Giống như tất cả các dịch vụ đám mây, bạn phải chịu trách nhiệm bảo mật lưu trữ đám mây.

Trong phần này của bài viết, chúng tôi sẽ thảo luận về các mẹo tốt nhất để bảo mật lưu trữ AWS S3.

Trước khi chúng tôi thấy các mẹo để bảo mật lưu trữ AWS S3, chúng tôi nên biết lý do tại sao nó rất quan trọng. Trong năm 2017, nó đã tiết lộ dữ liệu quan trọng như phương tiện truyền thông xã hội tư nhân tài khoản và dữ liệu được phân loại từ Lầu năm góc.

Kể từ đó, mọi tổ chức đều chú ý bảo mật dữ liệu của họ được lưu trữ trong AWS S3.

Điều đó có nghĩa là S3 là một giải pháp lưu trữ không an toàn từ Amazon Web Services? Hoàn toàn không, S3 là một giải pháp lưu trữ an toàn, nhưng nó phụ thuộc vào người dùng cách họ muốn bảo mật dữ liệu của họ.

Mô hình trách nhiệm chung của AWS

Hầu hết các giải pháp được cung cấp bởi đám mây công cộng cung cấp Mô hình Trách nhiệm được chia sẻ. Điều này có nghĩa là trách nhiệm về bảo mật của nền tảng đám mây được AWS quan tâm và các khách hàng đám mây chịu trách nhiệm bảo mật trong đám mây.

Mô hình được chia sẻ này giúp giảm thiểu chống lại các vi phạm dữ liệu. Biểu đồ dưới đây cho thấy tổng quát trách nhiệm của AWS và khách hàng có trách nhiệm bảo mật dữ liệu.

Lưu trữ AWS S3 an toàn

Nghiên cứu sơ đồ trên để làm quen với các trách nhiệm mà bạn phải đảm nhận. Các biện pháp phòng ngừa để bảo mật lưu trữ S3 là điều cần thiết, nhưng mọi mối đe dọa đều không thể ngăn chặn được. AWS cung cấp một số cách giúp bạn chủ động giám sát và tránh rủi ro do vi phạm dữ liệu.

Hãy cùng xem xét các cách thực hành tốt nhất sau đây để bảo mật lưu trữ AWS S3.

Tạo một thùng riêng và công khai

Khi bạn tạo một nhóm mới, chính sách nhóm mặc định là riêng tư. Điều tương tự được áp dụng cho các đối tượng mới được tải lên. Bạn sẽ phải cấp quyền truy cập theo cách thủ công cho thực thể mà bạn muốn truy cập dữ liệu.

Bằng cách sử dụng kết hợp các chính sách nhóm, chính sách ACL và IAM cung cấp quyền truy cập đúng vào các thực thể phù hợp. Nhưng, điều này sẽ trở nên phức tạp và khó khăn nếu bạn giữ cả các đối tượng riêng tư và công cộng trong cùng một nhóm. Bằng cách trộn cả các đối tượng công cộng và riêng tư trong cùng một nhóm sẽ dẫn đến phân tích cẩn thận về ACL, dẫn đến lãng phí thời gian sản xuất của bạn.

Một cách tiếp cận đơn giản là tách các đối tượng thành một thùng công cộng và xô riêng. Tạo một nhóm công khai duy nhất với chính sách nhóm để cấp quyền truy cập cho tất cả các đối tượng được lưu trữ trong đó.

{
"Hiệu ứng": "Cho phép",
"Hiệu trưởng": "*",
"Hoạt động": "s3: GetObject",
"Nguồn": "arn: aws: s3 ::: YOUPUBLICBucksET / *"
}

Tiếp theo, tạo một thùng khác để lưu trữ các đối tượng riêng tư. Theo mặc định, tất cả quyền truy cập vào nhóm sẽ bị chặn để truy cập công khai. Sau đó, bạn có thể sử dụng các chính sách IAM để cấp quyền truy cập cho các đối tượng này cho người dùng hoặc quyền truy cập ứng dụng cụ thể.

Mã hóa dữ liệu khi nghỉ ngơi và chuyển tuyến

Để bảo vệ dữ liệu trong khi nghỉ ngơi và vận chuyển, hãy bật mã hóa. Bạn có thể thiết lập tính năng này trong AWS để mã hóa các đối tượng trên máy chủ-sider trước khi lưu trữ nó trong S3.

Điều này có thể đạt được bằng cách sử dụng các khóa S3 do AWS quản lý mặc định hoặc các khóa của bạn được tạo trong Dịch vụ quản lý khóa. Để thực thi mã hóa dữ liệu trong quá trình vận chuyển bằng cách sử dụng giao thức HTTPS cho tất cả các hoạt động của nhóm, bạn phải thêm mã dưới đây trong chính sách nhóm.

{
"Hoạt động": "s3: *",
"Hiệu ứng": "Phủ nhận",
"Hiệu trưởng": "*",
"Nguồn": "arn: aws: s3 ::: YOUBucksETNAME / *",
"Tình trạng": {
"Bool": { "aws: SecureTransport": sai }
}
}

Sử dụng CloudTrail

CloudTrail là một dịch vụ AWS ghi nhật ký và duy trì chuỗi các sự kiện diễn ra trên các dịch vụ AWS. Hai loại sự kiện CloudTrail là sự kiện dữ liệu và sự kiện quản lý. Các sự kiện dữ liệu được tắt theo mặc định và chi tiết hơn nhiều.

Các sự kiện quản lý đề cập đến việc tạo, xóa hoặc cập nhật các thùng S3. Và các sự kiện Dữ liệu đề cập đến các lệnh gọi API được thực hiện trên các đối tượng, chẳng hạn như PutObject, GetObject hoặc GetObject.

Không giống như các sự kiện quản lý, các sự kiện dữ liệu sẽ có giá 0,10 đô la trên 100.000 sự kiện.

Bạn tạo một đường dẫn cụ thể để ghi nhật ký và giám sát nhóm S3 của mình trong một khu vực nhất định hoặc toàn cầu. Những con đường này sẽ lưu trữ nhật ký trong nhóm S3.

CloudWatch và cảnh báo

Đang có Đám mây thiết lập rất tốt để theo dõi, nhưng nếu bạn cần kiểm soát cảnh báo và tự phục hồi thì hãy sử dụng CloudWatch. AWS CloudWatch cung cấp ghi nhật ký sự kiện ngay lập tức.

Ngoài ra, bạn có thể thiết lập CloudTrail trong nhóm nhật ký CloudWatch để tạo luồng nhật ký. Có một sự kiện CloudTrail trong CloudWatch sẽ thêm một số tính năng mạnh mẽ. Bạn có thể thiết lập các bộ lọc số liệu để bật báo thức CloudWatch cho các hoạt động đáng ngờ.

Thiết lập chính sách vòng đời

Thiết lập chính sách vòng đời bảo vệ dữ liệu của bạn cũng như tiết kiệm tiền của bạn. Bằng cách thiết lập chính sách vòng đời, bạn di chuyển dữ liệu không mong muốn để đặt ở chế độ riêng tư và sau đó xóa nó. Điều này đảm bảo rằng dữ liệu không mong muốn có thể không còn bị tin tặc truy cập và tiết kiệm tiền bằng cách giải phóng không gian. Kích hoạt chính sách Vòng đời để chuyển dữ liệu từ bộ lưu trữ tiêu chuẩn sang AWS Glacier để tiết kiệm tiền.

Sau đó, dữ liệu được lưu trữ trong Glacier có thể bị xóa nếu nó không thêm giá trị cho bạn hoặc tổ chức.

Khối S3 truy cập công cộng

AWS đã thực hiện các bước để tự động hóa chức năng để chặn truy cập công khai của nhóm, trước đây, sự kết hợp của CloudWatch, CloudTrail và Lambda đã được sử dụng.

Có những trường hợp các nhà phát triển sẽ vô tình làm cho các đối tượng hoặc xô ra công chúng. Để tránh việc vô tình truy cập để làm cho xô hoặc các đối tượng công khai, các tính năng này có ích.

Tính năng cài đặt truy cập công khai khối mới sẽ ngăn mọi người biến nhóm thành công khai. Bạn có thể bật cài đặt này trong bảng điều khiển AWS, như trong video trên. Bạn cũng có thể áp dụng cài đặt này ở cấp tài khoản, như được giải thích trong video bên dưới.

Nghe Cố vấn đáng tin cậy AWS

Cố vấn đáng tin cậy AWS là một tính năng tích hợp được sử dụng để phân tích tài nguyên AWS trong tài khoản của bạn và đề xuất các thực tiễn tốt nhất.

Họ đưa ra khuyến nghị trong 5 loại; một trong những tính năng quan trọng là bảo mật. Kể từ tháng 2 năm 2018, AWS thông báo cho bạn khi các thùng S3 được thực hiện để có thể truy cập công khai.

Công cụ bảo mật AWS của bên thứ ba

Khác với Amazon, có một số bên thứ ba cung cấp các công cụ bảo mật để bảo mật dữ liệu của bạn. Chúng có thể giúp bạn tiết kiệm thời gian rất lớn và giữ an toàn cho dữ liệu cùng một lúc. Một số công cụ phổ biến được đề cập dưới đây:

Khỉ bảo mật

Đây là một công cụ được Netflix phát triển để theo dõi các thay đổi và cảnh báo chính sách AWS nếu tìm thấy bất kỳ cấu hình không an toàn nào. Khỉ bảo mật thực hiện một vài cuộc kiểm toán trên S3 để đảm bảo thực hành tốt nhất. Nó cũng hỗ trợ Google Cloud Platform.

Người giám sát đám mây

Người giám sát đám mây giúp bạn quản lý tài nguyên trong một đám mây phù hợp với thực tiễn tốt nhất. Nói một cách đơn giản, một khi bạn đã xác định được cách thực hành tốt nhất, bạn có thể sử dụng công cụ này để quét các tài nguyên trên đám mây để đảm bảo rằng nó được đáp ứng.

Nếu họ gặp nhau, bạn có thể sử dụng nhiều tùy chọn để gửi thông báo hoặc thực thi các chính sách còn thiếu.

Bản đồ đám mây

Bảo mật kép đã tạo ra Bản đồ đám mây, đó là một công cụ kiểm toán và trực quan hóa đám mây tuyệt vời. Nó mang một tính năng tương tự của Security Monkey để thực hiện quét các thùng S3 cho bất kỳ cấu hình sai nào. Nó cung cấp một đại diện trực quan tuyệt vời về cơ sở hạ tầng AWS của bạn để tăng cường xác định các vấn đề tiếp theo.

Và nó cung cấp báo cáo tuyệt vời.

Phần kết luận

Vì hầu hết các công việc được thực hiện bằng cách sử dụng dữ liệu, bảo mật chúng phải là một trong những trách nhiệm cốt lõi.

Người ta không bao giờ có thể biết khi nào và làm thế nào vi phạm dữ liệu sẽ xảy ra. Do đó một hành động phòng ngừa luôn luôn được khuyến khích. Tốt hơn là an toàn hơn xin lỗi. Bảo mật dữ liệu sẽ giúp bạn tiết kiệm hàng ngàn đô la.

Nếu bạn chưa quen với đám mây và thích học AWS, thì hãy xem điều này Khóa học của kẻ thù.

THẺ

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me