与所有云服务一样,您必须负责保护云存储的安全.
在本文中,我们将讨论确保AWS S3存储安全的最佳技巧。.
在看到保护AWS S3存储安全的技巧之前,我们应该知道为什么它至关重要。在2017年,它公开了关键数据,例如 私人社交媒体 帐户和 五角大楼的机密数据.
从那时起,每个组织都密切注意保护存储在AWS S3中的数据.
这是否意味着S3是Amazon Web Services的不安全存储解决方案?根本不是,S3是一个安全的存储解决方案,但是它取决于用户如何保护其数据.
Contents
AWS共享责任模型
公共云提供的大多数解决方案都提供了“共享责任模型”。这意味着AWS负责云平台安全性的责任,而云客户负责云中的安全性.
此共享模型有助于缓解数据泄露。下图显示了一般 AWS的责任 以及客户保护数据的责任.
研究上面的图以熟悉您必须承担的责任。确保S3存储安全的预防措施是必不可少的,但是无法避免所有威胁。 AWS提供了几种方法来帮助您主动监控并避免数据泄露带来的风险.
让我们看一下保护AWS S3存储安全的以下最佳做法.
创建一个私有和公共桶
创建新存储桶时,默认存储桶策略为私有。这同样适用于上载的新对象。您将必须手动授予对您想要访问数据的实体的访问权限.
通过结合使用存储桶策略,ACL和IAM策略为正确的实体提供了正确的访问权限。但是,如果将私有和公共对象都放在同一个存储桶中,这将变得复杂而困难。通过将公共对象和私有对象混合在同一存储桶中,将导致对ACL进行仔细分析,从而浪费您的生产时间.
一种简单的方法是将对象分为公共存储桶和私有存储桶。使用存储桶策略创建一个公共存储桶,以授予对其中存储的所有对象的访问权限.
{
"影响": "允许",
"主要": "*",
"行动": "s3:GetObject",
"资源资源": "arn:aws:s3 ::: YOURPUBLICBUCKET / *"
}
接下来,创建另一个存储分区以存储私有对象。默认情况下,所有对存储桶的访问都将被禁止公开访问。然后,您可以使用IAM策略将对这些对象的访问权限授予特定用户或应用程序访问权限.
加密静态和临时数据
要在休息和运输期间保护数据,请启用加密。您可以在AWS中进行设置,以在服务器端加密对象,然后再将其存储在S3中.
这可以使用默认的AWS托管S3密钥或在密钥管理服务中创建的密钥来实现。要在传输期间通过使用HTTPS协议对所有存储桶操作强制执行数据加密,必须在存储桶策略中添加以下代码.
{
"行动": "s3:*",
"影响": "拒绝",
"主要": "*",
"资源资源": "arn:aws:s3 ::: YOURBUCKETNAME / *",
"健康)状况":{
"布尔":{ "aws:SecureTransport":false}
}
}
利用CloudTrail
CloudTrail是一项AWS服务,用于记录和维护在AWS服务中发生的事件的轨迹。 CloudTrail事件的两种类型是数据事件和管理事件。数据事件默认情况下处于禁用状态,并且更加精细.
管理事件是指创建,删除或更新S3存储桶。并且Data事件引用对对象(如PutObject,GetObject或GetObject)进行的API调用.
与管理事件不同,数据事件每100,000个事件将花费$ 0.10.
您创建一个特定的跟踪记录和监视给定区域或全局中的S3存储桶。这些线索会将日志存储在S3存储桶中.
CloudWatch和警报
有 CloudTrail 设置非常适合监视,但是如果您需要控制警报和自我修复,请使用CloudWatch。 AWS CloudWatch可立即记录事件.
此外,您可以在CloudWatch日志组中设置CloudTrail以创建日志流。在CloudWatch中具有CloudTrail事件会添加一些强大的功能。您可以设置指标筛选器,以针对可疑活动启用CloudWatch警报.
设置生命周期策略
设置生命周期策略可以保护您的数据并节省资金。通过设置生命周期策略,您可以将不需要的数据移至专用状态,然后再将其删除。这确保了黑客不再能够访问不需要的数据,并通过释放空间来节省资金。启用生命周期策略以将数据从标准存储移至AWS Glacier以节省资金.
以后,如果存储在冰川中的数据对您或组织没有更多价值,则可以删除.
S3 Block Public Access
AWS已采取措施自动执行功能以阻止存储桶的公共访问,以前曾使用过CloudWatch,CloudTrail和Lambda的组合.
在某些情况下,开发人员会不小心将对象或存储桶公开。为避免意外使水桶或物件公开,这些功能非常方便.
新的阻止公共访问设置功能将阻止任何人将存储桶公开。您可以在AWS控制台中启用此设置,如上面的视频所示。您还可以在帐户一级应用此设置,如以下视频所述.
收听AWS Trusted Advisor
AWS可信顾问 是一项内置功能,用于分析您帐户中的AWS资源并推荐最佳做法.
他们提供5个类别的建议;关键功能之一是安全性。自2018年2月以来,当S3存储桶可公开访问时,AWS会提醒您.
第三方AWS安全工具
除亚马逊以外,还有一些第三方提供安全工具来保护您的数据。它们可以为您节省大量时间,并同时确保数据安全。下面提到一些流行的工具:
安全猴子
它是Netflix开发的工具,用于监视AWS策略更改并在发现任何不安全配置时发出警报. 安全猴子 对S3进行一些审核,以确保最佳实践到位。它还支持Google Cloud Platform.
云托管人
云托管人 帮助您根据最佳实践管理云中的资源。简而言之,一旦您确定了最佳实践,就可以使用此工具扫描云中的资源以确保满足要求.
如果不符合要求,您可以使用许多选项来发送警报或强制执行缺少的策略.
云映射器
Duo Security创建了 云映射器, 这是一个很棒的云可视化和审核工具。它具有Security Monkey的类似功能,可以对S3存储桶进行扫描以检查是否有任何错误配置。它为您的AWS基础设施提供了出色的可视化表示形式,以增强对其他问题的识别.
它提供了出色的报告.
结论
由于大多数工作都是使用数据完成的,因此保护数据安全应该是核心职责之一.
人们永远不会知道何时以及如何发生数据泄露。因此,始终建议采取预防措施。安全要比后悔好。保护数据将为您节省数千美元.
如果您不熟悉云并且对学习AWS感兴趣,请查看此内容。 乌迪米课程.
标记:
AWS
