7 שיטות עבודה מומלצות לאבטחת אחסון AWS S3

כמו כל שירותי הענן, עליכם לקחת אחריות לאבטחת אחסון בענן.


במאמר זה נדון בטיפים הטובים ביותר לאבטחת אחסון AWS S3.

לפני שנראה את הטיפים לאבטחת אחסון AWS S3, עלינו לדעת מדוע זה קריטי. בשנת 2017 היא חשפה נתונים קריטיים כמו מדיה חברתית פרטית חשבונות ו נתונים מסווגים מהפנטגון.

מאז, כל ארגון מקדיש תשומת לב רבה לאבטחת הנתונים שלהם המאוחסנים ב- AWS S3.

האם המשמעות היא ש- S3 היא פיתרון אחסון לא מאובטח של שירותי האינטרנט של אמזון? בכלל לא, S3 היא פיתרון אחסון מאובטח, אך תלוי המשתמש כיצד הוא רוצה לאבטח את הנתונים שלו.

מודל האחריות המשותפת AWS

מרבית הפתרונות שמציעה הענן הציבורי מספקים מודל אחריות משותפת. המשמעות היא שהאחריות לביטחון פלטפורמת הענן מטופלת על ידי AWS, ולקוחות הענן אחראים לאבטחה בענן..

מודל משותף זה עוזר להקל על הפרות הנתונים. התרשים להלן מציג את הכלל אחריות ה- AWS ואחריות הלקוח לאבטחת הנתונים.

אחסון מאובטח של AWS S3

בחנו את התרשים לעיל כדי להכיר את האחריות שעליכם לקחת. אמצעי מניעה לאבטחת אחסון S3 הוא חיוני, אך לא ניתן למנוע כל איום. AWS מספק מספר דרכים שיעזרו לכם לפקח באופן יזום ולהימנע מהסיכון עקב הפרות נתונים.

בואו נראה בשיטות המומלצות הבאות לאבטחת אחסון AWS S3.

צור דלי פרטי וציבורי

כשאתה יוצר דלי חדש, מדיניות הדלי המוגדרת כברירת מחדל היא פרטית. כך גם לגבי האובייקטים החדשים שהועלו. יהיה עליכם להעניק גישה ידנית לישות שברצונכם לגשת לנתונים.

על ידי שימוש בשילוב של מדיניות דלי, מדיניות ACL ו- IAM מעניקה גישה נכונה לגורמים הנכונים. עם זאת, הדבר יהפוך למורכב וקשה אם תשמור חפצים פרטיים וציבוריים כאחד באותו דלי. על ידי ערבוב של חפצים ציבוריים ופרטיים באותו דלי יוביל לניתוח מדוקדק של ה- ACL, מה שיוביל לבזבוז זמן הייצור שלך.

גישה פשוטה היא הפרדת האובייקטים לדלי ציבורי ודלי פרטי. צור דלי ציבור יחיד עם מדיניות דלי כדי להעניק גישה לכל האובייקטים המאוחסנים בו.

{
"השפעה": "להתיר",
"המנהל": "*",
"פעולה": "s3: GetObject",
"משאב": "arn: aws: s3 ::: YOURPUBLICBUCKET / *"
}

בשלב הבא, צור דלי נוסף לאחסון חפצים פרטיים. כברירת מחדל, כל הגישה לדלי תיחסם לגישה ציבורית. לאחר מכן תוכל להשתמש במדיניות IAM כדי להעניק גישה לאובייקטים אלה למשתמשים או לגישה ליישומים ספציפיים.

הצפנת נתונים בזמן מנוחה ומעבר

כדי להגן על נתונים בזמן מנוחה ומעבר, אפשר קידוד. אתה יכול להגדיר זאת ב- AWS להצפנת אובייקטים בשרתים-sider לפני שמאחסן אותו ב- S3.

ניתן להשיג זאת באמצעות מקשי S3 המנוהלים על ידי ברירת המחדל של AWS או על ידי המפתחות שנוצרו בשירות ניהול המפתחות. כדי לאכוף את הצפנת הנתונים במהלך המעבר באמצעות פרוטוקול HTTPS לכל פעולות הדלי, עליך להוסיף את הקוד שלהלן במדיניות הדלי..

{
"פעולה": "s3: *",
"השפעה": "דחה",
"המנהל": "*",
"משאב": "arn: aws: s3 ::: YOURBUCKETNAME / *",
"מצב": {
"בול": { "aws: SecureTransport": false}
}
}

השתמש ב- CloudTrail

CloudTrail הוא שירות AWS היומן ושומר על מסלול האירועים המתרחשים על פני שירותי AWS. שני הסוגים של אירועי CloudTrail הם אירועי נתונים ואירועי ניהול. אירועי נתונים מושבתים כברירת מחדל והם הרבה יותר פרטניים.

אירועי הניהול מתייחסים ליצירה, מחיקה או עדכון של דלי S3. ואירועי הנתונים מתייחסים לשיחות ה- API שבוצעו באובייקטים כמו PutObject, GetObject או GetObject.

שלא כמו אירועי ניהול, אירועי נתונים יעלו $ 0.10 לכל 100,000 אירועים.

אתה יוצר מסלול ספציפי כדי לרשום ולפקח על דלי ה- S3 שלך באזור נתון או ברחבי העולם. שבילים אלה יאחסנו יומני בדלי S3.

CloudWatch והתראה

לאחר CloudTrail ההתקנה נהדרת למעקב, אך אם אתה צריך לשלוט על התרעה וריפוי עצמי, השתמש ב- CloudWatch. AWS CloudWatch מציע כניסה מיידית לאירועים.

כמו כן, באפשרותך להגדיר CloudTrail בתוך קבוצת יומני CloudWatch ליצירת זרמי יומן. קיום אירוע CloudTrail ב- CloudWatch מוסיף כמה תכונות עוצמתיות. ניתן להגדיר את מסנני הערך כדי לאפשר אזעקת CloudWatch לפעילויות חשודות.

הגדרת מדיניות מחזור חיים

הגדרת מדיניות מחזור חיים מאבטחת את הנתונים שלך וגם חוסכת לך כסף. על ידי הגדרת מדיניות מחזור החיים, אתה מעביר את הנתונים הלא רצויים כדי להפוך אותם לפרטיים ומאוחר יותר מוחקים. זה מבטיח כי כבר לא ניתן לגשת אל ההאקרים למידע הלא רצוי ולחסוך את הכסף על ידי פנוי שטח. אפשר את מדיניות מחזור החיים כדי להעביר את הנתונים מהאחסון הסטנדרטי לקרחון AWS כדי לחסוך כסף.

בהמשך ניתן למחוק את הנתונים המאוחסנים בקרחון אם הם לא מוסיפים ערך רב יותר לך או לארגון.

S3 חסום גישה ציבורית

AWS נקטה בצעדים לאוטומציה של הפונקציונליות לחסימת הגישה הציבורית לדלי, בעבר שימש שילוב של CloudWatch, CloudTrail ולמבדה..

ישנם מקרים שבהם מפתחים יביאו בטעות את החפצים או הדלי לקהל הרחב. כדי למנוע גישה מקרית להפוך את הדלי או החפצים לציבוריים, תכונות אלה שימושיות.

תכונת הגדרת הגישה לגישה ציבורית חסומה תימנע מאף אחד להפוך את הדלי להיות ציבורי. ניתן לאפשר הגדרה זו במסוף AWS, כמוצג בסרטון שלמעלה. אתה יכול להחיל גם הגדרה זו ברמת החשבון, כמוסבר בסרטון שלהלן.

האזן ליועץ המהימן של AWS

יועץ מהימן של AWS היא תכונה מובנית המשמשת לניתוח משאבי ה- AWS בחשבונך וממליצה על שיטות העבודה המומלצות.

הם מציעים המלצות ב -5 קטגוריות; אחת התכונות המכריעות היא אבטחה. מאז פברואר 2018, AWS מתריעה כאשר דלי ה- S3 הופכים להיות נגישים לציבור.

כלי אבטחה של צד שלישי

מלבד אמזון, יש צד שלישי המספק כלי אבטחה לאבטחת הנתונים שלך. הם יכולים לחסוך לך זמן אדיר ולשמור על אבטחת הנתונים בו זמנית. להלן כמה כלים פופולריים:

קוף אבטחה

זהו כלי שפותח על ידי Netflix כדי לעקוב אחר שינויים והתראות של מדיניות AWS אם הוא מוצא תצורות לא בטוחות. קוף אבטחה מבצע מספר ביקורות על S3 כדי להבטיח שהשיטות הטובות ביותר קיימות. זה תומך גם בפלטפורמת הענן של גוגל.

האפוטרופוס לענן

האפוטרופוס לענן עוזר לך לנהל משאבים בענן המתואמים לשיטות העבודה המומלצות. במילים פשוטות, לאחר שזיהיתם את הנוהג הטוב ביותר, תוכלו להשתמש בכלי זה כדי לסרוק את המשאבים בענן כדי להבטיח שהוא מתקיים..

אם לא תעמוד בהן, תוכל להשתמש באפשרויות רבות כדי לשלוח התראות או לאכוף את המדיניות החסרה.

Mapper בענן

Duo Security יצר את Mapper בענן, וזה כלי נהדר להמחשה וביקורת בענן. הוא מכיל תכונה דומה של Security Monkey לביצוע סריקה של דליי S3 עבור כל תצורה שגויה. הוא מציע ייצוג ויזואלי נהדר של תשתית ה- AWS שלך, כדי לשפר את הזיהוי של סוגיות נוספות.

וזה מציע דיווח מעולה.

סיכום

מכיוון שרוב העבודה מתבצעת באמצעות נתונים, אבטחתם צריכה להיות אחת מתפקידי הליבה.

לעולם לא ניתן לדעת מתי ואיך הפרת הנתונים תתרחש. מכאן שמומלץ תמיד לבצע פעולת מניעה. עדיף להיות בטוח מאשר להצטער. אבטחת הנתונים תחסוך לך אלפי דולרים.

אם אתה חדש בענן ומעוניין ללמוד AWS, בדוק זאת קורס אודמי.

תגיות:

  • AWS

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map