7 рекомендаций по защите хранилища AWS S3

Как и все облачные сервисы, вы должны взять на себя ответственность за безопасность облачного хранилища..


В этой части статьи мы обсудим лучшие советы по обеспечению безопасности хранилища AWS S3..

Прежде чем мы увидим советы по обеспечению безопасности хранилища AWS S3, мы должны знать, почему это важно. В 2017 году были выставлены важные данные, такие как частные социальные сети счета и секретные данные из Пентагона.

С тех пор каждая организация уделяет пристальное внимание защите своих данных, хранящихся в AWS S3..

Означает ли это, что S3 – это небезопасное решение для хранения данных от Amazon Web Services? Вовсе нет, S3 – это безопасное решение для хранения, но оно зависит от того, как пользователь хочет защитить свои данные..

Модель общей ответственности AWS

Большинство решений, предлагаемых общедоступным облаком, предоставляют модель общей ответственности. Это означает, что ответственность за безопасность облачной платформы берет на себя AWS, а клиенты облака отвечают за безопасность в облаке..

Эта общая модель помогает снизить вероятность утечки данных. На диаграмме ниже показано общее ответственность AWS и ответственность клиента за защиту данных.

Безопасное хранилище AWS S3

Изучите приведенную выше схему, чтобы ознакомиться с обязанностями, которые вы должны взять на себя. Профилактические меры по обеспечению безопасности хранилища S3 крайне важны, но предотвратить любую угрозу невозможно. AWS предоставляет несколько способов, чтобы помочь вам упреждающе отслеживать и избегать риска утечки данных..

Давайте рассмотрим следующие рекомендации по обеспечению безопасности хранилища AWS S3..

Создать приватное и публичное ведро

При создании нового сегмента политика по умолчанию является приватной. То же самое относится к новым загруженным объектам. Вам придется вручную предоставить доступ к объекту, который вы хотите получить доступ к данным.

Используя комбинацию политик сегментов, политики ACL и IAM предоставляют правильный доступ к нужным объектам. Но это станет сложным и сложным, если вы будете хранить как частные, так и публичные объекты в одном ведре. Сочетание как публичных, так и частных объектов в одном сегменте приведет к тщательному анализу ACL, что приведет к пустой трате вашего продуктивного времени..

Простым подходом является разделение объектов на общедоступное и частное ведра. Создайте одно общедоступное ведро с политикой ведра, чтобы предоставить доступ ко всем хранящимся в нем объектам..

{
"эффект": "Позволять",
"принципал": "*",
"действие": "s3: GetObject",
"Ресурс": "ARN: AWS: s3 ::: YOURPUBLICBUCKET / *"
}

Затем создайте еще одно ведро для хранения частных объектов. По умолчанию весь доступ к корзине будет заблокирован для публичного доступа. Затем вы можете использовать политики IAM для предоставления доступа к этим объектам конкретным пользователям или доступа к приложениям..

Шифрование данных в покое и транзит

Чтобы защитить данные во время отдыха и транзита, включите шифрование. Вы можете настроить это в AWS для шифрования объектов на стороне сервера перед сохранением в S3.

Это может быть достигнуто с помощью ключей S3 под управлением AWS по умолчанию или ключей, созданных в службе управления ключами. Чтобы обеспечить шифрование данных во время передачи с использованием протокола HTTPS для всех операций сегмента, необходимо добавить приведенный ниже код в политику сегмента..

{
"действие": "s3: *",
"эффект": "Отрицать",
"принципал": "*",
"Ресурс": "ARN: AWS: s3 ::: YOURBUCKETNAME / *",
"Состояние": {
"Bool": { "AWS: SecureTransport": ложный }
}
}

Используйте CloudTrail

CloudTrail – это сервис AWS, который регистрирует и отслеживает события, происходящие в сервисах AWS. Два типа событий CloudTrail – это события данных и события управления. События данных по умолчанию отключены и являются более детальными.

Управляющие события относятся к созданию, удалению или обновлению сегментов S3. А события Data относятся к вызовам API, выполненным для таких объектов, как PutObject, GetObject или GetObject..

В отличие от событий управления, события данных будут стоить $ 0,10 за 100 000 событий.

Вы создаете определенный трейл, чтобы регистрировать и отслеживать ваш сегмент S3 в заданном регионе или глобально. Эти следы будут хранить журналы в ведре S3.

CloudWatch и оповещения

имеющий CloudTrail Настройка отлично подходит для мониторинга, но если вам нужно контролировать оповещения и самовосстановление, используйте CloudWatch. AWS CloudWatch предлагает немедленную запись событий.

Кроме того, вы можете настроить CloudTrail в группе журналов CloudWatch для создания потоков журналов. Наличие события CloudTrail в CloudWatch добавляет некоторые мощные функции. Вы можете настроить метрические фильтры, чтобы включить CloudWatch Alarm для подозрительных действий.

Политика жизненного цикла установки

Настройка политики жизненного цикла защищает ваши данные, а также экономит ваши деньги. Установив политику жизненного цикла, вы перемещаете ненужные данные, чтобы сделать их конфиденциальными, а затем удаляете их. Это гарантирует, что хакеры больше не смогут получить доступ к нежелательным данным, и сэкономит деньги, освободив место. Включите политику жизненного цикла, чтобы переместить данные из стандартного хранилища в AWS Glacier для экономии средств.

Позже данные, хранящиеся в Glacier, могут быть удалены, если они больше не приносят пользы вам или организации..

S3 блокирует публичный доступ

AWS предпринял шаги для автоматизации функциональности, блокирующей публичный доступ к корзине, ранее использовалась комбинация CloudWatch, CloudTrail и Lambda..

Есть случаи, когда разработчики случайно делают объекты или ведра для публики. Чтобы избежать случайного доступа к раскрытию корзины или объектов, эти функции пригодятся.

Новая функция настройки общего доступа к блокам не позволит кому-либо сделать ведро общедоступным. Вы можете включить этот параметр в консоли AWS, как показано в приведенном выше видео. Вы также можете применить этот параметр на уровне учетной записи, как описано в видео ниже..

Слушайте AWS Trusted Advisor

AWS Trusted Advisor это встроенная функция, которая используется для анализа ресурсов AWS в вашей учетной записи и рекомендует лучшие практики.

Они предлагают рекомендации в 5 категориях; одной из важнейших функций является безопасность. С февраля 2018 года AWS предупреждает вас, когда корзины S3 сделаны общедоступными..

Сторонние инструменты безопасности AWS

Помимо Amazon, есть сторонняя компания, которая предоставляет инструменты безопасности для защиты ваших данных. Они могут сэкономить вам огромное количество времени и одновременно обеспечить безопасность данных. Некоторые из популярных инструментов упомянуты ниже:

Безопасность Обезьяна

Это инструмент, разработанный Netflix для мониторинга изменений политики AWS и оповещения, если он обнаруживает какие-либо небезопасные конфигурации. Безопасность Обезьяна выполняет несколько проверок на S3, чтобы убедиться, что лучшие практики внедрены. Он также поддерживает облачную платформу Google.

Хранитель облаков

Хранитель облаков помогает управлять ресурсами в облаке в соответствии с лучшими практиками. Проще говоря, после того как вы определили передовой опыт, вы можете использовать этот инструмент для сканирования ресурсов в облаке, чтобы убедиться, что он соответствует.

Если они не выполняются, вы можете использовать множество опций для отправки предупреждений или применения отсутствующих политик..

Cloud Mapper

Duo Security создал Cloud Mapper, это отличный инструмент для визуализации и аудита облаков. В нем реализована аналогичная функция Security Monkey для сканирования сегментов S3 на предмет любых неправильных настроек. Он предлагает отличное визуальное представление вашей инфраструктуры AWS, чтобы улучшить выявление дальнейших проблем.

И это предлагает отличную отчетность.

Вывод

Поскольку большая часть работы выполняется с использованием данных, обеспечение их безопасности должно быть одной из основных обязанностей.

Никогда нельзя знать, когда и как произойдет нарушение данных. Следовательно, профилактические меры всегда рекомендуются. Лучше быть в безопасности, чем потом сожалеть. Защита данных сэкономит вам тысячи долларов.

Если вы новичок в облаке и заинтересованы в изучении AWS, проверьте это Курс удэми.

TAGS:

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map