7 най-добри практики за обезопасяване на AWS S3 съхранение

Както всички облачни услуги, вие носите отговорност за сигурността на облачното хранилище.


В тази част от статията ще обсъдим най-добрите съвети за осигуряване на AWS S3 съхранение.

Преди да видим съветите за осигуряване на AWS S3 съхранение, трябва да знаем защо е от решаващо значение. През 2017 г. тя беше изложила критични данни като частни социални медии сметки и класифицирани данни от Пентагона.

Оттогава всяка организация обръща голямо внимание на осигуряването на своите данни, съхранявани в AWS S3.

Това означава ли, че S3 е несигурно решение за съхранение от Amazon Web Services? Изобщо S3 е сигурно решение за съхранение, но зависи от потребителя как иска да защити своите данни.

Модел за споделена отговорност на AWS

Повечето решения, предлагани от обществения облак, предоставят модел на споделена отговорност. Това означава, че отговорността за сигурността на облачната платформа се поема от AWS, а клиентите в облака са отговорни за сигурността в облака.

Този споделен модел помага за смекчаване на нарушенията на данните. По-долу диаграмата показва общото отговорност на AWS и отговорността на клиента за осигуряване на данните.

Защитено съхранение на AWS S3

Проучете горната диаграма, за да се запознаете с отговорностите, които трябва да поемете. Превантивните мерки за осигуряване на S3 съхранение са от съществено значение, но всяка заплаха не може да бъде предотвратена. AWS предоставя няколко начина да ви помогнат активно да наблюдавате и да избегнете риска от нарушаване на данните.

Нека разгледаме следните най-добри практики за осигуряване на AWS S3 съхранение.

Създайте частна и обществена кофа

Когато създавате нова кофа, политиката на кофа по подразбиране е частна. Същото се прилага и за новите качени обекти. Ще трябва ръчно да предоставите достъп на субекта, който искате да получите достъп до данните.

Използвайки комбинацията от политики на кофата, политиките ACL и IAM предоставят правилния достъп на правилните единици. Но това ще стане сложно и трудно, ако държите както частни, така и публични обекти в една и съща кофа. Смесването на публични и частни обекти в една и съща кофа ще доведе до внимателен анализ на ACL, което ще доведе до загуба на вашето продуктивно време.

Прост подход е отделянето на обектите в обществена кофа и частна кофа. Създайте един публичен пакет с политика на кофата, за да предоставите достъп до всички обекти, съхранявани в него.

{
"ефект": "Позволява",
"основен": "*",
"действие": "S3: GetObject",
"средство": "Арн: AWS: S3 ::: YOURPUBLICBUCKET / *"
}

След това създайте друга кофа за съхраняване на частни обекти. По подразбиране целият достъп до кофата ще бъде блокиран за обществен достъп. След това можете да използвате политиките на IAM, за да предоставите достъп до тези обекти на конкретни потребители или достъп до приложения.

Шифроване на данни при почивка и транзит

За да защитите данните по време на почивка и транзит, активирайте криптиране. Можете да настроите това в AWS, за да криптира обекти на сървъра, преди да го съхранявате в S3.

Това може да се постигне с помощта на управлявани от AWS клавиши S3 или вашите ключове, създадени в услугата за управление на ключове. За да наложите криптиране на данни по време на транзит чрез използване на HTTPS протокол за всички операции с кофа, трябва да добавите кода по-долу в политиката на кофата.

{
"действие": "S3: *",
"ефект": "отричам",
"основен": "*",
"средство": "Арн: AWS: S3 ::: YOURBUCKETNAME / *",
"състояние": {
"Булева": { "AWS: SecureTransport": false}
}
}

Използвайте CloudTrail

CloudTrail е AWS услуга, която регистрира и поддържа следите от събития, случващи се в AWS услугите. Двата типа събития на CloudTrail са събития с данни и събития за управление. Събития с данни са деактивирани по подразбиране и са много по-подробни.

Събитията на управление се отнасят до създаване, изтриване или актуализиране на S3 кофи. И събитията с данни се отнасят до API обажданията, направени на обекти като PutObject, GetObject или GetObject.

За разлика от мениджърските събития, събитията за данни ще струват $ 0,10 на 100 000 събития.

Създавате конкретна пътека, за да регистрирате и наблюдавате S3 кофата си в даден регион или в световен мащаб. Тези пътеки ще съхраняват регистрационни файлове в кофата S3.

CloudWatch и сигнализиране

като CloudTrail настройката е чудесна за наблюдение, но ако трябва да имате контрол над алармата и самолечението, тогава използвайте CloudWatch. AWS CloudWatch предлага незабавно регистриране на събития.

Също така можете да настроите CloudTrail в групата от журнали на CloudWatch, за да създавате потоци от дневници. Наличието на събитие на CloudTrail в CloudWatch добавя някои мощни функции. Можете да настроите метричните филтри, за да активирате алармата на CloudWatch за подозрителни дейности.

Политика на жизнения цикъл на настройката

Настройването на политика за жизнения цикъл защитава вашите данни, както и ще ви спести пари. Чрез настройка на правилата за жизнения цикъл премествате нежеланите данни, за да ги направите частни, а по-късно ги изтривате. Това гарантира, че нежеланите данни вече не могат да бъдат достъпни от хакерите и да спестят парите, като освободят пространството. Активирайте политиката на жизнения цикъл, за да преместите данните от стандартното хранилище до AWS Glacier за спестяване на пари.

По-късно данните, съхранявани в ледника, могат да бъдат изтрити, ако не добавят повече стойност за вас или организацията.

S3 Блокирайте обществен достъп

AWS предприе стъпки за автоматизиране на функционалността за блокиране на обществен достъп до кофа, като преди това беше използвана комбинация от CloudWatch, CloudTrail и Lambda.

Има случаи, когато разработчиците случайно ще направят обектите или кофата за обществото. За да избегнете случайния достъп до публичност на кофата или предметите, тези функции са удобни.

Новата функция за настройка на обществен достъп за блокиране ще попречи на всеки да направи кофата публична. Можете да активирате тази настройка в конзолата AWS, както е показано в горното видео. Можете също да приложите тази настройка на ниво акаунт, както е обяснено във видеото по-долу.

Слушайте AWS Trusted Advisor

AWS доверен съветник е вградена функция, която се използва за анализ на AWS ресурси във вашия акаунт и препоръчва най-добрите практики.

Те предлагат препоръки в 5 категории; една от решаващите характеристики е сигурността. От февруари 2018 г. AWS ви предупреждава кога кофите S3 са публично достъпни.

Средства за сигурност на AWS от трети страни

Освен Amazon, има някаква трета страна, която предоставя инструменти за сигурност за защита на вашите данни. Те могат да ви спестят огромно време и да запазват данните едновременно. Някои от популярните инструменти са споменати по-долу:

Маймуна за сигурност

Това е инструмент, разработен от Netflix за следене на промените и предупрежденията на AWS, ако намери несигурни конфигурации. Маймуна за сигурност извършва няколко одити на S3, за да се увери, че са установени най-добрите практики. Той също така поддържа платформата на Google в облак.

Облачен попечител

Облачен попечител ви помага да управлявате ресурси в облак, съобразен с най-добрите практики. С прости думи, след като идентифицирате най-добрата практика, можете да използвате този инструмент за сканиране на ресурсите в облака, за да гарантирате, че той е изпълнен.

Ако те не са изпълнени, можете да използвате много опции за изпращане на сигнали или прилагане на липсващите правила.

Облачен Mapper

Duo Security създаде Облачен Mapper, което е чудесен облачен инструмент за визуализация и одит. Той има подобна функция на Security Monkey за извършване на сканиране на кофи S3 за всякакви неправилни конфигурации. Той предлага страхотно визуално представяне на вашата AWS инфраструктура, за да подобри идентифицирането на други проблеми.

И предлага отлично отчитане.

заключение

Тъй като по-голямата част от работата се извършва с помощта на данни, осигуряването им трябва да бъде едно от основните задължения.

Никога не може да се знае кога и как ще се случи нарушаването на данните. Затова винаги се препоръчва превантивно действие. По-добре бъдете безопасни, отколкото съжалявам. Сигурността на данните ще ви спести хиляди долари.

Ако сте новак в облака и се интересувате от изучаването на AWS, проверете това Удеми курс.

ЕТИКЕТИ:

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map