我们曾撰文介绍过使用核对表如何避免配置错误,这对数据保护来说是一种有用的做法。加密是数据保护中最基本的做法之一,因为如果数据丢失、被盗或以其他方式被不当访问,加密会使数据变得不可读。因此,一个主要的 AWS S3 配置错误就是没有启用服务器端加密,因为忽略加密可能会使机密信息以明文形式暴露。
数据加密可保护静态数据(存储在 S3 上的数据)和传输中数据(往返于 S3 的数据)。传输中的数据可由 SSL/TLS 保护,而静止数据可由服务器端加密或客户端加密保护。
客户端加密要求客户管理加密过程、工具和密钥,这对于IT 管理员来说,管理起来既费时又费钱,而且往往过于复杂。因此,大多数企业更倾向于服务器端加密,因为亚马逊负责管理数据存储前的加密过程,以及经授权和验证的用户访问时的解密过程。
亚马逊提供三种部署服务器端加密的方法:
- 亚马逊 S3 管理密钥 (SSE-S3) - 亚马逊使用唯一的 256 位高阶加密标准 (AES-256) 密钥对每个对象进行加密,然后使用经常轮换的根密钥对该密钥进行加密。SSE-S3 不收取额外费用,因此很有吸引力。关注数据安全的组织应采用这种入门级产品。
- 存储在 AWS 密钥管理服务(SSE-KMS)中的KMS 密钥- KMS 是亚马逊的高阶产品,它以额外的费用增加了一个密钥管理系统。对于需要设置访问权限或提供合规性审计跟踪的成熟企业来说,这种解决方案更具吸引力。
- 客户提供密钥 (SSE-C) - 与客户端加密类似,客户提供密钥要求客户管理加密密钥,但亚马逊仍负责数据加密。这种方法可能对有安全意识的组织更有吸引力,因为它们希望避免把所有鸡蛋放在一个篮子里,但它会带来与客户端加密相同的管理问题。
任何使用 SSE-C 的亚马逊客户都需要对应用密码学有深入的了解,否则可能会危及其组织的数据。如果他们使用 HTTP 连接,亚马逊会拒绝请求,而他们的密钥可能会暴露。更糟糕的是,如果客户丢失了加密密钥,就无法访问数据。因此,对于大多数组织来说,SSE-S3 或 SSE-KMS 可能是一种更易于管理的方法。
使用 SSE-S3 的企业可以使用数据桶策略加密数据桶中的所有对象,也可以使用 REST API 命令加密特定对象。由于选项太多,无法一一解释,因此企业应查看亚马逊 SSE-S3 文档。同样,SSE-KMS 也提供类似的加密功能以及高阶灵活性和控制(以及成本),因此建议企业查看亚马逊 SSE-KMS 文档。亚马逊甚至提供了如何使用桶密钥降低 SSE-KMS 成本的建议。
避免常见的配置错误OPSWAT
说到常见的配置错误,如启用服务器端加密,企业应该使用核对表来确保他们正在实施最佳实践。利用技术将这一流程自动化,有助于避免耗时且昂贵的手动错误。
MetaDefender Storage Security增强了其云存储安全解决方案,提供了一个集成的安全检查清单,使网络安全专业人员能够确保其组织的云存储在配置时不会出现配置错误,其中包括云存储的开发和生产阶段。
启用服务器端加密是MetaDefender Storage Security 中的一个主要检查项目,但它并不是唯一的检查项目。在今后的博客中,我们将探讨保护静态数据的其他主要配置错误。
请联系 OPSWAT 网络安全专家,了解更多信息。
阅读本系列的前几篇博客:
