7 bones pràctiques per assegurar l’emmagatzematge AWS S3

Com tots els serveis al núvol, haureu de responsabilitzar-vos de l’emmagatzematge en núvol.


En aquest article, parlarem dels millors consells per assegurar l’emmagatzematge AWS S3.

Abans de veure els consells per garantir l’emmagatzematge AWS S3, hauríem de saber per què és crucial. El 2017 havia exposat dades crítiques com mitjans socials privats comptes i dades classificades del Pentàgon.

Des d’aleshores, totes les organitzacions presten molta atenció a la seguretat de les seves dades emmagatzemades a l’AWS S3.

Vol dir que S3 és una solució d’emmagatzematge insegura d’Amazon Web Services? En absolut, S3 és una solució d’emmagatzematge segura, però depèn de l’usuari com vulgui protegir les seves dades.

Model de responsabilitat compartida AWS

La majoria de les solucions que ofereix el núvol públic proporcionen un model de responsabilitat compartida. Això significa que la responsabilitat de la seguretat de la plataforma en núvol és de AWS, i els clients del núvol són els responsables de la seguretat al núvol.

Aquest model compartit ajuda a mitigar els incompliments de dades. El diagrama següent mostra el general responsabilitat de l’AWS i la responsabilitat del client per assegurar les dades.

Emmagatzematge segur AWS S3

Estudieu el diagrama anterior per familiaritzar-vos amb les responsabilitats que heu d’assumir. Les mesures preventives per assegurar l’emmagatzematge del S3 són essencials, però no es pot prevenir tota amenaça. AWS us ofereix algunes maneres d’ajudar-vos a supervisar de forma proactiva i evitar el risc d’incompliments de dades.

Vegem les millors pràctiques següents per assegurar l’emmagatzematge AWS S3.

Creeu un cub privat i públic

Quan creeu un cub nou, la política per defecte és privada. El mateix s’aplica per als nous objectes penjats. Haureu de concedir accés manualment a l’entitat que vulgueu accedir a les dades.

Mitjançant la combinació de polítiques de cubetes, les polítiques ACL i IAM proporcionen un accés adequat a les entitats adequades. Però, es farà difícil i si manteniu objectes públics i privats al mateix cubell. Si barregeu objectes públics i privats a la mateixa galleda us portarà a una anàlisi minuciosa de les ACL, provocant una pèrdua de temps productiu..

Un enfocament senzill és separar els objectes en un cub públic i un cub privat. Creeu un únic cub públic amb una política de cubs per concedir accés a tots els objectes emmagatzemats.

{
"Efecte": "Permetre",
"Director": "*",
"Acció": "s3: GetObject",
"Recurs": "arn: aws: s3 ::: VOSTRE PUBLICBUCKET / *"
}

A continuació, creeu un altre cub per emmagatzemar objectes privats. De manera predeterminada, tot l’accés al cubell es bloquejarà per a l’accés públic. A continuació, podeu utilitzar les polítiques IAM per concedir accés a aquests objectes a usuaris específics o accés a l’aplicació.

Xifrat de dades en repòs i en trànsit

Per protegir les dades durant el descans i el trànsit, activeu el xifratge. Podeu configurar-ho en AWS per xifrar objectes al servidor-sider abans d’emmagatzemar-lo a S3.

Es pot aconseguir mitjançant les tecles S3 predeterminades gestionades per AWS o les teves claus creades al servei de gestió de claus. Per aplicar el xifrat de dades durant el trànsit mitjançant el protocol HTTPS per a totes les operacions de cub, cal afegir el codi següent a la política de cub..

{
"Acció": "s3: *",
"Efecte": "Negar",
"Director": "*",
"Recurs": "arn: aws: s3 ::: YOURBUCKETNAME / *",
"Estat": {
"Bool": { "aws: SecureTransport": fals }
}
}

Utilitzeu CloudTrail

CloudTrail és un servei AWS que registra i manté el rastre d’esdeveniments que es produeixen a través dels serveis AWS. Els dos tipus d’esdeveniments de CloudTrail són esdeveniments de dades i esdeveniments de gestió. Els esdeveniments de les dades estan desactivats de manera predeterminada i són molt més granulars.

Els esdeveniments de gestió es refereixen a crear, suprimir o actualitzar les cubetes de S3. I els esdeveniments de Dades fan referència a les trucades a l’API realitzades en objectes com PutObject, GetObject o GetObject.

A diferència dels esdeveniments de gestió, els esdeveniments de dades tindran un cost de 0,10 dòlars per cada 100.000 esdeveniments.

Creeu un rastre específic per registrar i controlar el buc S3 en una regió determinada o a nivell mundial. Aquests senders emmagatzemaran els registres al cub S3.

CloudWatch i alerta

Haver CloudTrail la configuració és excel·lent per controlar-lo, però si necessiteu controlar les alertes i la cura pròpia, utilitzeu CloudWatch. AWS CloudWatch ofereix un registre immediat d’esdeveniments.

També, podeu configurar CloudTrail dins d’un grup de registre CloudWatch per crear fluxos de registre. Si hi ha un esdeveniment CloudTrail al CloudWatch, afegeix algunes funcions potents. Podeu configurar els filtres de mètrica per habilitar l’alarma de CloudWatch per a activitats sospitoses.

Configuració de la política de vida

Configurar una política de cicle de vida protegeix les vostres dades i us permetrà estalviar diners. Si configureu la política del cicle de vida, moveu les dades no desitjades perquè es facin privades i després les elimineu. D’aquesta manera, es garanteix que els hackers ja no poden accedir a les dades no desitjades i s’estalviaran els diners alliberant l’espai. Habiliteu la política de Cicle de vida per traslladar les dades de l’emmagatzematge estàndard a AWS Glacier per estalviar diners.

Més tard, les dades emmagatzemades a la glacera es poden suprimir si no aporta més valor a vostè ni a l’organització.

Accés públic de bloc S3

AWS ha realitzat mesures per automatitzar la funcionalitat per bloquejar l’accés públic d’una cubeta, anteriorment s’utilitzava una combinació de CloudWatch, CloudTrail i Lambda..

Hi ha casos en què els desenvolupadors faran públicament els objectes o la galleda al públic. Per evitar l’accés accidental a la publicació del cub o objectes, aquestes funcions són útils.

La nova característica de configuració d’accés públic del bloc evitarà que qualsevol usuari es faci públic. Podeu activar aquesta configuració a la consola AWS, tal com es mostra al vídeo anterior. També podeu aplicar aquesta configuració a nivell de compte, tal com s’explica al vídeo següent.

Escolteu AWS Trusted Advisor

Assessor de confiança AWS és una funció integrada que s’utilitza per analitzar els recursos AWS del vostre compte i us recomana les bones pràctiques.

Ofereixen recomanacions en 5 categories; una de les característiques crucials és la seguretat. Des de febrer de 2018, AWS us avisa quan es fan accessibles al públic els cubells S3.

Eines de seguretat AWS de tercers

A part d’Amazon, hi ha algun tercer que proporciona eines de seguretat per protegir les vostres dades. Us poden estalviar un temps enorme i mantenir les dades segures al mateix temps. A continuació s’esmenten algunes de les eines més populars:

Mico de seguretat

És una eina desenvolupada per Netflix per controlar els canvis i les alertes de la política AWS si troba alguna configuració insegura. Mico de seguretat realitza unes auditories a S3 per assegurar-se que hi hagi bones pràctiques. També és compatible amb la plataforma Google Cloud.

Custòdia del núvol

Custòdia del núvol us ajuda a gestionar recursos en un núvol alineats amb les millors pràctiques. En paraules senzilles, un cop identificades les millors pràctiques, podeu utilitzar aquesta eina per analitzar els recursos del núvol per assegurar-vos que es compleix.

Si no es compleixen, podeu utilitzar moltes opcions per enviar alertes o fer complir les polítiques que falten.

Mapper de núvol

Duo Security va crear el programa Mapper de núvol, que és una excel·lent eina de visualització i audiència del núvol. Porta una característica similar a Security Monkey per realitzar l’exploració de cubs S3 per qualsevol configuració errònia. Ofereix una bona representació visual de la vostra infraestructura AWS per millorar la identificació de problemes més.

I ofereix un excel·lent reportatge.

Conclusió

Atès que la major part del treball es realitza mitjançant dades, la seva protecció hauria de ser una de les responsabilitats bàsiques.

Mai es pot saber quan i com es produirà l’incompliment de dades. Per tant, sempre es recomana una acció preventiva. Millor estar segur que ho sento. La seguretat de les dades us farà estalviar milers de dòlars.

Si sou nou al núvol i esteu interessats en aprendre el format AWS, consulteu-ho Curs Udemy.

Tags:

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map