7 วิธีปฏิบัติที่ดีที่สุดเพื่อรักษาความปลอดภัยพื้นที่เก็บข้อมูล AWS S3

เช่นเดียวกับบริการคลาวด์ทั้งหมดคุณต้องรับผิดชอบในการจัดเก็บข้อมูลบนคลาวด์อย่างปลอดภัย.


ในบทความชิ้นนี้เราจะพูดถึงเคล็ดลับที่ดีที่สุดในการรักษาความปลอดภัยพื้นที่เก็บข้อมูล AWS S3.

ก่อนที่เราจะเห็นเคล็ดลับในการรักษาความปลอดภัยของพื้นที่จัดเก็บ AWS S3 เราควรรู้ว่าทำไมจึงมีความสำคัญ ในปี 2560 มีการเปิดเผยข้อมูลที่สำคัญเช่น โซเชียลมีเดียส่วนตัว บัญชีและ ข้อมูลลับจากเพนตากอน.

ตั้งแต่นั้นมาทุกองค์กรให้ความสำคัญกับการรักษาความปลอดภัยข้อมูลที่เก็บไว้ใน AWS S3.

นั่นหมายความว่า S3 เป็นโซลูชั่นการจัดเก็บข้อมูลที่ไม่ปลอดภัยจาก Amazon Web Services หรือไม่? ไม่เลย S3 เป็นโซลูชั่นการจัดเก็บข้อมูลที่ปลอดภัย แต่ขึ้นอยู่กับผู้ใช้ว่าพวกเขาต้องการรักษาความปลอดภัยข้อมูลของพวกเขาอย่างไร.

รูปแบบความรับผิดชอบร่วมกันของ AWS

โซลูชันส่วนใหญ่ที่นำเสนอโดยคลาวด์สาธารณะเป็นรูปแบบความรับผิดชอบร่วมกัน นี่หมายถึงความรับผิดชอบต่อความปลอดภัยของแพลตฟอร์มคลาวด์ที่ได้รับการดูแลโดย AWS และลูกค้าคลาวด์ต้องรับผิดชอบต่อความปลอดภัยในระบบคลาวด์.

โมเดลที่แบ่งใช้นี้ช่วยลดการรั่วไหลของข้อมูล แผนภาพด้านล่างแสดงให้เห็นถึงทั่วไป ความรับผิดชอบของ AWS และความรับผิดชอบของลูกค้าในการรักษาความปลอดภัยข้อมูล.

รักษาความปลอดภัยที่เก็บ AWS S3

ศึกษาแผนภาพข้างต้นเพื่อทำความคุ้นเคยกับความรับผิดชอบที่คุณต้องทำ มาตรการป้องกันเพื่อรักษาความปลอดภัยพื้นที่เก็บข้อมูล S3 เป็นสิ่งจำเป็น แต่ภัยคุกคามทั้งหมดไม่สามารถป้องกันได้ AWS มีวิธีการสองสามวิธีในการช่วยคุณตรวจสอบเชิงรุกและหลีกเลี่ยงความเสี่ยงจากการรั่วไหลของข้อมูล.

ลองดูแนวทางปฏิบัติที่ดีที่สุดต่อไปนี้เพื่อรักษาความปลอดภัยพื้นที่เก็บข้อมูล AWS S3.

สร้างถังส่วนตัวและสาธารณะ

เมื่อคุณสร้างที่ฝากข้อมูลใหม่นโยบายที่เก็บข้อมูลเริ่มต้นเป็นส่วนตัว เช่นเดียวกับวัตถุใหม่ที่อัปโหลด คุณจะต้องให้สิทธิ์การเข้าถึงแก่เอนทิตีที่คุณต้องการเข้าถึงข้อมูลด้วยตนเอง.

โดยการใช้การรวมกันของนโยบายฝากข้อมูลนโยบาย ACL และ IAM ให้สิทธิ์การเข้าถึงเอนทิตีที่ถูกต้อง แต่สิ่งนี้จะซับซ้อนและยากหากคุณเก็บวัตถุทั้งส่วนตัวและสาธารณะไว้ในที่เดียวกัน โดยการผสมทั้งวัตถุสาธารณะและส่วนตัวในถังเดียวกันจะนำไปสู่การวิเคราะห์อย่างรอบคอบของ ACLs ซึ่งจะทำให้เสียเวลาในการผลิตของคุณ.

วิธีการง่าย ๆ คือแยกวัตถุออกเป็นที่เก็บข้อมูลสาธารณะและที่เก็บข้อมูลส่วนตัว สร้างที่เก็บข้อมูลสาธารณะเดียวด้วยนโยบายที่เก็บข้อมูลเพื่ออนุญาตการเข้าถึงวัตถุทั้งหมดที่เก็บอยู่ในนั้น.

{
"ผล": "อนุญาต",
"หลัก": "* * * *",
"หนังบู๊": "s3: GetObject",
"ทรัพยากร": "ARN: AWS: s3 ::: YOURPUBLICBUCKET / *"
}

ถัดไปสร้างที่เก็บข้อมูลอื่นเพื่อจัดเก็บวัตถุส่วนตัว โดยค่าเริ่มต้นการเข้าถึงถังทั้งหมดจะถูกปิดกั้นเพื่อการเข้าถึงสาธารณะ จากนั้นคุณสามารถใช้นโยบาย IAM เพื่อให้สิทธิ์การเข้าถึงวัตถุเหล่านี้แก่ผู้ใช้หรือการเข้าถึงแอปพลิเคชันที่เฉพาะเจาะจง.

การเข้ารหัสข้อมูลในส่วนที่เหลือและการขนส่ง

เพื่อปกป้องข้อมูลระหว่างการพักและขนส่งให้เปิดใช้งานการเข้ารหัส คุณสามารถตั้งค่านี้ใน AWS เพื่อเข้ารหัสวัตถุบนเซิร์ฟเวอร์ – เซิร์ฟเวอร์ก่อนที่จะเก็บไว้ใน S3.

สามารถทำได้โดยใช้คีย์ S3 ที่มีการจัดการ AWS เริ่มต้นหรือคีย์ของคุณที่สร้างใน Key Management Service ในการบังคับใช้การเข้ารหัสข้อมูลในระหว่างการขนส่งโดยใช้โปรโตคอล HTTPS สำหรับการดำเนินการฝากข้อมูลทั้งหมดคุณต้องเพิ่มรหัสด้านล่างในนโยบายที่เก็บข้อมูล.

{
"หนังบู๊": "s3: *",
"ผล": "ปฏิเสธ",
"หลัก": "* * * *",
"ทรัพยากร": "ARN: AWS: s3 ::: YOURBUCKETNAME / *",
"เงื่อนไข": {
"บูล": { "AWS: SecureTransport": false}
}
}

ใช้ประโยชน์จาก CloudTrail

CloudTrail เป็นบริการ AWS ที่บันทึกและดูแลเส้นทางของเหตุการณ์ที่เกิดขึ้นในบริการ AWS เหตุการณ์ CloudTrail สองประเภทคือเหตุการณ์ข้อมูลและเหตุการณ์การจัดการ กิจกรรมข้อมูลถูกปิดใช้งานโดยค่าเริ่มต้นและมีความละเอียดมากยิ่งขึ้น.

เหตุการณ์การจัดการหมายถึงการสร้างการลบหรืออัปเดตถัง S3 และ Data data อ้างถึงการเรียก API ที่ทำกับวัตถุเช่น PutObject, GetObject หรือ GetObject.

เหตุการณ์ข้อมูลจะมีค่าใช้จ่าย $ 0.10 ต่อ 100,000 เหตุการณ์.

คุณสร้างเส้นทางเฉพาะเพื่อบันทึกและตรวจสอบ S3 bucket ของคุณในภูมิภาคที่กำหนดหรือทั่วโลก เส้นทางเหล่านี้จะเก็บบันทึกในที่ฝากข้อมูล S3.

CloudWatch และการแจ้งเตือน

มี CloudTrail การตั้งค่าเหมาะสำหรับการตรวจสอบ แต่ถ้าคุณต้องการควบคุมการแจ้งเตือนและการแก้ไขด้วยตนเองให้ใช้ CloudWatch AWS CloudWatch เสนอการบันทึกเหตุการณ์ทันที.

นอกจากนี้คุณสามารถตั้งค่า CloudTrail ภายในกลุ่มบันทึก CloudWatch เพื่อสร้างสตรีมบันทึก มีเหตุการณ์ CloudTrail ใน CloudWatch เพิ่มคุณสมบัติที่มีประสิทธิภาพบางอย่าง คุณสามารถตั้งค่าตัวกรองเมตริกเพื่อเปิดใช้งานการเตือน CloudWatch สำหรับกิจกรรมที่น่าสงสัย.

ตั้งค่านโยบายระยะเวลาการใช้งาน

การตั้งค่านโยบายระยะเวลาการรักษาความปลอดภัยข้อมูลของคุณรวมถึงประหยัดเงิน ด้วยการตั้งค่านโยบายวงจรชีวิตคุณจะย้ายข้อมูลที่ไม่ต้องการเพื่อให้เป็นข้อมูลส่วนตัวและลบทิ้งในภายหลัง สิ่งนี้ทำให้มั่นใจได้ว่าแฮกเกอร์จะไม่สามารถเข้าถึงข้อมูลที่ไม่ต้องการได้อีกต่อไปและประหยัดเงินโดยการเพิ่มพื้นที่ว่าง เปิดใช้งานนโยบายระยะเวลาการใช้งานเพื่อย้ายข้อมูลจากที่เก็บมาตรฐานไปยัง AWS Glacier เพื่อประหยัดเงิน.

ในภายหลังสามารถลบข้อมูลที่เก็บไว้ในธารน้ำแข็งได้หากไม่เพิ่มมูลค่าให้คุณหรือองค์กรอีกต่อไป.

S3 ปิดกั้นการเข้าถึงสาธารณะ

AWS ได้ดำเนินการขั้นตอนการทำให้ฟังก์ชั่นอัตโนมัติเพื่อปิดกั้นการเข้าถึงที่เก็บข้อมูลสาธารณะก่อนหน้านี้เคยใช้การผสมผสานของ CloudWatch, CloudTrail และ Lambda.

มีอินสแตนซ์ที่ผู้พัฒนาตั้งใจจะทำให้วัตถุหรือที่ฝากข้อมูลต่อสาธารณชนโดยไม่ตั้งใจ เพื่อหลีกเลี่ยงการเข้าถึงโดยไม่ตั้งใจเพื่อสร้างที่เก็บข้อมูลหรือวัตถุสาธารณะคุณลักษณะเหล่านี้มีประโยชน์.

คุณลักษณะการตั้งค่าการเข้าถึงสาธารณะแบบบล็อกใหม่จะป้องกันไม่ให้ผู้อื่นสร้างที่เก็บข้อมูลเป็นสาธารณะ คุณสามารถเปิดใช้งานการตั้งค่านี้ในคอนโซล AWS ดังที่แสดงในวิดีโอด้านบน คุณสามารถใช้การตั้งค่านี้กับระดับบัญชีตามที่อธิบายในวิดีโอด้านล่าง.

ฟัง AWS Trusted Advisor

ที่ปรึกษาที่เชื่อถือได้ AWS เป็นคุณสมบัติในตัวที่ใช้ในการวิเคราะห์ทรัพยากร AWS ภายในบัญชีของคุณและแนะนำแนวทางปฏิบัติที่ดีที่สุด.

พวกเขาเสนอคำแนะนำใน 5 หมวดหมู่; หนึ่งในคุณสมบัติที่สำคัญคือความปลอดภัย ตั้งแต่ ก.พ. 2018 AWS แจ้งเตือนคุณเมื่อถัง S3 ถูกสร้างขึ้นเพื่อให้สามารถเข้าถึงได้แบบสาธารณะ.

เครื่องมือความปลอดภัย AWS ของบุคคลที่สาม

นอกเหนือจาก Amazon แล้วยังมีบุคคลที่สามที่ให้บริการเครื่องมือรักษาความปลอดภัยเพื่อรักษาความปลอดภัยข้อมูลของคุณ พวกเขาสามารถประหยัดเวลาอันยิ่งใหญ่และรักษาความปลอดภัยของข้อมูลในเวลาเดียวกัน เครื่องมือยอดนิยมบางส่วนได้รับการกล่าวถึงด้านล่าง:

ลิงปลอดภัย

เป็นเครื่องมือที่พัฒนาโดย Netflix เพื่อตรวจสอบการเปลี่ยนแปลงนโยบาย AWS และการแจ้งเตือนหากพบว่ามีการกำหนดค่าที่ไม่ปลอดภัยใด ๆ. ลิงปลอดภัย ทำการตรวจสอบสองสาม S3 เพื่อให้แน่ใจว่ามีการปฏิบัติที่ดีที่สุด นอกจากนี้ยังรองรับแพลตฟอร์ม Google Cloud.

Custodian เมฆ

Custodian เมฆ ช่วยให้คุณจัดการทรัพยากรในระบบคลาวด์ที่สอดคล้องกับแนวทางปฏิบัติที่ดีที่สุด ในคำง่าย ๆ เมื่อคุณระบุวิธีปฏิบัติที่ดีที่สุดแล้วคุณสามารถใช้เครื่องมือนี้เพื่อสแกนทรัพยากรในคลาวด์เพื่อให้แน่ใจว่ามันจะได้รับการตอบสนอง.

หากไม่พบพวกเขาคุณสามารถใช้ตัวเลือกมากมายในการส่งการแจ้งเตือนหรือบังคับใช้นโยบายที่หายไป.

Cloud Mapper

Duo Security สร้างแล้ว Cloud Mapper, ซึ่งเป็นเครื่องมือสร้างภาพและตรวจสอบระบบคลาวด์ที่ยอดเยี่ยม มันมีคุณสมบัติคล้ายกันของ Security Monkey เพื่อทำการสแกน S3 buckets สำหรับการกำหนดค่าผิดพลาดใด ๆ มันนำเสนอภาพที่ยอดเยี่ยมของโครงสร้างพื้นฐาน AWS ของคุณเพื่อปรับปรุงการระบุปัญหาเพิ่มเติม.

และให้การรายงานที่ยอดเยี่ยม.

ข้อสรุป

เนื่องจากงานส่วนใหญ่ดำเนินการโดยใช้ข้อมูลการรักษาความปลอดภัยควรเป็นหนึ่งในความรับผิดชอบหลัก.

ไม่มีใครรู้ว่าจะเกิดการรั่วไหลของข้อมูลเมื่อใดและอย่างไร ดังนั้นจึงแนะนำให้ดำเนินการป้องกันเสมอ ปลอดภัยกว่าดีกว่าขออภัย การรักษาความปลอดภัยข้อมูลจะช่วยให้คุณประหยัดหลายพันดอลลาร์.

หากคุณยังใหม่กับคลาวด์และสนใจที่จะเรียนรู้ AWS จากนั้นลองดูสิ่งนี้ แน่นอน Udemy.

Tags:

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map