我們之前寫過關於 使用清單如何避免配置錯誤的文章,這是資料保護的有用做法。加密是資料保護中最基本的做法之一,因為如果資料丟失、被盜或以其他方式不當存取,它會使資料無法讀取。因此,AWS S3 配置的一個主要錯誤是未啟用伺服器端加密,因為忽略它可能會使機密資訊以明文形式公開。
資料加密可保護靜態資料(儲存在 S3 上的資料)和傳輸中的資料(傳入/傳出 S3 的資料)。傳輸中的資料可以透過 SSL/TLS 進行保護,而靜態資料可以透過伺服器端加密或用戶端加密進行保護。
用戶端加密要求客戶管理加密過程、工具和密鑰,這對於 IT 管理員來說可能相當耗時且成本高昂,而且通常過於複雜。因此,大多數組織更喜歡伺服器端加密,因為 Amazon 管理在儲存之前加密資料的過程,並在授權和經過身份驗證的使用者存取時對其進行解密。
Amazon提供了三種部署伺服器端加密的方法:
- Amazon S3 託管金鑰 (SSE-S3) – Amazon 使用唯一的 256 位高階加密標準 (AES-256) 金鑰加密每個物件,然後使用頻繁輪換的根密鑰加密該密鑰。SSE-S3 不收取額外費用,這使其成為一個有吸引力的產品。關注資料安全的組織應該接受這種入門級產品。
- 儲存在 AWS Key Management Service (SSE-KMS) (SSE-KMS) 中的 KMS 金鑰 – KMS 是 Amazon 的高階產品,它增加了一個密鑰管理系統,但需要額外付費。此解決方案對需要設置存取許可權或提供合規性審計追蹤的成熟組織更具吸引力。
- 客戶提供的金鑰 (SSE-C) – 與用戶端加密類似,客戶提供的密鑰要求客戶管理加密金鑰,但 Amazon 仍會處理資料的加密。這種方法對於希望避免將所有雞蛋放在一個籃子中的具有安全意識的組織可能更具吸引力,但它將引入與用戶端加密相同的管理問題。
任何使用 SSE-C 的 Amazon 客戶都需要對應用的加密技術有深刻的了解,否則他們可能會將其組織的資料置於風險之中。如果他們使用 HTTP 進行連接,Amazon 將拒絕該請求,並且他們的密鑰可能會暴露。更糟糕的是,如果客戶丟失了他們的加密密鑰,那麼他們就無法存取資料。因此,對於大多數組織來說,SSE-S3 或 SSE-KMS 可能是一種更易於管理的方法。
使用 SSE-S3 的組織可以使用儲存桶策略來加密儲存桶中的所有物件,也可以使用 REST API 命令來加密特定物件。有太多的選項無法解釋它們,因此組織應查看 Amazon SSE-S3 檔案。同樣,SSE-KMS 提供類似的加密功能,以及高階靈活性和控制(以及成本),因此建議組織查看 Amazon SSE-KMS 檔案。亞馬遜甚至提供了有關如何 使用儲存桶密鑰降低 SSE-KMS 成本的建議。
使用OPSWAT避免常見的組態錯誤
當涉及到常見的配置錯誤時,例如啟用伺服器端加密, 組織應使用清單來確保他們正在實施最佳實踐。利用技術實現這一過程的自動化有助於避免耗時且代價高昂的手動錯誤。
MetaDefender Storage Security 透過整合的安全清單增強其雲端儲存安全解決方案,以便網路安全專業人員可以確保其組織的雲端儲存在配置時不會配置錯誤,其中包括雲端儲存的開發和生產階段。
啟用伺服器端加密是 MetaDefender Storage Security,但它不是唯一的。在以後的文章中,我們將探討用於保護靜態資料的其他主要配置錯誤。
聯絡 OPSWAT 網路安全專家瞭解更多資訊。
閱讀本系列的前幾篇文章:
