7 Best practice per proteggere lo storage AWS S3

Come tutti i servizi cloud, devi assumerti la responsabilità di proteggere l’archiviazione cloud.


In questo articolo, discuteremo i migliori consigli per proteggere lo storage AWS S3.

Prima di vedere i suggerimenti per proteggere lo storage AWS S3, dovremmo sapere perché è fondamentale. Nel 2017 aveva esposto dati critici come social media privati conti e dati classificati dal Pentagono.

Da allora, ogni organizzazione presta molta attenzione alla protezione dei dati archiviati in AWS S3.

Significa che S3 è una soluzione di archiviazione non sicura di Amazon Web Services? Niente affatto, S3 è una soluzione di archiviazione sicura, ma dipende dall’utente come desidera proteggere i propri dati.

Modello di responsabilità condivisa di AWS

La maggior parte delle soluzioni offerte dal cloud pubblico fornisce un modello di responsabilità condivisa. Ciò significa che AWS si occupa della sicurezza della piattaforma cloud e che i clienti del cloud sono responsabili della sicurezza nel cloud.

Questo modello condiviso aiuta a mitigare le violazioni dei dati. Il diagramma seguente mostra il generale responsabilità dell’AWS e la responsabilità del cliente per la sicurezza dei dati.

Archiviazione AWS S3 sicura

Studia il diagramma sopra per familiarizzare con le responsabilità che devi assumerti. Le misure preventive per proteggere l’archiviazione S3 sono essenziali, ma non è possibile prevenire ogni minaccia. AWS offre alcuni modi per aiutarti a monitorare in modo proattivo ed evitare il rischio di violazione dei dati.

Diamo un’occhiata alle seguenti best practice per proteggere lo storage AWS S3.

Crea un bucket pubblico e privato

Quando si crea un nuovo bucket, il criterio bucket predefinito è privato. Lo stesso vale per i nuovi oggetti caricati. Dovrai concedere manualmente l’accesso all’entità a cui desideri accedere ai dati.

Utilizzando la combinazione di criteri bucket, i criteri ACL e IAM offrono il giusto accesso alle entità giuste. Ma questo diventerà complesso e difficile se mantieni gli oggetti sia privati ​​che pubblici nello stesso secchio. Mescolando gli oggetti sia pubblici che privati ​​nello stesso bucket, si otterrà un’attenta analisi degli ACL, con conseguente perdita di tempo produttivo.

Un approccio semplice è quello di separare gli oggetti in un bucket pubblico e un bucket privato. Crea un singolo bucket pubblico con un criterio bucket per consentire l’accesso a tutti gli oggetti in esso memorizzati.

{
"Effetto": "permettere",
"Principale": "*",
"Azione": "S3: GetObject",
"Risorsa": "ARN: AWS: s3 ::: YOURPUBLICBUCKET / *"
}

Quindi, crea un altro bucket per archiviare oggetti privati. Per impostazione predefinita, tutto l’accesso al bucket sarà bloccato per l’accesso pubblico. È quindi possibile utilizzare i criteri IAM per concedere l’accesso a questi oggetti a utenti specifici o l’accesso all’applicazione.

Crittografia dei dati a riposo e in transito

Per proteggere i dati durante il riposo e il transito, abilitare la crittografia. Puoi configurarlo in AWS per crittografare gli oggetti sul server-sider prima di memorizzarlo in S3.

Ciò può essere ottenuto utilizzando le chiavi S3 predefinite gestite da AWS o le chiavi create nel servizio di gestione delle chiavi. Per applicare la crittografia dei dati durante il transito utilizzando il protocollo HTTPS per tutte le operazioni bucket, è necessario aggiungere il codice seguente nella policy bucket.

{
"Azione": "S3: *",
"Effetto": "Negare",
"Principale": "*",
"Risorsa": "ARN: AWS: s3 ::: YOURBUCKETNAME / *",
"Condizione": {
"Bool": { "AWS: SecureTransport": false}
}
}

Utilizza CloudTrail

CloudTrail è un servizio AWS che registra e mantiene la traccia degli eventi che si svolgono attraverso i servizi AWS. I due tipi di eventi CloudTrail sono eventi dati ed eventi di gestione. Gli eventi di dati sono disabilitati per impostazione predefinita e sono molto più granulari.

Gli eventi di gestione si riferiscono alla creazione, eliminazione o aggiornamento di bucket S3. E gli eventi di dati si riferiscono alle chiamate API fatte su oggetti come PutObject, GetObject o GetObject.

A differenza degli eventi di gestione, gli eventi di dati costeranno $ 0,10 per 100.000 eventi.

Si crea una traccia specifica per registrare e monitorare il bucket S3 in una determinata regione o a livello globale. Queste tracce memorizzeranno i log nel bucket S3.

CloudWatch e avvisi

avere CloudTrail l’installazione è ottima per il monitoraggio, ma se è necessario avere il controllo degli avvisi e dell’autoguarigione, utilizzare CloudWatch. AWS CloudWatch offre la registrazione immediata degli eventi.

Inoltre, è possibile configurare CloudTrail all’interno di un gruppo di log di CloudWatch per creare flussi di log. Avere un evento CloudTrail in CloudWatch aggiunge alcune potenti funzionalità. È possibile impostare i filtri metrici per abilitare l’allarme CloudWatch per attività sospette.

Criterio del ciclo di vita dell’installazione

L’impostazione di una politica del ciclo di vita protegge i tuoi dati e ti fa risparmiare denaro. Impostando la politica del ciclo di vita, si spostano i dati indesiderati per renderli privati ​​e successivamente eliminarli. Ciò garantisce che gli hacker non possano più accedere ai dati indesiderati e risparmiare denaro liberando spazio. Abilita la politica del ciclo di vita per spostare i dati dalla memoria standard a AWS Glacier per risparmiare denaro.

Successivamente i dati memorizzati nel Glacier possono essere eliminati se non aggiunge più valore a te o all’organizzazione.

S3 Block Public Access

AWS ha adottato delle misure per automatizzare la funzionalità per bloccare l’accesso pubblico di un bucket, in precedenza veniva utilizzata una combinazione di CloudWatch, CloudTrail e Lambda.

Ci sono casi in cui gli sviluppatori rendono accidentalmente gli oggetti o il bucket al pubblico. Per evitare l’accesso accidentale a rendere pubblici il bucket o gli oggetti, queste funzionalità sono utili.

La nuova funzione di impostazione dell’accesso pubblico ai blocchi impedirà a chiunque di rendere pubblico il bucket. Puoi abilitare questa impostazione nella console AWS, come mostrato nel video sopra. Puoi anche applicare questa impostazione a livello di account, come spiegato nel video seguente.

Ascolta AWS Trusted Advisor

AWS Trusted Advisor è una funzione integrata che viene utilizzata per analizzare le risorse AWS nel tuo account e raccomanda le migliori pratiche.

Offrono raccomandazioni in 5 categorie; una delle caratteristiche cruciali è la sicurezza. Da febbraio 2018, AWS ti avvisa quando i bucket S3 sono resi accessibili al pubblico.

Strumenti di sicurezza AWS di terze parti

Oltre ad Amazon, esiste una terza parte che fornisce strumenti di sicurezza per proteggere i tuoi dati. Possono farti risparmiare moltissimo tempo e allo stesso tempo proteggere i dati. Alcuni degli strumenti popolari sono menzionati di seguito:

Scimmia di sicurezza

È uno strumento sviluppato da Netflix per monitorare le modifiche ai criteri AWS e avvisare se rileva configurazioni non sicure. Scimmia di sicurezza esegue alcuni audit su S3 per garantire che siano implementate le migliori pratiche. Supporta anche la piattaforma Google Cloud.

Cloud Custodian

Cloud Custodian ti aiuta a gestire le risorse in un cloud allineato con le migliori pratiche. In parole semplici, una volta identificata la best practice, è possibile utilizzare questo strumento per scansionare le risorse nel cloud per assicurarsi che venga rispettato.

Se non vengono rispettati, puoi utilizzare molte opzioni per inviare avvisi o applicare le politiche mancanti.

Cloud Mapper

Duo Security ha creato il Cloud Mapper, che è un ottimo strumento di visualizzazione e controllo del cloud. Presenta una funzione simile di Security Monkey per eseguire la scansione di bucket S3 per eventuali configurazioni errate. Offre un’ottima rappresentazione visiva della tua infrastruttura AWS per migliorare l’identificazione di ulteriori problemi.

E offre rapporti eccellenti.

Conclusione

Poiché la maggior parte del lavoro viene eseguita utilizzando i dati, la loro protezione dovrebbe essere una delle responsabilità principali.

Non si può mai sapere quando e come accadrà la violazione dei dati. Pertanto si raccomanda sempre un’azione preventiva. Meglio prevenire che curare. Proteggere i dati ti farà risparmiare migliaia di dollari.

Se non conosci il cloud e sei interessato all’apprendimento di AWS, dai un’occhiata a questo Corso Udemy.

TAGS:

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map