Wir haben bereits früher darüber geschrieben, wie durch die Verwendung von Checklisten Konfigurationsfehler vermieden werden können, was eine nützliche Praxis für den Datenschutz ist. Die Verschlüsselung ist eine der grundlegendsten Praktiken für den Datenschutz, da sie Daten unlesbar macht, wenn sie verloren gehen, gestohlen werden oder ein unangemessener Zugriff erfolgt. Ein wichtiger Fehler bei der Konfiguration von AWS S3 ist daher die Nichtaktivierung der serverseitigen Verschlüsselung, da sonst vertrauliche Informationen im Klartext offengelegt werden können.
Die Datenverschlüsselung schützt Daten im Ruhezustand (auf S3 gespeicherte Daten) und Daten im Transit (Daten, die zu/von S3 übertragen werden). Daten im Transit können durch SSL/TLS geschützt werden, während Daten im Ruhezustand durch serverseitige Verschlüsselung oder clientseitige Verschlüsselung geschützt werden können.
Bei der clientseitigen Verschlüsselung muss der Kunde den Verschlüsselungsprozess, die Tools und die Schlüssel selbst verwalten, was für IT -Administratoren recht zeitaufwändig und teuer sein kann und häufig zu komplex ist. Daher bevorzugen die meisten Unternehmen die serverseitige Verschlüsselung, da Amazon die Prozesse der Verschlüsselung ihrer Daten vor der Speicherung und der Entschlüsselung beim Zugriff durch einen autorisierten und authentifizierten Benutzer verwaltet.
Amazon bietet drei Möglichkeiten, die serverseitige Verschlüsselung einzusetzen:
- Amazon S3-Managed Keys (SSE-S3) - Amazon verschlüsselt jedes Objekt mit einem eindeutigen 256-Bit Advanced Encryption Standard (AES-256)-Schlüssel und verschlüsselt diesen Schlüssel dann mit einem häufig wechselnden Stammschlüssel. Für SSE-S3 fallen keine zusätzlichen Kosten an, was es zu einem attraktiven Angebot macht. Unternehmen, die sich um die Datensicherheit sorgen, sollten dieses Einstiegsangebot nutzen.
- In AWS Key Management Service (SSE-KMS) gespeicherte KMS-Schlüssel - KMS ist Amazons Premium-Angebot, das gegen Aufpreis ein Schlüsselverwaltungssystem hinzufügt. Diese Lösung ist attraktiver für reife Organisationen, die Zugriffsberechtigungen festlegen oder einen Prüfpfad für die Einhaltung von Vorschriften bereitstellen müssen.
- Customer-Provided Keys (SSE-C) - Ähnlich wie bei der client-seitigen Verschlüsselung muss der Kunde die Verschlüsselungsschlüssel selbst verwalten, wobei Amazon die Verschlüsselung der Daten übernimmt. Diese Art von Ansatz kann für sicherheitsbewusste Unternehmen, die nicht alles auf eine Karte setzen wollen, attraktiver sein, führt aber zu den gleichen Verwaltungsproblemen wie die client-seitige Verschlüsselung.
Jeder Amazon-Kunde, der SSE-C verwendet, muss ein gutes Verständnis für angewandte Kryptographie haben, da sonst die Daten seines Unternehmens gefährdet werden können. Wenn sie eine Verbindung über HTTP herstellen, wird Amazon die Anfrage zurückweisen, und ihr Schlüssel kann offengelegt werden. Schlimmer noch: Wenn der Kunde seinen Verschlüsselungscode verliert, kann er nicht mehr auf die Daten zugreifen. Daher ist SSE-S3 oder SSE-KMS für die meisten Unternehmen ein besser zu handhabender Ansatz.
Unternehmen, die SSE-S3 verwenden, können eine Bucket-Policy verwenden, um alle Objekte in einem Bucket zu verschlüsseln, oder sie können REST API -Befehle verwenden, um bestimmte Objekte zu verschlüsseln. Es gibt zu viele Optionen, um sie alle zu erklären, daher sollten Unternehmen die Amazon SSE-S3-Dokumentation lesen. Auch SSE-KMS bietet ähnliche Verschlüsselungsfunktionen sowie erweiterte Flexibilität und Kontrolle (und Kosten). Amazon gibt sogar Ratschläge, wie man die SSE-KMS-Kosten mit Bucket Keys niedrig halten kann.
Vermeiden Sie häufige Konfigurationsfehler mit OPSWAT
Bei häufigen Konfigurationsfehlern, wie z. B. der Aktivierung der serverseitigen Verschlüsselung, sollten Unternehmen Checklisten verwenden, um sicherzustellen, dass sie die besten Verfahren anwenden. Die Automatisierung dieses Prozesses mit Hilfe von Technologie kann dazu beitragen, zeitaufwändige und teure manuelle Fehler zu vermeiden.

MetaDefender Storage Security erweitert seine Sicherheitslösung für Cloud-Speicher um eine integrierte Sicherheitscheckliste, mit der Cybersecurity-Experten sicherstellen können, dass der Cloud-Speicher ihres Unternehmens bei der Bereitstellung nicht falsch konfiguriert ist, was die Entwicklungs- und Produktionsphasen des Cloud-Speichers einschließt.
Die Aktivierung der serverseitigen Verschlüsselung ist ein wichtiger Punkt auf der Checkliste von MetaDefender Storage Security , aber es ist nicht der einzige. In künftigen Blogs werden wir uns mit anderen wichtigen Konfigurationsfehlern zum Schutz von Daten im Ruhezustand befassen.
Wenden Sie sich an einen OPSWAT Experten für Cybersicherheit, um mehr zu erfahren.
Lesen Sie die vorangegangenen Blogs in dieser Serie: