7 parimat tava AWS S3 salvestuse turvaliseks kasutamiseks

Nagu kõik pilveteenused, peate ka vastutama pilvesalvestuse turvalise kasutamise eest.


Selles artiklis käsitleme parimaid näpunäiteid AWS S3 mäluseadme kaitsmiseks.

Enne AWS S3 mäluseadme turvamise näpunäidete saamist peaksime teadma, miks see on ülioluline. 2017. aastal oli ta avaldanud selliseid kriitilisi andmeid nagu privaatne sotsiaalmeedia kontod ja salastatud andmed Pentagonist.

Sellest ajast alates pöörab iga organisatsioon suurt tähelepanu oma AWS S3-s salvestatud andmete turvamisele.

Kas see tähendab, et S3 on Amazon Web Servicesi ebaturvaline salvestuslahendus? Üldse pole S3 turvaline salvestuslahendus, kuid see sõltub kasutajast, kuidas nad soovivad oma andmeid kaitsta.

AWS jagatud vastutuse mudel

Enamik avaliku pilve pakutavatest lahendustest pakub jagatud vastutuse mudelit. See tähendab, et AWS hoolitseb vastutuse eest pilveplatvormi turvalisuse eest ja pilve turvalisuse eest vastutavad pilvekliendid.

See jagatud mudel aitab leevendada andmerikkumisi. Allolev diagramm näitab üldist AWS vastutus ja kliendi vastutus andmete turvalisuse eest.

Turvaline AWS S3-salvestusruum

Uurige ülaltoodud diagrammi, et saada tuttavaks kohustustega, mida peate võtma. Ennetavad meetmed S3-salvestuse tagamiseks on hädavajalikud, kuid kõiki ohte ei saa vältida. AWS pakub mõnda viisi, mis aitavad teil ennetavalt andmerikkumistest tulenevat riski jälgida ja vältida.

Vaatame järgmisi parimaid tavasid AWS S3 salvestusruumi turvamiseks.

Looge privaatne ja avalik ämber

Uue ämbri loomisel on vaikemälu poliitika privaatne. Sama kehtib ka üles laaditud uute objektide kohta. Peate käsitsi juurdepääsu andma üksusele, kellele soovite juurdepääsu andmetele.

Kasutades kopp-poliitikate kombinatsiooni, annavad ACL- ja IAM-poliisid õiguse juurdepääsu õigetele üksustele. Kuid see muutub keeruliseks ja raskeks, kui hoiate nii era- kui ka avalikke objekte samas ämbris. Nii avalike kui ka eraobjektide segamine ühes koppis viib ACL-ide hoolika analüüsi, mis viib teie produktiivse aja raiskamiseni.

Lihtne lähenemisviis on eraldada objektid avalikku ja privaatsesse ämbrisse. Looge üks koppreeglitega avalik kopp, et võimaldada juurdepääs kõigile selles salvestatud objektidele.

{
"Efekt": "Lubama",
"Printsipaal": "*",
"Tegevus": "s3: GetObject",
"Allikas": "arn: aws: s3 ::: YOURPUBLICBUCKET / *"
}

Järgmisena looge teine ​​kopp privaatsete objektide salvestamiseks. Vaikimisi blokeeritakse avalikule juurdepääsule kogu ämbri juurdepääs. Seejärel saate kasutada IAM-poliitikaid, et anda neile objektidele juurdepääs konkreetsetele kasutajatele või juurdepääs rakendustele.

Andmete krüptimine puhkeasendis ja transiidil

Andmete kaitsmiseks puhke- ja transiidi ajal lubage krüptimine. Selle saab AWS-is seadistada enne S3-sse salvestamist serverite poolistel objektidel krüptima.

Seda saab saavutada vaikimisi AWS-i hallatavate S3-võtmete või võtmehaldusteenuses loodud võtmete abil. Andmete krüptimise jõustamiseks transiidi ajal, kasutades HTTPS-protokolli kõigi kopptoimingute jaoks, peate kopa-poliitikasse lisama järgmise koodi.

{
"Tegevus": "s3: *",
"Efekt": "Keeldu",
"Printsipaal": "*",
"Allikas": "arn: aws: s3 ::: YOURBUCKETNAME / *",
"Seisund": {
"Bool": { "aws: SecureTransport": vale}
}
}

Kasutage CloudTraili

CloudTrail on AWS-i teenus, mis registreerib ja haldab AWS-i teenustes toimuvate sündmuste jälgi. CloudTraili sündmuste kahte tüüpi on andmesündmused ja haldussündmused. Andmesündmused on vaikimisi keelatud ja need on palju detailsemad.

Haldussündmused osutavad S3-ämbrite loomisele, kustutamisele või värskendamisele. Andmesündmused viitavad API-kõnedele, mis on tehtud sellistele objektidele nagu PutObject, GetObject või GetObject.

Erinevalt haldussündmustest maksavad andmesündmused 0,10 dollarit 100 000 sündmuse kohta.

Loote konkreetse raja S3 kopa logimiseks ja jälgimiseks antud piirkonnas või globaalselt. Need rajad salvestavad palgid S3 ämbrisse.

CloudWatch ja häireteade

Võttes CloudTrail häälestus on suurepärane jälgimiseks, kuid kui teil on vaja omada kontrolli häirete ja enesetervendamise üle, siis kasutage CloudWatchi. AWS CloudWatch pakub sündmuste viivitamatut logimist.

Samuti saate logivoogude loomiseks CloudTraili seadistada CloudWatchi logigrupis. CloudTraili sündmuse omamine CloudWatchis lisab mõned võimsad funktsioonid. Saate seadistada meetrikafiltrid, et lubada CloudWatchi häire kahtlaste tegevuste jaoks.

Elutsükli poliitika seadistamine

Elutsüklipoliitika seadistamine kindlustab teie andmed ja säästab teie raha. Elutsüklipoliitika seadistamisega teisaldate soovimatud andmed privaatseks ja hiljem kustutate. See tagab, et häkkerid ei pääse soovimatutele andmetele enam juurde ja säästavad raha ruumi vabastamisega. Lubage elutsükli poliitika, et viia andmed raha säästmiseks standardsest salvestusruumist AWS Glacierisse.

Hiljem saab liustikus salvestatud andmed kustutada, kui see ei lisa teile ega organisatsioonile rohkem väärtust.

S3 avaliku juurdepääsu blokeerimine

AWS on astunud samme üldsuse juurdepääsu blokeerimise funktsioonide automatiseerimiseks, varem kasutati CloudWatchi, CloudTrail’i ja Lambda kombinatsiooni.

On juhtumeid, kus arendajad teevad objektid või ämbri tahtmatult avalikkusele kättesaadavaks. Need funktsioonid on kasulikud, et vältida juhuslikku juurdepääsu kopa või objektide avalikustamisele.

Uus avaliku juurdepääsu blokeerimise funktsioon takistab kedagi kopa avalikustamisest. Selle sätte saate lubada AWS-i konsoolis, nagu on näidatud ülaltoodud videos. Seda seadet saate rakendada ka kontotasemel, nagu on selgitatud allolevas videos.

Kuulake AWS-i usaldusväärset nõustajat

AWS-i usaldusväärne nõustaja on sisseehitatud funktsioon, mida kasutatakse teie konto AWS-ressursside analüüsimiseks ja mis soovitab parimaid tavasid.

Nad pakuvad soovitusi viies kategoorias; üks olulisi tunnuseid on turvalisus. Alates 2018. aasta veebruarist annab AWS teile märku, kui S3 kopad tehakse avalikkusele kättesaadavaks.

Kolmanda osapoole AWS-i turvariistad

Peale Amazoni on mõni kolmas osapool, kes pakub teie andmete turvamiseks turvariistu. Need võivad säästa tohutult aega ja hoida samal ajal andmeid turvalisena. Allpool on mainitud mõnda populaarset tööriista:

Turvapärm

See on Netflixi välja töötatud tööriist AWS-i poliitika muudatuste jälgimiseks ja märguannetele ebaturvaliste konfiguratsioonide leidmisel. Turvapärm viib S3-s läbi paar auditit, et tagada parimate tavade olemasolu. See toetab ka Google’i pilveplatvormi.

Pilvehoidja

Pilvehoidja aitab teil ressursse hallata pilves, mis on kooskõlas parimate tavadega. Lihtsamalt öeldes, kui olete parimate tavade kindlaks teinud, saate seda tööriista kasutada pilves olevate ressursside skannimiseks, et tagada selle täitmine.

Kui neid ei täideta, võite kasutada paljusid võimalusi märguannete saatmiseks või puuduvate poliitikate jõustamiseks.

Pilve kaardistaja

Duo Security lõi Pilve kaardistaja, mis on suurepärane pilve visualiseerimise ja auditeerimise tööriist. See kannab sarnast funktsiooni Security Monkey ka S3-ämbrite skannimisel võimalike valesti konfiguratsioonide kontrollimiseks. See pakub suurepärast visuaalset kujutist teie AWS-i infrastruktuurist, et hõlbustada edasiste probleemide tuvastamist.

Ja see pakub suurepärast aruandlust.

Järeldus

Kuna suurem osa tööst toimub andmete abil, peaks nende turvamine olema üks peamisi kohustusi.

Kunagi ei või teada, millal ja kuidas andmete rikkumine aset leiab. Seetõttu on alati soovitatav ennetav tegevus. Parem olge ohutu kui kahetsege. Andmete turvamine aitab säästa tuhandeid dollareid.

Kui olete pilve uus ja olete huvitatud AWS-i õppimisest, siis vaadake seda Udemy kursus.

Sildid:

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map