Trước đây chúng tôi đã viết về cách sử dụng danh sách kiểm tra có thể tránh được lỗi cấu hình , đây là một biện pháp hữu ích để bảo vệ dữ liệu. Mã hóa là một trong những biện pháp cơ bản nhất trong bảo vệ dữ liệu vì nó khiến dữ liệu không thể đọc được nếu bị mất, bị đánh cắp hoặc bị truy cập trái phép. Do đó, một lỗi cấu hình AWS S3 nghiêm trọng là không bật mã hóa phía máy chủ, vì việc bỏ qua nó có thể khiến thông tin mật bị lộ dưới dạng văn bản thuần túy.
Mã hóa dữ liệu bảo vệ dữ liệu lưu trữ (dữ liệu được lưu trữ trên S3) và dữ liệu đang truyền (dữ liệu truyền đến/từ S3). Dữ liệu đang truyền có thể được bảo vệ bằng SSL / TLS, trong khi dữ liệu ở trạng thái nghỉ có thể được bảo vệ bằng mã hóa phía máy chủ hoặc mã hóa phía máy khách.
Mã hóa phía máy khách yêu cầu khách hàng quản lý quy trình, công cụ và khóa mã hóa, điều này có thể khá tốn thời gian và tốn kém cho IT quản trị viên để quản lý và thường quá phức tạp. Do đó, hầu hết các tổ chức thích mã hóa phía máy chủ vì Amazon quản lý các quy trình mã hóa dữ liệu của họ trước khi lưu trữ và giải mã dữ liệu khi được truy cập bởi người dùng được ủy quyền và xác thực.
Amazon cung cấp ba cách để triển khai mã hóa phía máy chủ:
- Amazon S3-Managed Keys (SSE-S3) – Amazon mã hóa từng đối tượng bằng khóa nâng cao 256-bit duy nhất Mã hóa Khóa chuẩn (AES-256), sau đó mã hóa khóa đó bằng khóa gốc xoay vòng thường xuyên. SSE-S3 không tính thêm phí, khiến nó trở thành một dịch vụ hấp dẫn. Các tổ chức quan tâm đến bảo mật dữ liệu nên lựa chọn dịch vụ cơ bản này.
- Khóa KMS Được lưu trữ trong AWS Key Management Service (SSE-KMS) – KMS là dịch vụ cao cấp của Amazon, bổ sung hệ thống quản lý khóa với một khoản chi phí bổ sung. Giải pháp này hấp dẫn hơn đối với các tổ chức trưởng thành cần đặt quyền truy cập hoặc cung cấp biên bản kiểm tra tuân thủ.
- Khóa do khách hàng cung cấp (SSE-C) – Tương tự như mã hóa phía máy khách, khóa do khách hàng cung cấp yêu cầu khách hàng quản lý khóa mã hóa, nhưng Amazon vẫn xử lý việc mã hóa dữ liệu. Cách tiếp cận này có thể hấp dẫn hơn đối với các tổ chức có ý thức bảo mật muốn tránh đặt tất cả trứng của họ vào một giỏ, nhưng nó sẽ đưa ra các vấn đề quản lý tương tự như mã hóa phía máy khách.
Bất kỳ khách hàng nào của Amazon sử dụng SSE-C đều cần có hiểu biết sâu sắc về mật mã ứng dụng nếu không họ có thể khiến dữ liệu của tổ chức gặp rủi ro. Nếu họ kết nối bằng HTTP, Amazon sẽ từ chối yêu cầu và khóa của họ có thể bị lộ. Thậm chí tệ hơn, nếu khách hàng mất khóa mã hóa, thì họ không thể truy cập dữ liệu. Do đó, SSE-S3 hoặc SSE-KMS có thể là một cách tiếp cận dễ quản lý hơn đối với hầu hết các tổ chức.
Các tổ chức sử dụng SSE-S3 có thể sử dụng chính sách vùng lưu trữ để mã hóa tất cả các đối tượng trong vùng lưu trữ hoặc họ có thể sử dụng REST giao diện lập trình ứng dụng các lệnh để mã hóa các đối tượng cụ thể. Có quá nhiều tùy chọn để giải thích tất cả, vì vậy các tổ chức nên xem lại tài liệu về Amazon SSE-S3. Tương tự như vậy, SSE-KMS cung cấp chức năng mã hóa tương tự, cũng như tính linh hoạt và khả năng kiểm soát (và chi phí) nâng cao, vì vậy các tổ chức nên xem lại tài liệu về Amazon SSE-KMS. Amazon thậm chí còn cung cấp lời khuyên về cách giảm chi phí SSE-KMS bằng các phím xô.
Tránh các lỗi cấu hình phổ biến với OPSWAT
Khi nói đến các lỗi cấu hình phổ biến, chẳng hạn như bật mã hóa phía máy chủ, các tổ chức nên sử dụng danh sách kiểm tra để đảm bảo họ đang triển khai các phương pháp hay nhất. Tự động hóa quá trình này bằng công nghệ có thể giúp tránh các lỗi thủ công tốn thời gian và tốn kém.
MetaDefender Storage Security Tăng cường giải pháp bảo mật lưu trữ đám mây của mình với danh sách kiểm tra bảo mật tích hợp, để các chuyên gia an ninh mạng có thể đảm bảo lưu trữ đám mây của tổ chức họ không bị định cấu hình sai khi được cung cấp, bao gồm các giai đoạn phát triển và sản xuất lưu trữ đám mây.
Bật mã hóa phía máy chủ là một mục danh sách kiểm tra chính trong MetaDefender Storage Security, nhưng nó không phải là duy nhất. Trong các blog trong tương lai, chúng tôi sẽ khám phá các lỗi cấu hình chính khác để bảo vệ dữ liệu ở trạng thái nghỉ.
Liên hệ với một OPSWAT Chuyên gia an ninh mạng để tìm hiểu thêm.
Đọc các blog trước trong loạt bài này:
