7 beste praktyke om AWS S3-berging te beveilig

Soos alle wolkdienste, moet u verantwoordelikheid neem om wolkberging te beveilig.


In hierdie artikel bespreek ons ​​die beste wenke om AWS S3-stoorplek te beveilig.

Voordat ons die wenke vir die beveiliging van AWS S3-berging sien, moet ons weet waarom dit van uiterste belang is. In 2017 het dit kritiese data soos blootgestel private sosiale media rekeninge en geklassifiseerde gegewens uit die Pentagon.

Sedertdien gee elke organisasie baie aandag daaraan om hul data wat in die AWS S3 gestoor is, te beveilig.

Beteken dit dat S3 ‘n onveilige stooroplossing van Amazon Web Services is? Glad nie, S3 is ‘n veilige bergingsoplossing, maar dit hang af van die gebruiker hoe hy hul data wil beveilig.

AWS-model vir gedeelde verantwoordelikhede

Die meeste oplossings wat deur die openbare wolk aangebied word, bied ‘n model vir gedeelde verantwoordelikheid. Dit beteken die verantwoordelikheid vir die veiligheid van die wolkplatform word deur AWS versorg, en die wolkliënte is verantwoordelik vir die veiligheid in die wolk.

Hierdie gedeelde model help om die data-oortredings te verminder. Die onderstaande diagram toon die algemene verantwoordelikheid van die AWS en die verantwoordelikheid van die kliënt vir die beveiliging van die data.

Veilige AWS S3-berging

Bestudeer die bostaande diagram om u vertroud te maak met die verantwoordelikhede wat u moet neem. Voorkomende maatreëls om S3-berging te beveilig, is noodsaaklik, maar elke bedreiging kan nie voorkom word nie. AWS bied ‘n paar maniere om u te help om die risiko van data-oortredings proaktief te monitor en te vermy.

Kom ons kyk na die volgende beste praktyke om AWS S3-berging te beveilig.

Skep ‘n privaat en openbare emmer

As u ‘n nuwe emmer maak, is die standaardboodsbeleid privaat. Dieselfde geld vir die nuwe voorwerpe wat opgelaai is. U moet met die hand toegang verleen aan die entiteit waartoe u toegang tot die data wil verkry.

Deur die kombinasie van emmerbeleide te gebruik, gee ACL- en IAM-beleid die regte toegang tot die regte entiteite. Dit sal egter ingewikkeld en moeilik raak as u privaat en openbare voorwerpe in dieselfde emmer hou. Deur beide openbare en private voorwerpe in dieselfde emmer te meng, sal dit lei tot ‘n noukeurige ontleding van ACL’s, wat lei tot ‘n vermorsing van u produktiewe tyd.

‘N Eenvoudige benadering is om die voorwerpe in ‘n openbare emmer en ‘n privaat emmer te skei. Skep ‘n enkele openbare emmer met ‘n emmerbeleid om toegang te verleen tot al die voorwerpe wat daarin gestoor is.

{
"effek": "laat",
"skoolhoof": "*",
"aksie": "s3: aangestuur vir GetObject",
"hulpbron": "ARN: AWS: S3 ::: YOURPUBLICBUCKET / *"
}

Skep nou weer ‘n emmer om private voorwerpe te stoor. Standaard word al die toegang tot die emmer geblokkeer vir openbare toegang. U kan dan die IAM-beleid gebruik om toegang tot hierdie voorwerpe aan spesifieke gebruikers of toegang tot toepassings te verleen.

Enkripteer data tydens rus en vervoer

Aktiveer kodering om data tydens rus en vervoer te beskerm. U kan dit in AWS opstel om voorwerpe op servers-sider te versleut voordat u dit in S3 stoor.

Dit kan bereik word met behulp van standaard AWS-bestuurde S3-sleutels of u sleutels wat in die Key Management Service gemaak is. Om die kodering van data tydens vervoer af te dwing deur die HTTPS-protokol te gebruik vir al die emmertjie-aksies, moet u die onderstaande kode in die emmerbeleid voeg.

{
"aksie": "s3: *",
"effek": "ontken",
"skoolhoof": "*",
"hulpbron": "ARN: AWS: S3 ::: YOURBUCKETNAME / *",
"toestand": {
"Bool": { "AWS: SecureTransport": onwaar }
}
}

Gebruik CloudTrail

CloudTrail is ‘n AWS-diens wat die spoor van gebeure wat regoor die AWS-dienste plaasvind, aanteken en onderhou. Die twee tipes CloudTrail-gebeure is data-gebeure en bestuursgeleenthede. Data-gebeure is standaard gedeaktiveer en is baie meer korrelig.

Die bestuursgebeurtenisse verwys na die skep, uitvee of opdatering van S3-emmers. En die Data-gebeure verwys na die API-oproepe wat gemaak word op voorwerpe soos PutObject, GetObject of GetObject.

Anders as bestuursgebeurtenisse, sal data-gebeure $ 0,10 per 100,000-geleenthede kos.

U skep ‘n spesifieke roete om u S3-emmer aan te teken en te monitor in ‘n gegewe streek of wêreldwyd. Hierdie roetes stoor houtblokke in die S3-emmer.

CloudWatch en waarskuwing

met CloudTrail instelling is ideaal om te monitor, maar as u beheer moet hê oor waarskuwing en selfgenesing, gebruik dan CloudWatch. AWS CloudWatch bied onmiddellike aanmelding van gebeure.

U kan ook CloudTrail instel in ‘n CloudWatch-loggroep om logstrome te skep. Om ‘n CloudTrail-geleentheid in die CloudWatch te hou, voeg ‘n aantal kragtige funksies by. U kan die metrieke filters instel om CloudWatch-alarm in te skakel vir verdagte aktiwiteite.

Stel die lewenssiklusbeleid op

Die opstel van ‘n lewensiklusbeleid verseker u data en bespaar u geld. Deur die lewensiklusbeleid op te stel, skuif u die ongewenste data om dit privaat te maak en later te verwyder. Dit verseker dat die ongewenste data nie meer deur die hackers verkry kan word nie, en die geld bespaar deur die ruimte te bevry. Aktiveer die lewensiklusbeleid om die data vanaf die standaardberging na AWS Glacier te skuif om geld te bespaar.

Later kan die data wat in die Glacier gestoor is, uitgevee word as dit nie meer waarde vir u of u organisasie toevoeg nie.

S3 blokkeer openbare toegang

AWS het stappe gedoen om die funksionaliteit te outomatiseer om openbare toegang tot ‘n emmer te blokkeer, voorheen is ‘n kombinasie van CloudWatch, CloudTrail en Lambda gebruik.

Daar is gevalle waar ontwikkelaars per ongeluk die voorwerpe of die emmer aan die publiek sal maak. Om die toevallige toegang tot die openbaarmaking van die emmer of voorwerpe te vermy, is hierdie funksies handig te pas.

Die nuwe blokkeerfunksie vir openbare toegang sal verhoed dat iemand die emmer openbaar maak. U kan hierdie instelling in die AWS-konsole inskakel, soos in die bostaande video getoon. U kan hierdie instelling ook op rekeningvlak toepas, soos in die onderstaande video verduidelik.

Luister na AWS Trusted Advisor

AWS betroubare adviseur is ‘n ingeboude funksie wat gebruik word om die AWS-bronne binne u rekening te ontleed en die beste praktyke aanbeveel.

Hulle bied aanbevelings in vyf kategorieë; een van die belangrikste kenmerke is sekuriteit. Sedert Februarie 2018 waarsku AWS u wanneer die S3-emmers in die openbaar toeganklik gemaak word.

AWS-sekuriteitsinstrumente van derdepartye

Anders as Amazon, is daar ‘n derde party wat sekuriteitsinstrumente bied om u data te beveilig. Dit kan u geweldige tyd bespaar en die data terselfdertyd veilig hou. Hieronder word enkele van die gewilde instrumente genoem:

Sekuriteitsap

Dit is ‘n instrument wat deur Netflix ontwikkel is om die AWS-beleidveranderings en -waarskuwings te monitor as dit onveilige konfigurasies vind. Sekuriteitsap voer ‘n paar oudits uit op S3 om te verseker dat die beste praktyke in plek is. Dit ondersteun ook die Google Cloud Platform.

Wolkbewaarder

Wolkbewaarder help u om bronne in ‘n wolk te bestuur wat in lyn is met die beste praktyke. In eenvoudige woorde, sodra u die beste praktyk geïdentifiseer het, kan u hierdie hulpmiddel gebruik om die bronne in die wolk te skandeer om te verseker dat dit nagekom word.

As daar nie aan hulle voldoen word nie, kan u baie opsies gebruik om waarskuwings te stuur of om die ontbrekende beleide af te dwing.

Cloud Mapper

Duo Security het die Cloud Mapper, wat ‘n uitstekende hulpmiddel vir wolkvisualisering en -oudit is. Dit bevat ‘n soortgelyke kenmerk van Security Monkey om die S3-emmers te scan vir enige verkeerde konfigurasies. Dit bied ‘n uitstekende visuele voorstelling van u AWS-infrastruktuur om die identifisering van verdere probleme te verbeter.

En dit bied uitstekende verslaggewing.

Afsluiting

Aangesien die meeste van die werk met behulp van data verrig word, moet die beveiliging daarvan een van die belangrikste verantwoordelikhede wees.

‘N Mens kan nooit weet wanneer en hoe die data-oortreding gaan gebeur nie. Daarom word altyd ‘n voorkomende werking aanbeveel. Beter wees veilig as jammer. Deur die data te beveilig, kan u duisende dollars bespaar.

As u nuut is in die wolk en belangstel om AWS te leer, gaan kyk gerus Udemy-kursus.

Tags:

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map