7 Praktik Terbaik untuk Mengamankan Penyimpanan AWS S3

Seperti semua layanan cloud, Anda harus bertanggung jawab untuk mengamankan penyimpanan cloud.


Dalam artikel ini, kita akan membahas tips terbaik untuk mengamankan penyimpanan AWS S3.

Sebelum kita melihat tips untuk mengamankan penyimpanan AWS S3, kita harus tahu mengapa ini sangat penting. Pada 2017 itu telah mengekspos data penting seperti media sosial pribadi akun dan data rahasia dari Pentagon.

Sejak itu, setiap organisasi memperhatikan untuk mengamankan data mereka yang tersimpan di AWS S3.

Apakah itu berarti S3 adalah solusi penyimpanan tidak aman dari Amazon Web Services? Tidak sama sekali, S3 adalah solusi penyimpanan yang aman, tetapi tergantung pada pengguna bagaimana mereka ingin mengamankan data mereka.

Model Tanggung Jawab Bersama AWS

Sebagian besar solusi yang ditawarkan oleh cloud publik menyediakan Model Tanggung Jawab Bersama. Ini berarti tanggung jawab untuk keamanan platform cloud diurus oleh AWS, dan pelanggan cloud bertanggung jawab atas keamanan di cloud..

Model bersama ini membantu mengurangi terhadap pelanggaran data. Diagram di bawah ini menunjukkan gambaran umum tanggung jawab AWS dan tanggung jawab pelanggan untuk mengamankan data.

Penyimpanan AWS S3 aman

Pelajari diagram di atas untuk membiasakan diri dengan tanggung jawab yang harus Anda ambil. Langkah-langkah pencegahan untuk mengamankan penyimpanan S3 sangat penting, tetapi setiap ancaman tidak dapat dicegah. AWS menyediakan beberapa cara untuk membantu Anda secara proaktif memantau dan menghindari risiko dari pelanggaran data.

Mari kita lihat praktik terbaik berikut untuk mengamankan penyimpanan AWS S3.

Buat Bucket Pribadi dan Publik

Saat Anda membuat ember baru, kebijakan bucket default bersifat pribadi. Hal yang sama diterapkan untuk objek baru yang diunggah. Anda harus secara manual memberikan akses ke entitas yang ingin Anda akses data.

Dengan menggunakan kombinasi kebijakan bucket, kebijakan ACL dan IAM memberikan akses yang tepat ke entitas yang tepat. Tapi, ini akan menjadi rumit dan sulit jika Anda menyimpan benda pribadi dan publik di keranjang yang sama. Dengan mencampurkan benda-benda publik dan pribadi dalam ember yang sama akan mengarah pada analisis ACL yang cermat, sehingga membuang-buang waktu produktif Anda.

Pendekatan sederhana adalah memisahkan objek menjadi ember publik dan ember pribadi. Buat satu ember publik dengan kebijakan ember untuk memberikan akses ke semua objek yang disimpan di dalamnya.

{
"Efek": "Mengizinkan",
"Kepala Sekolah": "*",
"Tindakan": "s3: GetObject",
"Sumber": "arn: aws: s3 ::: YOURPUBLICBUCKET / *"
}

Selanjutnya, buat ember lain untuk menyimpan objek pribadi. Secara default, semua akses ke bucket akan diblokir untuk akses publik. Anda kemudian dapat menggunakan kebijakan IAM untuk memberikan akses ke objek-objek ini untuk pengguna tertentu atau akses aplikasi.

Mengenkripsi Data Saat Istirahat dan Transit

Untuk melindungi data selama istirahat dan transit, aktifkan enkripsi. Anda dapat mengatur ini di AWS untuk mengenkripsi objek di server-sider sebelum menyimpannya di S3.

Ini dapat dicapai dengan menggunakan kunci S3 yang dikelola AWS default atau kunci Anda dibuat di Layanan Manajemen Kunci. Untuk memberlakukan enkripsi data selama transit dengan menggunakan protokol HTTPS untuk semua operasi bucket, Anda harus menambahkan kode di bawah ini dalam kebijakan bucket.

{
"Tindakan": "s3: *",
"Efek": "Menyangkal",
"Kepala Sekolah": "*",
"Sumber": "arn: aws: s3 ::: YOURBUCKETNAME / *",
"Kondisi": {
"Bool": { "aws: SecureTransport": Salah }
}
}

Memanfaatkan CloudTrail

CloudTrail adalah layanan AWS yang mencatat dan memelihara jejak peristiwa yang terjadi di seluruh layanan AWS. Dua jenis peristiwa CloudTrail adalah peristiwa data dan peristiwa manajemen. Kejadian data dinonaktifkan secara default dan jauh lebih terperinci.

Acara manajemen mengacu pada membuat, menghapus, atau memperbarui bucket S3. Dan peristiwa Data merujuk pada panggilan API yang dibuat pada objek seperti PutObject, GetObject, atau GetObject.

Tidak seperti acara manajemen, acara data akan menelan biaya $ 0,10 per 100.000 acara.

Anda membuat jejak khusus untuk masuk dan memantau bucket S3 Anda di wilayah tertentu atau secara global. Jejak ini akan menyimpan log dalam ember S3.

CloudWatch dan lansiran

Memiliki CloudTrail pengaturan sangat bagus untuk pemantauan, tetapi jika Anda harus memiliki kontrol atas peringatan dan penyembuhan diri, maka gunakan CloudWatch. AWS CloudWatch menawarkan pencatatan langsung peristiwa.

Selain itu, Anda dapat mengatur CloudTrail dalam grup log CloudWatch untuk membuat aliran log. Memiliki acara CloudTrail di CloudWatch menambahkan beberapa fitur canggih. Anda dapat mengatur filter metrik untuk mengaktifkan alarm CloudWatch untuk aktivitas yang mencurigakan.

Atur Kebijakan Siklus Hidup

Menyiapkan kebijakan siklus hidup mengamankan data Anda serta menghemat uang Anda. Dengan menyiapkan kebijakan siklus hidup, Anda memindahkan data yang tidak diinginkan untuk menjadikannya pribadi dan kemudian menghapusnya. Ini memastikan bahwa data yang tidak diinginkan tidak lagi dapat diakses oleh peretas dan menghemat uang dengan membebaskan ruang. Aktifkan kebijakan Siklus Hidup untuk memindahkan data dari penyimpanan standar ke AWS Glacier untuk menghemat uang.

Nantinya, data yang disimpan di Gletser dapat dihapus jika tidak menambah nilai bagi Anda atau organisasi.

S3 Memblokir Akses Publik

AWS telah mengambil langkah-langkah untuk mengotomatisasi fungsi untuk memblokir akses publik dari sebuah ember, yang sebelumnya merupakan kombinasi dari CloudWatch, CloudTrail, dan Lambda digunakan.

Ada beberapa kasus di mana pengembang secara tidak sengaja akan membuat objek atau ember ke publik. Untuk menghindari akses yang tidak disengaja untuk membuat bucket atau objek publik, fitur-fitur ini berguna.

Fitur pengaturan akses blokir publik yang baru akan mencegah siapa pun membuat bucket menjadi publik. Anda dapat mengaktifkan pengaturan ini di konsol AWS, seperti yang ditunjukkan dalam video di atas. Anda juga dapat menerapkan pengaturan ini di tingkat akun, seperti yang dijelaskan dalam video di bawah ini.

Dengarkan Penasihat Tepercaya AWS

Penasihat Tepercaya AWS adalah fitur bawaan yang digunakan untuk menganalisis sumber daya AWS dalam akun Anda dan merekomendasikan praktik terbaik.

Mereka menawarkan rekomendasi dalam 5 kategori; salah satu fitur penting adalah keamanan. Sejak Februari 2018, AWS memberi tahu Anda saat bucket S3 dibuat agar dapat diakses publik.

Alat keamanan AWS pihak ketiga

Selain Amazon, ada beberapa pihak ketiga yang menyediakan alat keamanan untuk mengamankan data Anda. Mereka dapat menghemat waktu Anda yang luar biasa dan menjaga keamanan data pada saat bersamaan. Beberapa alat populer disebutkan di bawah ini:

Keamanan monyet

Ini adalah alat yang dikembangkan oleh Netflix untuk memantau perubahan dan peringatan kebijakan AWS jika menemukan konfigurasi tidak aman. Keamanan monyet melakukan beberapa audit pada S3 untuk memastikan praktik terbaik ada di tempatnya. Ini juga mendukung Google Cloud Platform.

Cloud Custodian

Cloud Custodian membantu Anda mengelola sumber daya di cloud yang selaras dengan praktik terbaik. Dengan kata-kata sederhana, setelah Anda mengidentifikasi praktik terbaik, Anda dapat menggunakan alat ini untuk memindai sumber daya di cloud untuk memastikan bahwa itu terpenuhi.

Jika mereka tidak bertemu, Anda dapat menggunakan banyak opsi untuk mengirim peringatan atau menegakkan kebijakan yang hilang.

Cloud Mapper

Duo Security menciptakan Cloud Mapper, yang merupakan alat audit dan visualisasi cloud yang hebat. Ini membawa fitur yang mirip dengan Security Monkey untuk melakukan pemindaian bucket S3 untuk setiap kesalahan konfigurasi. Ini menawarkan representasi visual yang hebat dari infrastruktur AWS Anda untuk meningkatkan identifikasi masalah lebih lanjut.

Dan itu menawarkan pelaporan yang sangat baik.

Kesimpulan

Karena sebagian besar pekerjaan dilakukan dengan menggunakan data, mengamankan mereka harus menjadi salah satu tanggung jawab inti.

Orang tidak akan pernah tahu kapan dan bagaimana pelanggaran data akan terjadi. Karenanya tindakan pencegahan selalu dianjurkan. Lebih baik aman daripada menyesal. Mengamankan data akan menghemat ribuan dolar.

Jika Anda baru mengenal cloud dan tertarik mempelajari AWS, maka periksa ini Udemy tentu saja.

TAGS:

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map