrarea imediată a evenimentelor.

De asemenea, puteți configura CloudTrail în cadrul unui grup de jurnal CloudWatch pentru a crea fluxuri de jurnal. Dacă aveți un eveniment CloudTrail în CloudWatch adăugați câteva caracteristici puternice. Puteți configura filtrele metrice pentru a activa alarma CloudWatch pentru activități suspecte.

Configurare Politică de ciclu de viață

Configurarea unei politici privind ciclul de viață securizează datele dvs., precum și economisirea de bani. Prin configurarea politicii de ciclu de viață, mutați datele nedorite pentru a le face private și ulterior ștergeți-le. Acest lucru asigură că datele nedorite nu mai pot fi accesate de hackeri și economisiți banii prin eliberarea spațiului. Activați politica de tip de viață pentru a muta datele din stocarea standard în AWS Glacier pentru economisirea de bani.

Ulterior, datele stocate în ghețar pot fi șterse dacă nu adaugă valoare pentru dvs. sau organizație.

S3 Block Public Access

AWS a făcut măsuri pentru automatizarea funcționalității pentru a bloca accesul public al unei găleți, anterior a fost utilizată o combinație de CloudWatch, CloudTrail și Lambda..

Există cazuri în care dezvoltatorii vor face public accidental obiectele sau găleata. Pentru a evita accesul accidental la publicitatea găleții sau a obiectelor, aceste caracteristici vin la îndemână.

Noua funcție de setare a accesului public în bloc va împiedica pe oricine să facă găleata să fie publică. Puteți activa această setare în consola AWS, așa cum se arată în videoclipul de mai sus. Puteți aplica această setare la nivelul contului, așa cum este explicat în videoclipul de mai jos.

Ascultați consilierul de încredere AWS

Consilier de încredere AWS este o caracteristică încorporată care este utilizată pentru a analiza resursele AWS din contul dvs. și recomandă cele mai bune practici.

Acestea oferă recomandări în 5 categorii; una dintre caracteristicile cruciale este securitatea. Începând din februarie 2018, AWS vă avertizează când gălețile S3 sunt accesibile publicului.

Instrumente de securitate terță parte AWS

În afară de Amazon, există o parte terță care oferă instrumente de securitate pentru securizarea datelor. Vă pot economisi timp extraordinar și pot păstra datele în siguranță în același timp. Unele dintre instrumentele populare sunt menționate mai jos:

Maimuta de securitate

Este un instrument dezvoltat de Netflix pentru a monitoriza modificările și alertele politicii AWS dacă găsește configurații nesigure. Maimuta de securitate efectuează câteva audituri pe S3 pentru a asigura că există cele mai bune practici. De asemenea, acceptă platforma Google Cloud.

Custodian nor

Custodian nor vă ajută să gestionați resursele într-un nor aliniat celor mai bune practici. În cuvinte simple, după ce ați identificat cele mai bune practici, puteți utiliza acest instrument pentru a scana resursele din cloud pentru a vă asigura că este îndeplinit.

Dacă nu sunt îndeplinite, puteți utiliza multe opțiuni pentru a trimite alerte sau pentru a aplica polițele lipsă.

Cloud Mapper

Duo Security a creat Cloud Mapper, care este un instrument excelent de vizualizare și auditare a norilor. Poartă o caracteristică similară cu Security Monkey pentru a efectua scanarea găleților S3 pentru orice configurare greșită. Acesta oferă o reprezentare vizuală excelentă a infrastructurii dvs. AWS pentru a îmbunătăți identificarea problemelor suplimentare.

Și oferă raportări excelente.

Concluzie

Întrucât cea mai mare parte a lucrărilor este realizată folosind date, securizarea acestora ar trebui să fie una dintre responsabilitățile de bază.

Nu se poate ști niciodată când și cum se va întâmpla încălcarea datelor. Prin urmare, o acțiune preventivă este întotdeauna recomandată. Mai bine să fii în siguranță decât să-mi pară rău. Securizarea datelor vă va economisi mii de dolari.

Dacă sunteți nou în cloud și sunteți interesat să învățați AWS, verificați acest lucru Curs Udemy.

ETICHETE:

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map