Mesterséges intelligencia által vezérelt kibertámadások: Hogyan lehet felismerni, megelőzni és megvédeni az intelligens fenyegetéseket?

Olvassa el most
A helyszíni fordításokhoz mesterséges intelligenciát használunk, és bár törekszünk a pontosságra, nem biztos, hogy mindig 100%-os pontosságúak. Megértését nagyra értékeljük.

AWS S3 konfiguráció legjobb gyakorlata: A Server oldal titkosításának engedélyezése

a OPSWAT
Ossza meg ezt a bejegyzést

Korábban már írtunk arról, hogy az ellenőrző listák használatával elkerülhetők a konfigurációs hibák, ami hasznos gyakorlat az adatvédelem szempontjából. A titkosítás az egyik legalapvetőbb adatvédelmi gyakorlat, mivel olvashatatlanná teszi az adatokat, ha azok elvesznek, ellopják vagy más módon nem megfelelő módon hozzáférnek. Ezért az AWS S3 konfigurációs hiba egyik fő hibája a szerveroldali titkosítás nem engedélyezése, mivel ennek elhanyagolása miatt a bizalmas információk nyílt szövegben maradhatnak.

Az adattitkosítás védi a nyugalmi adatokat (az S3-on tárolt adatok) és a tranzitadatokat (az S3-ra és S3-ról érkező adatok). Az adatátvitel közbeni adatokat SSL/TLS, míg a nyugalmi adatokat szerveroldali vagy kliensoldali titkosítással lehet védeni.

Az ügyféloldali titkosítás megköveteli, hogy az ügyfél kezelje a titkosítási folyamatot, az eszközöket és a kulcsokat, ami az IT adminisztrátorok számára meglehetősen időigényes és költséges lehet, és gyakran túl bonyolult. Következésképpen a legtöbb szervezet a szerveroldali titkosítást részesíti előnyben, mivel az Amazon kezeli az adatok titkosításának folyamatát a tárolás előtt, és a titkosítás visszafejtését, amikor egy felhatalmazott és hitelesített felhasználó hozzáfér.

Az Amazon háromféle módon kínálja a kiszolgálóoldali titkosítás telepítését:

  • Amazon S3-kezelt kulcsok (SSE-S3 ) - Az Amazon minden objektumot egyedi 256 bites AES-256-os (Advanced Encryption Standard) kulccsal titkosít, majd ezt a kulcsot egy gyakran cserélődő gyökérkulccsal titkosítja. Az SSE-S3-ért nem kell külön fizetni, ami vonzó ajánlatot tesz. Az adatbiztonságért aggódó szervezeteknek érdemes elfogadniuk ezt a belépő szintű ajánlatot.
  • Az AWS kulcskezelő szolgáltatásban tárolt KMS-kulcsok (SSE-KMS) - A KMS az Amazon prémium ajánlata, amely felár ellenében kulcskezelő rendszert biztosít. Ez a megoldás vonzóbb az érett szervezetek számára, amelyeknek hozzáférési jogosultságokat kell beállítaniuk, vagy ellenőrzési nyomvonalat kell biztosítaniuk a jogszabályi megfelelőség érdekében.
  • Ügyfél által biztosított kulcsok (SSE-C) - Az ügyféloldali titkosításhoz hasonlóan az ügyfél által biztosított kulcsok esetében is az ügyfélnek kell kezelnie a titkosítási kulcsokat, de az Amazon továbbra is kezeli az adatok titkosítását. Ez a fajta megközelítés vonzóbb lehet a biztonságtudatos szervezetek számára, amelyek nem akarnak mindent egy lapra feltenni, de ugyanazokat a kezelési problémákat veti fel, mint az ügyféloldali titkosítás.

Az SSE-C-t használó Amazon-ügyfeleknek alapos ismeretekkel kell rendelkezniük az alkalmazott kriptográfiáról, különben veszélybe sodorhatják szervezetük adatait. Ha HTTP használatával csatlakoznak, az Amazon elutasítja a kérést, és a kulcsukat felfedhetik. Még rosszabb, ha az ügyfél elveszíti a titkosítási kulcsát, akkor nem férhet hozzá az adatokhoz. Ennek eredményeképpen az SSE-S3 vagy az SSE-KMS a legtöbb szervezet számára kezelhetőbb megközelítés lehet.

Az SSE-S3-at használó szervezetek egy vödör házirend segítségével titkosíthatják a vödörben lévő összes objektumot, vagy a REST API parancsok segítségével titkosíthatják az egyes objektumokat. Túl sok lehetőség van ahhoz, hogy mindet elmagyarázzuk, ezért a szervezeteknek érdemes áttanulmányozniuk az Amazon SSE-S3 dokumentációját. Hasonlóképpen, az SSE-KMS hasonló titkosítási funkciókat kínál, valamint fejlett rugalmasságot és ellenőrzést (és költségeket), ezért a szervezeteknek ajánlott áttekinteniük az Amazon SSE-KMS dokumentációját. Az Amazon még arra vonatkozóan is ad tanácsokat, hogyan lehet az SSE-KMS költségeit alacsonyan tartani a bucket keys segítségével.

Kerülje el a gyakori konfigurációs hibákat az OPSWAT

A gyakori konfigurációs hibák, például a kiszolgálóoldali titkosítás engedélyezése esetén a szervezeteknek ellenőrző listákat kell használniuk, hogy biztosítsák a legjobb gyakorlatok végrehajtását. Ennek a folyamatnak a technológiával történő automatizálása segíthet elkerülni az időigényes és költséges kézi hibákat.

MetaDefender Storage Security egy integrált biztonsági ellenőrző listával bővíti felhőalapú tárolási biztonsági megoldását, hogy a kiberbiztonsági szakemberek biztosítani tudják, hogy szervezetük felhőalapú tárolóját ne konfigurálják félre a rendelkezésre bocsátás során, ami magában foglalja a felhőalapú tárolás fejlesztési és termelési szakaszát is.

A kiszolgálóoldali titkosítás engedélyezése a MetaDefender Storage Security egyik fő ellenőrző listája, de nem ez az egyetlen. A jövőbeli blogokban a nyugalmi adatok védelmének egyéb fontos konfigurációs hibáit fogjuk megvizsgálni.

További információkért forduljon az OPSWAT kiberbiztonsági szakértőjéhez.

Olvassa el a sorozat korábbi blogjait:

Maradjon naprakész az OPSWAT oldalon!

Iratkozzon fel még ma, hogy értesüljön a vállalat legfrissebb híreiről, történetekről, eseményinformációkról és sok másról.