Am scris anterior despre modul în care utilizarea listelor de verificare poate evita erorile de configurare, ceea ce reprezintă o practică utilă pentru protecția datelor. Criptarea este una dintre cele mai fundamentale practici în domeniul protecției datelor, deoarece face ca datele să devină ilizibile în cazul în care sunt pierdute, furate sau accesate în mod necorespunzător. Prin urmare, o eroare majoră de configurare a AWS S3 este neactivarea criptării pe partea serverului, deoarece neglijarea acesteia poate lăsa informații confidențiale expuse în text clar.
Criptarea datelor protejează datele în repaus (datele stocate pe S3) și datele în tranzit (datele care călătoresc către/de la S3). Datele în tranzit pot fi protejate prin SSL/TLS, în timp ce datele în repaus pot fi protejate prin criptare pe server sau criptare pe client.
Criptarea pe partea de client necesită ca clientul să gestioneze procesul de criptare, instrumentele și cheile de criptare, ceea ce poate fi destul de anevoios și costisitor pentru administratorii IT și, adesea, prea complex. În consecință, majoritatea organizațiilor preferă criptarea pe server, deoarece Amazon gestionează procesele de criptare a datelor înainte de stocare și de decriptare a acestora atunci când sunt accesate de un utilizator autorizat și autentificat.
Amazon oferă trei modalități de implementare a criptării pe server:
- Amazon S3-Managed Keys (SSE-S3) - Amazon criptează fiecare obiect cu o cheie unică AES-256 (Advanced Encryption Standard) pe 256 de biți, apoi criptează această cheie cu o cheie rădăcină care se rotește frecvent. Nu există nicio taxă suplimentară pentru SSE-S3, ceea ce o face o ofertă atractivă. Organizațiile preocupate de securitatea datelor ar trebui să adopte această ofertă entry-level.
- Chei KMS stocate în AWS Key Management Service (SSE-KMS) - KMS este oferta premium a Amazon, care adaugă un sistem de gestionare a cheilor pentru un cost suplimentar. Această soluție este mai atractivă pentru organizațiile mature care trebuie să stabilească permisiuni de acces sau să ofere o pistă de audit pentru conformitate.
- Chei furnizate de client (SSE-C) - Similar cu criptarea pe partea clientului, cheile furnizate de client necesită ca clientul să gestioneze cheile de criptare, dar Amazon se ocupă în continuare de criptarea datelor. Acest tip de abordare poate fi mai atractiv pentru organizațiile preocupate de securitate care doresc să evite să pună toate ouăle într-un singur coș, dar va introduce aceleași probleme de gestionare ca și criptarea pe partea clientului.
Orice client Amazon care utilizează SSE-C trebuie să aibă o înțelegere solidă a criptografiei aplicate sau poate pune în pericol datele organizației sale. Dacă se conectează folosind HTTP, Amazon va respinge cererea, iar cheia lor poate fi expusă. Chiar mai rău, dacă clientul își pierde cheia de criptare, atunci nu poate accesa datele. Prin urmare, SSE-S3 sau SSE-KMS poate fi o abordare mai ușor de gestionat pentru majoritatea organizațiilor.
Organizațiile care utilizează SSE-S3 pot utiliza o politică de bucket pentru a cripta toate obiectele dintr-un bucket sau pot utiliza comenzi REST API pentru a cripta obiecte specifice. Există prea multe opțiuni pentru a le explica pe toate, așa că organizațiile ar trebui să consulte documentația Amazon SSE-S3. De asemenea, SSE-KMS oferă o funcționalitate de criptare similară, precum și flexibilitate și control avansat (și costuri), astfel încât organizațiile sunt sfătuite să revizuiască documentația Amazon SSE-KMS. Amazon oferă chiar și sfaturi despre cum să mențineți costurile SSE-KMS la un nivel scăzut cu chei bucket.
Evitați erorile comune de configurare cu OPSWAT
În ceea ce privește erorile comune de configurare, cum ar fi activarea criptării pe server, organizațiile ar trebui să utilizeze liste de verificare pentru a se asigura că implementează cele mai bune practici. Automatizarea acestui proces cu ajutorul tehnologiei poate ajuta la evitarea erorilor manuale costisitoare și care necesită timp și bani.
MetaDefender Storage Security își îmbunătățește soluția de securitate pentru stocarea în cloud cu o listă de verificare integrată a securității, astfel încât profesioniștii în domeniul securității cibernetice să se poată asigura că stocarea în cloud a organizației lor nu este configurată greșit pe măsură ce este provizionată, ceea ce include etapele de dezvoltare și de producție a stocării în cloud.
Activarea criptării pe server este un element important din lista de verificare de pe MetaDefender Storage Security , dar nu este singurul. În blogurile viitoare, vom explora alte erori majore de configurare pentru protejarea datelor în repaus.
Contactați un expert în securitate cibernetică de la OPSWAT pentru a afla mai multe.
Citiți blogurile anterioare din această serie:
