7 mejores prácticas para asegurar el almacenamiento de AWS S3

Como todos los servicios en la nube, debe asumir la responsabilidad de asegurar el almacenamiento en la nube.


En este artículo, discutiremos los mejores consejos para asegurar el almacenamiento de AWS S3.

Antes de ver los consejos para asegurar el almacenamiento de AWS S3, debemos saber por qué es crucial. En 2017 había expuesto datos críticos como redes sociales privadas cuentas y datos clasificados del Pentágono.

Desde entonces, cada organización presta mucha atención a la seguridad de sus datos almacenados en AWS S3.

¿Eso significa que S3 es una solución de almacenamiento insegura de Amazon Web Services? Para nada, S3 es una solución de almacenamiento segura, pero depende del usuario cómo quiere proteger sus datos..

Modelo de responsabilidad compartida de AWS

La mayoría de las soluciones ofrecidas por la nube pública proporcionan un modelo de responsabilidad compartida. Esto significa que AWS se encarga de la responsabilidad de la seguridad de la plataforma en la nube, y los clientes de la nube son responsables de la seguridad en la nube.

Este modelo compartido ayuda a mitigar las violaciones de datos. El siguiente diagrama muestra el general responsabilidad de la AWS y la responsabilidad del cliente de proteger los datos.

Almacenamiento seguro de AWS S3

Estudie el diagrama anterior para familiarizarse con las responsabilidades que debe asumir. Las medidas preventivas para asegurar el almacenamiento S3 son esenciales, pero no se pueden prevenir todas las amenazas. AWS proporciona algunas formas de ayudarlo a monitorear de manera proactiva y evitar el riesgo de violaciones de datos.

Veamos las siguientes mejores prácticas para asegurar el almacenamiento de AWS S3.

Crear un cubo privado y público

Cuando crea un nuevo depósito, la política de depósito predeterminada es privada. Lo mismo se aplica para los nuevos objetos cargados. Deberá otorgar acceso manualmente a la entidad a la que desea acceder a los datos..

Al usar la combinación de políticas de depósito, las políticas de ACL e IAM otorgan el acceso correcto a las entidades correctas. Pero esto se volverá complejo y difícil si mantiene los objetos públicos y privados en el mismo depósito. Al mezclar los objetos públicos y privados en el mismo depósito, se realizará un análisis cuidadoso de las ACL, lo que provocará una pérdida de tiempo productivo..

Un enfoque simple es separar los objetos en un cubo público y un cubo privado. Cree un único depósito público con una política de depósito para otorgar acceso a todos los objetos almacenados en él..

{
"Efecto": "Permitir",
"Principal": "* *",
"Acción": "s3: GetObject",
"Recurso": "arn: aws: s3 ::: YOURPUBLICBUCKET / *"
}

A continuación, cree otro depósito para almacenar objetos privados. De forma predeterminada, todo el acceso al depósito se bloqueará para el acceso público. Luego puede usar las políticas de IAM para otorgar acceso a estos objetos a usuarios específicos o acceso a aplicaciones.

Cifrado de datos en reposo y tránsito

Para proteger los datos durante el descanso y el tránsito, habilite el cifrado. Puede configurar esto en AWS para cifrar objetos en el lado del servidor antes de almacenarlo en S3.

Esto se puede lograr utilizando las claves S3 administradas por AWS predeterminadas o sus claves creadas en el Servicio de administración de claves. Para aplicar el cifrado de datos durante el tránsito mediante el uso del protocolo HTTPS para todas las operaciones de depósito, debe agregar el siguiente código en la política de depósito.

{
"Acción": "s3: *",
"Efecto": "Negar",
"Principal": "* *",
"Recurso": "arn: aws: s3 ::: YOURBUCKETNAME / *",
"Condición": {
"Bool": { "aws: SecureTransport": falso}
}
}

Utiliza CloudTrail

CloudTrail es un servicio de AWS que registra y mantiene el seguimiento de los eventos que tienen lugar en los servicios de AWS. Los dos tipos de eventos de CloudTrail son eventos de datos y eventos de administración. Los eventos de datos están deshabilitados de forma predeterminada y son mucho más granulares..

Los eventos de administración se refieren a la creación, eliminación o actualización de depósitos S3. Y los eventos de datos se refieren a las llamadas a la API realizadas en los objetos como PutObject, GetObject o GetObject.

A diferencia de los eventos de administración, los eventos de datos costarán $ 0.10 por 100,000 eventos.

Puede crear una ruta específica para registrar y monitorear su depósito S3 en una región determinada o globalmente. Estos senderos almacenarán registros en el cubo S3.

CloudWatch y alertas

Teniendo CloudTrail la configuración es excelente para el monitoreo, pero si necesita tener control sobre las alertas y la autocuración, use CloudWatch. AWS CloudWatch ofrece registro inmediato de eventos.

Además, puede configurar CloudTrail dentro de un grupo de registro de CloudWatch para crear flujos de registro. Tener un evento CloudTrail en CloudWatch agrega algunas características poderosas. Puede configurar los filtros métricos para habilitar la alarma de CloudWatch para actividades sospechosas.

Configurar la política de ciclo de vida

La configuración de una política de ciclo de vida asegura sus datos y le ahorra dinero. Al configurar la política del ciclo de vida, mueve los datos no deseados para hacerlos privados y luego los elimina. Esto garantiza que los piratas informáticos ya no puedan acceder a los datos no deseados y ahorre dinero al liberar el espacio. Habilite la política de ciclo de vida para mover los datos del almacenamiento estándar a AWS Glacier para ahorrar dinero.

Más tarde, los datos almacenados en el Glaciar se pueden eliminar si no agrega más valor para usted u organización.

Bloque S3 de acceso público

AWS ha tomado medidas para automatizar la funcionalidad para bloquear el acceso público de un depósito, anteriormente se usaba una combinación de CloudWatch, CloudTrail y Lambda.

Hay instancias donde los desarrolladores accidentalmente harán que los objetos o el cubo sean públicos. Para evitar el acceso accidental a hacer públicos el cubo o los objetos, estas características son útiles.

La nueva función de configuración de acceso público en bloque evitará que cualquiera haga público el depósito. Puede habilitar esta configuración en la consola de AWS, como se muestra en el video anterior. También puede aplicar esta configuración en el nivel de la cuenta, como se explica en el siguiente video.

Escuche al Asesor de confianza de AWS

Asesor de confianza de AWS es una función integrada que se utiliza para analizar los recursos de AWS dentro de su cuenta y recomienda las mejores prácticas.

Ofrecen recomendaciones en 5 categorías; Una de las características cruciales es la seguridad. Desde febrero de 2018, AWS le alerta cuando los cubos S3 están hechos para ser de acceso público.

Herramientas de seguridad de terceros de AWS

Además de Amazon, hay un tercero que proporciona herramientas de seguridad para proteger sus datos. Pueden ahorrarle un tiempo tremendo y mantener los datos seguros al mismo tiempo. Algunas de las herramientas populares se mencionan a continuación:

Mono de seguridad

Es una herramienta desarrollada por Netflix para monitorear los cambios y alertas de la política de AWS si encuentra alguna configuración insegura. Mono de seguridad realiza algunas auditorías en S3 para garantizar que se apliquen las mejores prácticas. También es compatible con Google Cloud Platform.

Custodio de la nube

Custodio de la nube le ayuda a administrar recursos en una nube alineada con las mejores prácticas. En palabras simples, una vez que haya identificado la mejor práctica, puede usar esta herramienta para escanear los recursos en la nube para asegurarse de que se cumpla.

Si no se cumplen, puede usar muchas opciones para enviar alertas o hacer cumplir las políticas que faltan.

Nube Mapper

Duo Security creó el Nube Mapper, que es una gran herramienta de visualización y auditoría en la nube. Lleva una característica similar de Security Monkey para realizar el escaneo de cubos S3 en busca de cualquier configuración incorrecta. Ofrece una excelente representación visual de su infraestructura de AWS para mejorar la identificación de otros problemas..

Y ofrece excelentes informes.

Conclusión

Dado que la mayor parte del trabajo se lleva a cabo utilizando datos, asegurarlos debería ser una de las principales responsabilidades..

Uno nunca puede saber cuándo y cómo ocurrirá la violación de datos. Por lo tanto, siempre se recomienda una acción preventiva. Mejor prevenir que curar. Asegurar los datos le ahorrará miles de dólares..

Si eres nuevo en la nube y estás interesado en aprender AWS, entonces mira esto Curso Udemy.

TAGS:

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map