7 najboljih praksi za osiguravanje pohrane AWS S3

Kao i sve usluge oblaka, preuzimate odgovornost za osiguravanje pohrane u oblaku.


U ovom ćemo članku raspravljati o najboljim savjetima za sigurnu pohranu AWS S3.

Prije nego što vidimo savjete za osiguravanje AWS S3 pohrane, trebali bismo znati zašto je to ključno. U 2017. godini izložio je kritične podatke poput privatni društveni mediji računi i klasificirani podaci iz Pentagona.

Otada svaka organizacija posvećuje veliku pozornost osiguravanju svojih podataka pohranjenih u AWS S3.

Znači li to da je S3 nesigurno rješenje za pohranu od tvrtke Amazon Web Services? Uopće, S3 je sigurno rješenje za pohranu, ali o korisniku ovisi kako želi zaštititi svoje podatke.

Model zajedničke odgovornosti prema AWS-u

Većina rješenja koja nudi javni oblak pruža model zajedničke odgovornosti. To znači da za sigurnost oblačne platforme brine AWS, a korisnici oblaka su odgovorni za sigurnost u oblaku.

Ovaj zajednički model pomaže ublažavanju kršenja podataka. Donji dijagram prikazuje općenito odgovornost AWS-a a odgovornost kupca za zaštitu podataka.

Osigurajte pohranu AWS S3

Proučite gornji dijagram kako biste se upoznali s odgovornostima koje morate preuzeti. Preventivne mjere osiguranja S3 skladišta su ključne, ali svaku prijetnju nije moguće spriječiti. AWS pruža nekoliko načina koji će vam pomoći da proaktivno nadgledate i izbjegnete rizik od kršenja podataka.

Pogledajmo sljedeće najbolje prakse za osiguranje AWS S3 pohrane.

Stvorite privatni i javni kantu

Kada stvorite novu kantu, zadana pravila segmenta su privatna. Isto se primjenjuje na nove prenesene objekte. Morat ćete ručno odobriti pristup entitetu kojem želite pristupiti podacima.

Upotrebom kombinacije pravila skupa, ACL i IAM pravila daju pravi pristup pravim entitetima. No, to će postati složeno i teško ako u istoj kanti držite i privatne i javne predmete. Miješanjem javnih i privatnih objekata u istoj posudi dovest će do pažljive analize ACL-a, što će dovesti do gubitka vašeg produktivnog vremena.

Jednostavan pristup je odvajanje predmeta u javnu kantu i privatnu kantu. Napravite jednu javnu kantu s pravilima kante kako biste omogućili pristup svim objektima pohranjenim u njoj.

{
"Posljedica": "dopustiti",
"Glavni": "*",
"Radnja": "s3: GetObject",
"Resurs": "ARN: AWS: s3 ::: YOURPUBLICBUCKET / *"
}

Zatim stvorite još jednu kantu za spremanje privatnih objekata. Prema pristupu, sav pristup kanti bit će blokiran za javni pristup. Zatim možete upotrijebiti IAM pravila da biste odobrili pristup tim objektima određenim korisnicima ili pristupu aplikacijama.

Šifriranje podataka u mirovanju i prijevozu

Da biste zaštitili podatke tijekom mirovanja i tranzita, omogućite šifriranje. Ovo možete postaviti u AWS-u za kriptiranje objekata na strani poslužitelja prije nego što ih pohranite u S3.

To se može postići korištenjem zadanih A3 tipki S3 ili vašim ključevima stvorenim u službi upravljanja ključevima. Da biste nametnuli šifriranje podataka tijekom prijenosa pomoću HTTPS protokola za sve operacije skupa, morate dodati kôd u nastavku u politici kante.

{
"Radnja": "s3: *",
"Posljedica": "poreći",
"Glavni": "*",
"Resurs": "ARN: AWS: s3 ::: YOURBUCKETNAME / *",
"Stanje": {
"bool": { "AWS: SecureTransport": false}
}
}

Koristite CloudTrail

CloudTrail je AWS usluga koja bilježi i održava trag događaja koji se odvijaju putem AWS usluga. Dvije vrste CloudTrail događaja su događaji s podacima i događaji upravljanja. Događaji podataka onemogućeni su prema zadanim postavkama i puno su detaljniji.

Događaji upravljanja odnose se na stvaranje, brisanje ili ažuriranje S3 kanta. A događaji podataka odnose se na API pozive upućene na objekte kao što su PutObject, GetObject ili GetObject.

Za razliku od događaja upravljanja, događaji podataka koštat će 0,10 dolara na 100 000 događaja.

Stvorite određeni trag za evidentiranje i nadzor S3 kante u određenoj regiji ili globalno. Ove će staze spremiti zapisnike u kantu S3.

CloudWatch i upozorenje

Nakon što je CloudTrail postava je odlična za nadgledanje, ali ako trebate imati kontrolu nad uzbunom i samoizlječenjem, upotrijebite CloudWatch. AWS CloudWatch nudi trenutno bilježenje događaja.

Također, možete postaviti CloudTrail unutar grupe dnevnika CloudWatch za stvaranje protoka dnevnika. Imati CloudTrail događaj u CloudWatchu dodaje neke moćne značajke. Možete postaviti filtre mjerenja kako biste omogućili alarm CloudWatch-a za sumnjive aktivnosti.

Postavite pravila životnog ciklusa

Postavljanje pravila životnog ciklusa osigurava vaše podatke i štedi novac. Postavljanjem pravila životnog ciklusa premještate neželjene podatke kako bi ih učinili privatnim, a kasnije ih izbrišite. To osigurava da hakeri više ne mogu pristupiti neželjenim podacima i uštedjeti novac oslobađajući prostor. Omogućite pravilnik o životnom ciklusu da podatke premjestite iz standardne pohrane u AWS Glacier radi uštede novca.

Kasnije se podaci pohranjeni u ledenjaku mogu izbrisati ako više ne dodaju vrijednost vama ili organizaciji.

S3 Blokiraj javni pristup

AWS je poduzeo korake za automatizaciju funkcionalnosti za blokiranje javnog pristupa kanti, prethodno je korištena kombinacija CloudWatch, CloudTrail i Lambda.

Postoje slučajevi gdje programeri slučajno iznesu objekte ili kantu u javnost. Kako bi se izbjegao slučajni pristup objavljivanju kante ili predmeta, ove značajke dolaze u obzir.

Nova značajka postavljanja javnog pristupa bloku spriječit će svakoga da kantu učini javnim. Ovu postavku možete omogućiti na AWS konzoli, kao što je prikazano u gornjem videu. Ovu postavku možete primijeniti i na razini računa, kao što je objašnjeno u videu u nastavku.

Slušajte pouzdanog savjetnika AWS-a

AWS Pouzdan savjetnik je ugrađena značajka koja se koristi za analizu AWS resursa na vašem računu i preporučuje najbolje prakse.

Oni nude preporuke u 5 kategorija; jedno od presudnih obilježja je sigurnost. Od veljače 2018. AWS vas upozorava kada su postaju S3 kante javno dostupne.

AWS sigurnosni alati treće strane

Osim Amazona, postoji i treća strana koja pruža sigurnosne alate za zaštitu vaših podataka. Oni vam mogu uštedjeti ogromno vrijeme i istovremeno osigurati sigurnost podataka. U nastavku su navedeni neki od popularnih alata:

Majmun sigurnosti

To je alat koji je Netflix razvio za praćenje promjena i upozorenja AWS pravila ako pronađe bilo kakve nesigurne konfiguracije. Majmun sigurnosti provodi nekoliko revizija S3 kako bi se uvjerio da postoje najbolje prakse. Također podržava Google Cloud Platform.

Čuvar oblaka

Čuvar oblaka pomaže vam da upravljate resursima u oblaku usklađenom s najboljim postupcima. Jednostavnim riječima, nakon što utvrdite najbolju praksu, pomoću ovog alata možete skenirati resurse u oblaku kako biste osigurali da se ispuni.

Ako nisu ispunjeni, možete koristiti mnoge opcije za slanje upozorenja ili provođenje pravila koja nedostaju.

Cloud Mapper

Duo Security stvorio Cloud Mapper, što je sjajan alat za vizualizaciju i reviziju oblaka. Ima sličnu značajku Security Monkeyja da izvrši skeniranje S3 kante za utvrđivanje pogrešnih konfiguracija. Nudi odličan vizualni prikaz vaše AWS infrastrukture kako bi se poboljšala identifikacija daljnjih problema.

I nudi izvrsno izvještavanje.

Zaključak

Budući da se najveći dio posla odvija pomoću podataka, njihovo osiguranje trebalo bi biti jedna od glavnih obveza.

Nikad se ne može znati kada i kako će doći do kršenja podataka. Stoga se uvijek preporučuje preventivno djelovanje. Bolje biti siguran nego žao. Osiguravanjem podataka uštedjet ćete tisuće dolara.

Ako ste novi u oblaku i želite naučiti AWS, pogledajte ovo Udemy tečaj.

OZNAKE:

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map