7 Best Practices zum Sichern des AWS S3-Speichers

Wie bei allen Cloud-Diensten müssen Sie die Verantwortung für die Sicherung des Cloud-Speichers übernehmen.


In diesem Artikel werden die besten Tipps zum Sichern des AWS S3-Speichers erläutert.

Bevor wir die Tipps zum Sichern des AWS S3-Speichers sehen, sollten wir wissen, warum dies wichtig ist. Im Jahr 2017 hatte es kritische Daten wie z private soziale Medien Konten und klassifizierte Daten aus dem Pentagon.

Seitdem achtet jede Organisation besonders auf die Sicherung ihrer im AWS S3 gespeicherten Daten.

Bedeutet das, dass S3 eine unsichere Speicherlösung von Amazon Web Services ist? S3 ist überhaupt keine sichere Speicherlösung, aber es hängt vom Benutzer ab, wie er seine Daten sichern möchte.

AWS-Modell für gemeinsame Verantwortung

Die meisten von der öffentlichen Cloud angebotenen Lösungen bieten ein gemeinsames Verantwortungsmodell. Dies bedeutet, dass AWS die Verantwortung für die Sicherheit der Cloud-Plattform übernimmt und die Cloud-Kunden für die Sicherheit in der Cloud verantwortlich sind.

Dieses gemeinsame Modell hilft, Datenverletzungen zu vermeiden. Das folgende Diagramm zeigt das Allgemeine Verantwortung der AWS und die Verantwortung des Kunden für die Sicherung der Daten.

Sicherer AWS S3-Speicher

Sehen Sie sich das obige Diagramm an, um sich mit den Aufgaben vertraut zu machen, die Sie übernehmen müssen. Vorbeugende Maßnahmen zur Sicherung des S3-Speichers sind unerlässlich, aber jede Bedrohung kann nicht verhindert werden. AWS bietet einige Möglichkeiten, mit denen Sie das Risiko von Datenverletzungen proaktiv überwachen und vermeiden können.

Schauen wir uns die folgenden Best Practices zum Sichern des AWS S3-Speichers an.

Erstellen Sie einen privaten und öffentlichen Bucket

Wenn Sie einen neuen Bucket erstellen, ist die Standard-Bucket-Richtlinie privat. Gleiches gilt für die neu hochgeladenen Objekte. Sie müssen der Entität, auf die Sie zugreifen möchten, manuell Zugriff gewähren.

Durch die Verwendung der Kombination von Bucket-Richtlinien bieten ACL- und IAM-Richtlinien den richtigen Zugriff auf die richtigen Entitäten. Dies wird jedoch komplex und schwierig, wenn Sie sowohl private als auch öffentliche Objekte im selben Eimer aufbewahren. Wenn Sie sowohl öffentliche als auch private Objekte in einem Bucket mischen, werden die ACLs sorgfältig analysiert, was zu einer Verschwendung Ihrer produktiven Zeit führt.

Ein einfacher Ansatz besteht darin, die Objekte in einen öffentlichen und einen privaten Bucket zu unterteilen. Erstellen Sie einen einzelnen öffentlichen Bucket mit einer Bucket-Richtlinie, um Zugriff auf alle darin gespeicherten Objekte zu gewähren.

{
"Bewirken":: "ermöglichen",
"Schulleiter":: "* *",
"Aktion":: "s3: GetObject",
"Ressource":: "arn: aws: s3 ::: YOURPUBLICBUCKET / *"
}}

Erstellen Sie als Nächstes einen weiteren Bucket zum Speichern privater Objekte. Standardmäßig wird der gesamte Zugriff auf den Bucket für den öffentlichen Zugriff gesperrt. Sie können dann die IAM-Richtlinien verwenden, um bestimmten Benutzern oder Anwendungen Zugriff auf diese Objekte zu gewähren.

Verschlüsseln von Daten in Ruhe und Transit

Aktivieren Sie die Verschlüsselung, um Daten während der Ruhephase und des Transports zu schützen. Sie können dies in AWS einrichten, um Objekte auf dem Server zu verschlüsseln, bevor Sie es in S3 speichern.

Dies kann mit Standard-AWS-verwalteten S3-Schlüsseln oder Ihren im Schlüsselverwaltungsdienst erstellten Schlüsseln erreicht werden. Um die Datenverschlüsselung während der Übertragung mithilfe des HTTPS-Protokolls für alle Bucket-Vorgänge zu erzwingen, müssen Sie den folgenden Code in die Bucket-Richtlinie einfügen.

{
"Aktion":: "s3: *",
"Bewirken":: "Verweigern",
"Schulleiter":: "* *",
"Ressource":: "arn: aws: s3 ::: YOURBUCKETNAME / *",
"Bedingung": {
"Bool": { "aws: SecureTransport": false}
}}
}}

Verwenden Sie CloudTrail

CloudTrail ist ein AWS-Service, der die Ereignisse protokolliert und verwaltet, die in den AWS-Services stattfinden. Die beiden Arten von CloudTrail-Ereignissen sind Datenereignisse und Verwaltungsereignisse. Datenereignisse sind standardmäßig deaktiviert und wesentlich detaillierter.

Die Verwaltungsereignisse beziehen sich auf das Erstellen, Löschen oder Aktualisieren von S3-Buckets. Die Datenereignisse beziehen sich auf die API-Aufrufe, die für Objekte wie PutObject, GetObject oder GetObject ausgeführt werden.

Im Gegensatz zu Verwaltungsereignissen kosten Datenereignisse 0,10 USD pro 100.000 Ereignisse.

Sie erstellen einen bestimmten Pfad, um Ihren S3-Bucket in einer bestimmten Region oder global zu protokollieren und zu überwachen. Diese Trails speichern Protokolle im S3-Bucket.

CloudWatch und Alarmierung

Haben CloudTrail Das Setup eignet sich hervorragend für die Überwachung. Wenn Sie jedoch die Kontrolle über Alarmierung und Selbstheilung benötigen, verwenden Sie CloudWatch. AWS CloudWatch bietet die sofortige Protokollierung von Ereignissen.

Sie können CloudTrail auch in einer CloudWatch-Protokollgruppe einrichten, um Protokolldatenströme zu erstellen. Ein CloudTrail-Ereignis in der CloudWatch bietet einige leistungsstarke Funktionen. Sie können die Metrikfilter so einrichten, dass der CloudWatch-Alarm für verdächtige Aktivitäten aktiviert wird.

Lebenszyklusrichtlinie einrichten

Durch das Einrichten einer Lebenszyklusrichtlinie werden Ihre Daten gesichert und Sie sparen Geld. Durch das Einrichten der Lebenszyklusrichtlinie verschieben Sie die unerwünschten Daten, um sie privat zu machen, und löschen sie später. Dies stellt sicher, dass die Hacker nicht mehr auf die unerwünschten Daten zugreifen können, und spart Geld, indem der Speicherplatz freigegeben wird. Aktivieren Sie die Lifecycle-Richtlinie, um die Daten aus dem Standardspeicher in AWS Glacier zu verschieben und Geld zu sparen.

Später können die im Gletscher gespeicherten Daten gelöscht werden, wenn sie Ihnen oder Ihrer Organisation keinen Mehrwert mehr bieten.

S3 Öffentlichen Zugriff blockieren

AWS hat Schritte unternommen, um die Funktionalität zum Blockieren des öffentlichen Zugriffs auf einen Bucket zu automatisieren. Bisher wurde eine Kombination aus CloudWatch, CloudTrail und Lambda verwendet.

Es gibt Fälle, in denen Entwickler die Objekte oder den Bucket versehentlich der Öffentlichkeit zugänglich machen. Diese Funktionen sind praktisch, um den versehentlichen Zugriff auf die Veröffentlichung des Eimers oder der Objekte zu vermeiden.

Die neue Funktion zum Festlegen des öffentlichen Zugriffs blockiert, dass niemand den Bucket öffentlich machen kann. Sie können diese Einstellung in der AWS-Konsole aktivieren, wie im obigen Video gezeigt. Sie können diese Einstellung auch auf Kontoebene anwenden, wie im folgenden Video erläutert.

Hören Sie sich AWS Trusted Advisor an

AWS Trusted Advisor ist eine integrierte Funktion, mit der die AWS-Ressourcen in Ihrem Konto analysiert und die Best Practices empfohlen werden.

Sie bieten Empfehlungen in 5 Kategorien; Eines der entscheidenden Merkmale ist die Sicherheit. Seit Februar 2018 benachrichtigt Sie AWS, wenn die S3-Buckets öffentlich zugänglich gemacht werden.

AWS-Sicherheitstools von Drittanbietern

Außer Amazon gibt es einige Drittanbieter, die Sicherheitstools zum Schutz Ihrer Daten bereitstellen. Sie können Ihnen enorme Zeit sparen und gleichzeitig die Daten schützen. Einige der beliebtesten Tools sind unten aufgeführt:

Sicherheitsaffe

Es ist ein von Netflix entwickeltes Tool zur Überwachung der AWS-Richtlinienänderungen und Warnungen, wenn unsichere Konfigurationen gefunden werden. Sicherheitsaffe führt einige Audits für S3 durch, um sicherzustellen, dass die Best Practices vorhanden sind. Es unterstützt auch die Google Cloud Platform.

Wolkendepot

Wolkendepot hilft Ihnen bei der Verwaltung von Ressourcen in einer Cloud, die den Best Practices entspricht. Mit einfachen Worten, sobald Sie die Best Practice ermittelt haben, können Sie mit diesem Tool die Ressourcen in der Cloud scannen, um sicherzustellen, dass sie eingehalten werden.

Wenn sie nicht erfüllt sind, können Sie viele Optionen verwenden, um Warnungen zu senden oder die fehlenden Richtlinien durchzusetzen.

Cloud Mapper

Duo Security hat das erstellt Cloud Mapper, Dies ist ein großartiges Tool zur Cloud-Visualisierung und -Auditierung. Es verfügt über eine ähnliche Funktion von Security Monkey, mit der S3-Buckets auf Fehlkonfigurationen überprüft werden können. Es bietet eine hervorragende visuelle Darstellung Ihrer AWS-Infrastruktur, um weitere Probleme besser identifizieren zu können.

Und es bietet eine hervorragende Berichterstattung.

Fazit

Da die meisten Arbeiten mit Daten ausgeführt werden, sollte deren Sicherung eine der Kernaufgaben sein.

Man kann nie wissen, wann und wie die Datenverletzung passieren wird. Daher wird immer eine vorbeugende Maßnahme empfohlen. Lieber auf Nummer sicher gehen. Durch das Sichern der Daten sparen Sie Tausende von Dollar.

Wenn Sie neu in der Cloud sind und AWS lernen möchten, lesen Sie dies Udemy natürlich.

STICHWORTE:

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map