7 parhaita käytäntöjä AWS S3 -tallennuksen suojaamiseksi

Kuten kaikki pilvipalvelut, sinun on otettava vastuu pilvitallennuksen suojaamisesta.


Tässä artikkelissa käsittelemme parhaita vinkkejä AWS S3 -tallennuksen turvaamiseksi.

Ennen kuin näemme vinkkejä AWS S3 -tallennuksen turvaamiseksi, meidän pitäisi tietää, miksi se on tärkeä. Vuonna 2017 se oli paljastanut kriittisiä tietoja, kuten yksityinen sosiaalinen media tilit ja luokiteltuja tietoja Pentagonista.

Siitä lähtien jokainen organisaatio kiinnittää erityistä huomiota AWS S3: aan tallennettujen tietojen suojaamiseen.

Tarkoittaako tämä, että S3 on Amazon Web Services -yrityksen epävarma tallennusratkaisu? Ei ollenkaan, S3 on turvallinen tallennusratkaisu, mutta se riippuu käyttäjästä, kuinka he haluavat suojata tietonsa.

AWS-yhteisen vastuun malli

Suurin osa julkisen pilven tarjoamista ratkaisuista tarjoaa yhteisen vastuun mallin. Tämä tarkoittaa, että AWS huolehtii vastuusta pilvialustan turvallisuudesta ja pilviasiakkaat vastaavat pilvipalvelun turvallisuudesta.

Tämä jaettu malli auttaa lieventämään tietorikkomuksia. Alla oleva kaavio näyttää yleisen AWS: n vastuu ja asiakkaan vastuu tietojen suojaamisesta.

Suojattu AWS S3 -tallennustila

Tutki yllä olevaa kaaviota ja tutustu vastuuseen, joka sinun on otettava. Ennaltaehkäisevät toimenpiteet S3-tallennuksen turvaamiseksi ovat välttämättömiä, mutta kaikkia uhkia ei voida estää. AWS tarjoaa muutamia tapoja auttaa sinua ennakoivasti seuraamaan ja välttämään tietorikkomusten aiheuttamaa riskiä.

Katsotaanpa seuraavia parhaita käytäntöjä AWS S3 -tallennuksen turvaamiseksi.

Luo yksityinen ja julkinen ämpäri

Kun luot uuden ämpäri, oletustasäntökäytäntö on yksityinen. Sama pätee ladattuihin uusiin kohteisiin. Sinun on manuaalisesti annettava käyttöoikeus yhteisölle, jonka tietoja haluat käyttää.

Käyttämällä ämpärikäytäntöjen yhdistelmää, ACL- ja IAM-käytännöt antavat oikean pääsyn oikeisiin kokonaisuuksiin. Mutta siitä tulee monimutkaista ja vaikeaa, jos pidät sekä yksityisiä että julkisia esineitä samassa ämpäri. Sekoittamalla julkiset ja yksityiset esineet samaan ämpäriin saadaan ACL-analyysejä huolellisesti analysoimalla, mikä tuhlaa tuotannollista aikaa.

Yksinkertainen lähestymistapa on erottaa esineet julkiseen ja yksityiseen kauhaan. Luo yksi julkinen ämpäri kauhakäytännöllä, jotta kaikille siihen tallennetuille objekteille voidaan myöntää käyttöoikeus.

{
"Vaikutus": "Sallia",
"pääasiallinen": "*",
"Toiminta": "S3: GetObject",
"Resurssi": "arn: AWS: S3 ::: YOURPUBLICBUCKET / *"
}

Luo seuraavaksi uusi ämpäri yksityisten esineiden tallentamiseksi. Oletusarvon mukaan kaikki kauhan käyttöoikeudet estetään julkista käyttöä varten. Voit sitten käyttää IAM-käytäntöjä myöntääksesi pääsyn näille objekteille tietyille käyttäjille tai sovellusoikeuksille.

Tietojen salaaminen levossa ja kauttakulussa

Ota suojaus käyttöön tietojen suojaamiseksi lepo- ja kuljetuksen aikana. Voit määrittää tämän AWS: ssä salaamaan kohteita palvelimen puolella ennen tallennusta S3: een.

Tämä voidaan saavuttaa käyttämällä AWS: n oletusarvoisia S3-avaimia tai Avainten hallintapalveluun luomia avaimia. Jos haluat varmistaa tietojen salauksen siirron aikana käyttämällä HTTPS-protokollaa kaikkiin kauhatoimintoihin, sinun on lisättävä alla oleva koodi kauhan käytäntöön.

{
"Toiminta": "S3: *",
"Vaikutus": "kieltää",
"pääasiallinen": "*",
"Resurssi": "arn: AWS: S3 ::: YOURBUCKETNAME / *",
"Kunto": {
"Bool": { "AWS: SecureTransport": väärä }
}
}

Hyödynnä CloudTrail

CloudTrail on AWS-palvelu, joka kirjaa ja ylläpitää AWS-palvelujen kautta tapahtuvien tapahtumien jälkiä. CloudTrail-tapahtumien kaksi tyyppiä ovat data- ja hallintatapahtumat. Datatapahtumat poistetaan oletuksena käytöstä ja ovat paljon yksityiskohtaisempia.

Hallintatapahtumat viittaavat S3-kauhojen luomiseen, poistamiseen tai päivittämiseen. Ja datatapahtumat viittaavat sovellusliittymäpuheluihin, jotka tehdään esimerkiksi objekteille, kuten PutObject, GetObject tai GetObject.

Toisin kuin hallintatapahtumat, datatapahtumat maksavat 0,10 dollaria / 100 000 tapahtumaa.

Voit luoda erityisen reitin S3-kauhan kirjaamiseksi ja seuraamiseksi tietyllä alueella tai maailmanlaajuisesti. Nämä polut tallentavat lokit S3-kauhaan.

CloudWatch ja hälytys

ottaa CloudTrail asennus on hieno seurannalle, mutta jos tarvitset valvoa hälytystä ja itseparannusta, käytä CloudWatchia. AWS CloudWatch tarjoaa tapahtumien välittömän kirjaamisen.

Voit myös määrittää CloudTrail CloudWatch-lokiryhmässä luoda lokiviroja. CloudTrail-tapahtuman järjestäminen CloudWatchissa lisää joitain tehokkaita ominaisuuksia. Voit määrittää metrisuodattimet, jotta CloudWatch-hälytys otetaan käyttöön epäilyttävien toimintojen yhteydessä.

Asenna elinkaaripolitiikka

Elinkaaripolitiikan määrittäminen turvaa tietosi ja säästää rahaa. Asettamalla elinkaaripolitiikan siirrät ei-toivotut tiedot yksityiseksi ja poistat ne myöhemmin. Tämä varmistaa, että hakkerit eivät enää pääse käsiksi ei-toivottuihin tietoihin ja säästät rahaa vapauttamalla tilaa. Ota elinkaaripolitiikka käyttöön siirtääksesi tiedot normaalista tallennustilasta AWS Glacieriin rahaa säästämällä.

Myöhemmin Glacieriin tallennetut tiedot voidaan poistaa, elleivät ne lisää arvoa sinulle tai organisaatiolle.

S3 Estä julkinen pääsy

AWS on ryhtynyt toimiin automatisoidakseen kauhan julkisen käytön estämisen, aiemmin käytettiin CloudWatchin, CloudTrailin ja Lambdan yhdistelmää.

On tapauksia, joissa kehittäjät tekevät esineet tai kauhan vahingossa yleisölle. Nämä ominaisuudet ovat hyödyllisiä, jotta kauhan tai esineiden julkistamiseen ei vahingossa päästä.

Uusi julkisen pääsyn estotoiminto estää ketään tekemästä kauhaa julkiseksi. Voit ottaa tämän asetuksen käyttöön AWS-konsolissa, kuten yllä olevassa videossa näytetään. Voit käyttää tätä asetusta myös tilitasolla, kuten alla olevassa videossa selitetään.

Kuuntele AWS Trusted Advisor

AWS-luotettu neuvonantaja on sisäänrakennettu ominaisuus, jota käytetään tilisi AWS-resurssien analysointiin ja suosittelee parhaita käytäntöjä.

Ne tarjoavat suosituksia viiteen luokkaan; yksi tärkeimmistä piirteistä on turvallisuus. Helmikuusta 2018 lähtien AWS ilmoittaa sinulle, kun S3-kauhat tehdään julkisesti saataville.

Kolmannen osapuolen AWS-tietoturvatyökalut

Muita kuin Amazonia on jokin kolmas osapuoli, joka tarjoaa tietoturvatyökaluja tietojen suojaamiseksi. Ne voivat säästää valtavasti aikaa ja pitää tiedot suojattuna samanaikaisesti. Jotkut suosituista työkaluista mainitaan alla:

Turva-apina

Se on Netflixin kehittämä työkalu valvomaan AWS-käytäntöjen muutoksia ja ilmoituksia, jos se löytää epävarmoja kokoonpanoja. Turva-apina suorittaa muutama auditointi S3: lle varmistaakseen parhaiden käytäntöjen olemassaolon. Se tukee myös Google Cloud Platform -palvelua.

Pilvihoitaja

Pilvihoitaja auttaa sinua hallitsemaan resursseja pilvessä, joka on yhdenmukaistettu parhaiden käytäntöjen kanssa. Yksinkertaisin sanoin, kun olet löytänyt parhaan käytännön, voit käyttää tätä työkalua skannaamaan resursseja pilvessä varmistaakseen, että se noudatetaan.

Jos niitä ei noudateta, voit käyttää monia vaihtoehtoja hälytysten lähettämiseen tai puuttuvien politiikkojen täytäntöönpanoon.

Cloud Mapper

Duo Security loi Cloud Mapper, joka on hieno pilvien visualisointi- ja tarkastustyökalu. Siinä on vastaava ominaisuus Security Monkey -yksikössä S3-kauhojen skannaamiseen mahdollisten väärien määritysten varalta. Se tarjoaa upean visuaalisen esityksen AWS-infrastruktuuristasi parantaaksesi muiden ongelmien tunnistamista.

Ja se tarjoaa erinomaisen raportoinnin.

johtopäätös

Koska suurin osa työstä suoritetaan datalla, niiden turvaamisen tulisi olla yksi keskeisistä velvollisuuksista.

Kukaan ei voi koskaan tietää, milloin ja miten tietosuojarikkomus tapahtuu. Siksi ennaltaehkäiseviä toimia suositellaan aina. Parempi olla turvassa kuin pahoillani. Tietojen suojaaminen säästää tuhansia dollareita.

Jos olet uusi pilvi ja olet kiinnostunut AWS: n oppimisesta, katso tämä Udemy-kurssi.

Tunnisteet:

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    latest articles
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector