it-swarm-tr.com

Amazon'un S3 Sunucu tarafı şifrelemesi neye karşı koruma sağlar?

Amazon'un S3 depolama hizmeti, kullanıcı için otomatik olarak yönetilen nesnelerin sunucu tarafı şifrelemesini sunar ( Amazon'un Belgeleri ). Etkinleştirmek kolaydır, bu yüzden "neden olmasın?" Diyorum, ama bu gerçekten ne tür bir güvenlik sağlıyor?

Sanırım birisinin AWS veri merkezinde dolaşmasını ve bir sabit diski kapmasını engelliyor, ancak bu çok olası görünmüyor ve muhtemelen böyle bir erişimi olan herkes depolandıkları her yerde AES anahtarlarını da alabilir.

Veriler sürücülerden çıkarıldıktan sonra korunmuyor gibi görünüyor, çünkü bu noktada şifresi çözülüyor ve kimlik bilgilerinize sahip olan veya trafiği kesebilen herkes verileri net bir şekilde görecek. Peki amaç ne? Sadece verilerin "şifreli" olduğunu mu söylemek gerekir?

70
Hank

Kısa cevap şudur: Hiçbir fikrimiz yok, muhtemelen hiç yok.

Çalınan yedeklere karşı olabilir korur. Ancak bu, Amazon'un yedeklemeler bile yaptığını varsayar. Bu çok olası görünmüyor. Eğer öyleyse, neden son S3 veri kayıplarından veri toplayamadılar? Birden çok canlı kopya kullanmak çok daha ucuz ve daha verimlidir.

Ayrıca, Amazon'un her erişimde anahtarlara ihtiyacı olacaktır. Bu nedenle, anahtarları, verileri depoladıkları yaklaşık olarak aynı yerlerden başka bir yerde saklamaları pek olası görünmüyor. Bu nedenle, canlı veri cihazlarının çalınmasını hayal ediyorsanız, anahtarları da almaları muhtemeldir.

Ancak Amazon'un verileri nasıl sakladığını, çoğalttığını ve/veya yedeklediğini bilmiyoruz. Anahtarları nerede sakladıklarını veya nasıl dağıttıklarını da bilmiyoruz. Ancak, henüz korudukları gerçekçi bir tehdit olduğu konusunda makul bir argüman duymadım. "Çalınan yedekler" teorisi, tüm kanıtlar oldukça yakınlardaki anahtarlarla birden fazla canlı kopya kullandıklarını gösterdiğinde Amazon'un yedekleri kullandığı yanlış önermeye dayanıyor gibi görünüyor.

Bununla birlikte, Dropbox'ın şifrelemesi, çok olası olmayan bir tehdit olsa da, gerçek bir tehdit modeline karşı koruma sağlar. Dropbox kendi anahtarlarını saklar ve size gönderir, böylece sizi sahte bir Amazon çalışanından korur. Buna karşılık, sahte bir Dropbox çalışanına veya Dropbox güvenlik hatasına karşı savunmasızsınız.

Benim düşünceme göre Amazon bu özelliği ekledi, böylece verilerin şifrelenmiş olarak saklanabileceğini söyleyebildiler. Bazı insanlar özellik listelerindeki onay kutularını dikkatsizce karşılaştıracak ve Amazon "güvenli/şifreli" satırında bir onay kutusu isteyecek. Her iki durumda da, en zayıf halka büyük olasılıkla Amazon'un iç ağı ve insan güvenliği ve erişime izin verilip verilmeyeceğine karar veren kodun uygulanmasının geçerliliği.

43
David Schwartz

Sanırım birisinin AWS veri merkezinde dolaşmasını ve bir sabit diski kapmasını engelliyor, ancak bu çok olası görünmüyor ve muhtemelen böyle bir erişimi olan herkes depolandıkları her yerde AES anahtarlarını da alabilir.

Gilles'in yorumu gerçekten sorunuzu etkili bir şekilde cevaplıyor, ama ben daha uzun bir cevapla devam edeceğim çünkü ben iyiyim. Disk şifreleme, bir disk çalındığında ve anahtarla birlikte çalınmadığında sizi veri kaybına karşı korur. Bu örnekler, Gilles'in söylediği gibi, çalınan yedeklemeler olabilir, ancak hareketsiz bırakılan disklerinizden veri kurtarmaya yönelik anlamlı girişimleri önlemek için hareket halindeki dizüstü bilgisayarlarda veya sabit disklerde de olabilir.

Disk şifrelemesi, anahtarı ve diski bir araya getirdiğinizde size yardımcı olmak için pek bir şey yapmaz, çünkü güvenlik anahtara dayanır ve anahtar ele geçirilebiliyorsa, verilerin şifresi çözülebilir. İşletim sistemi açıkken ve diski kullanırken anahtar ve disk her zaman çok yakındır (her okuma bu anahtarı gerektirir), bu nedenle yakınında bulunan anahtarı makul şekilde arayabilecek olan herkes verileri okuyabilmelidir. Tabii ki, her türlü saldırıyı etkilemek için anahtarı kurtarmanız gerekir, bu yüzden sadece bir sabit diski kopyalamaktan biraz daha zordur (ancak çok fazla değil). Yani temel olarak, evet, haklısın.

Bununla birlikte, hırsızlık ve diskin atılması gibi olası veri kaybını en aza indirmek için disklerinizi korumak iyi bir fikirdir. Amazon'un bu diskleri yok etmek için ne veya nasıl yaptığını bilmiyorsunuz, bu nedenle herhangi bir tür değerli bilginiz varsa, şifrelenmesi harika bir fikirdir.

Peki amaç ne? Sadece verilerin "şifreli" olduğunu mu söylemek gerekir?

Bu aslında olası bir faktör. Dediğim gibi, verileri şifrelemenin somut faydaları var, beklediğiniz gibi değil ama yine de var. Bununla birlikte, verilerin sunucuda şifrelenmesi için bir pazarlama noktasıyla benzer bir senaryoda müşteri gereksinimlerim vardı (verilerinizi şifreliyoruz). Bence orada güvenlik insanları için bir eğitim zorluğu var.

10
user2213

Unutulmaması gereken bazı noktalar:

  • Amazon çok sayıda şirket tarafından kullanılıyor
  • Orada çok sayıda değerli veri: finansal veriler, fikri mülkiyet vb.
  • Bu tür hedefler gibi, yüksek nakit değeri getirebilen suçlular
  • Suç grupları, bireyleri veri merkezlerine yerleştirmekten veya çalışanları hain görevleri yerine getirmeye zorlamaktan kaçınmaz.

Amazon kadar büyük olanlar da dahil olmak üzere, verilerinizin kasıtlı olarak veya başka bir şekilde üçüncü taraflarca sızdırılması sorununu göz ardı etmeyin.

6
Rory Alsop

S3 kullandığınızda SSE Doğru IAM kimlik bilgilerine sahip olan herkes, tıpkı SSE kullanmıyormuşsunuz gibi S3 nesnelerinizi okuyabilir ve/veya yazabilir. verilerin disk sürücüleri veya yedeklemeler gibi çevrimdışı bir şekilde S3'e eriştiği durumlardan korunmasıdır (AWS'nin yaptığından şüpheleniyorum, sadece çoğaltmaya güvenme olasılığı daha yüksektir). gerçek faydaları elde etmek için alternatifle karşılaştırmak için:

S3 ile istemci tarafı şifrelemesi için gereken iki bileşen vardır: bir şifreleme anahtarı ve kimlik doğrulama ve yetkilendirme için IAM kimlik bilgileri. Sunucu tarafı şifrelemesini kullanırken yalnızca IAM kimlik bilgilerine ihtiyacınız vardır.

İstemci tarafı şifrelemesini kullanırken, şifreleme anahtarını S3'teki şifreli verilere okuma ve/veya yazma erişimi olan tüm makinelere dağıtmanız gerekir. Her iki durumda da IAM kimlik bilgilerini dağıtmanız gerekir.

Makinelerinizin güvenliği ihlal edilirse, şifreleme anahtarınızın güvenliği ihlal edilir. İçeri girmeyi bildiğiniz anda IAM kimlik bilgilerini geçersiz kılabilirsiniz ve IAM rolleri veya geçici IAM kimlik bilgileri kullanırsanız, saldırgan makinenin kontrolüne sahip oldukları sürece verilerinize erişebilir (bu yeterince kötü, ancak dünyanın sonu olmayabilir, daha sonra ne olacağını da düşünmeniz gerekir). İstemci tarafı şifrelemeyle, saldırganın şifreleme anahtarınız olur ve güvenliği ihlal edilen şifreleme anahtarıyla şifrelenen tüm verilerin yeniden şifrelenmesi gerekir. Sunucu tarafı şifrelemesinde verileriniz yeniden şifrelenmek zorunda kalmayacaksınız, çünkü ne sizin ne de saldırganın şifreleme anahtarı olmayacaktır.

Bir ara vermeseniz bile, şifreleme anahtarınızın tehlikeye girebileceği durumlar vardır, bir dizüstü bilgisayar kaybolur veya çalınırsa, daha iyi bilmeyen biri bunu birisine e-posta ile gönderirse veya bir kişi istifa ederse ve siz yanlarında bir şey almadığından emin olamıyorum. Bu noktada şifreleme anahtarınızın güvenliği ihlal edilmiştir ve muhtemelen tüm verilerinizi yeniden şifrelemeniz gerekir. Bu çok iş olabilir. Sunucu tarafı şifrelemeyle tek yapmanız gereken IAM kimlik bilgilerini geçersiz kılmak ve yenilerini vermek.

Muhtemelen yukarıda bahsettiğim istemci tarafı şifrelemeyle ilgili sorunları hafifletmenin yolları vardır, ancak bana göre SSE) kendiniz yönetmekten daha az dezavantajı vardır.

Son olarak, AWS'nin şifreleme anahtarlarınızı yönetmesine izin vermenin ne kadar güvenli olduğu konusu var:

AWS'ye göre, şifreleme anahtarlarını yöneten sistem S3'ten ayrıdır, ancak biri S3'e dışarıdan girerse şifreleme anahtarlarına sahip olmayacakları için verilerinizi alamazlar. Sadece anahtar yönetim sistemine girerse (muhtemelen dışarıdan doğrudan erişilemez), S3'te buna erişimi olmadığı için verileriniz olmayacaktır. Verilerinize ulaşmak için her ikisi S3 ve anahtar yönetim sistemine girmeleri gerekir.

Bunun yerine fiziksel veri merkezine girerlerlerse, hem anahtar yönetim sistemine hem de S3'e aynı anda erişebilirler, ancak soru, işin daha kolay olup olmadığıdır. Her şeyden önce, insanların veri merkezlerine girmesini önlemek için uygun güvenlik önlemlerine sahip olmak için AWS'ye güvenmemiz gerektiğini ve ikincisi, anahtar yönetim sistemindeki anahtarları gerçekten elde etmek için daha fazla bir şey yapmanız gerekeceğini düşünüyorum. sadece bazı disk sürücülerini çeker. Gördüğüm kadarıyla AWS, anahtar yönetim sisteminin nasıl korunduğunu tam olarak yayınlamıyor, birden fazla güvenlik katmanıyla korunduğunu söylemekten daha fazlası. Bu bir spekülasyon, ancak disk şifrelemesi muhtemelen bunlardan biri.

5
Theo

Birçoğunuzun belirttiği gibi, diskler bir şekilde kaybolduysa veya bir şekilde eriştiyse, bu size ekstra bir güvenlik düzeyi (katmanları hatırlıyor musunuz?) Verir. Ancak henüz kimsenin güvenlik uyumluluk sertifikalarından bahsetmediğini inanılmaz buluyorum.

Biliyorum. Bazılarınız bunu zaten okuyor olabilir "Sertifikalar saçmalık". Şey ... olabilirler. Ancak düzgün bir şekilde yapıldığında, bazı önemli özellikleri garanti edebilirler ve işletme dünyasında gerçekten büyük bir anlaşmadırlar. Özellikle çalışanlarının hizmeti sağlamak için tüm verilerinize ve kodunuza düşük düzeyde erişimi olması gereken IaaS sağlayıcıları için.

Dolayısıyla buradaki tehdit, verilere erişimi olan AWS değil, verilere erişimi olan belirli bir AWS çalışanıdır.

Listelenen tüm programları bilmiyorum burada emin. Ama bazılarının görev ayrımı gerektirdiğinden eminim. Bu, AWS'nin bir dış denetçiyi güvenlik özellikleri gerektirdiğinde görev ayrımını düzgün bir şekilde uyguladıklarına ikna etmek zorunda olduğu anlamına gelir. Bu özel durumda bu, şifrelenmiş verilere erişimi olan AWS'lerin şifreleme anahtarlarına hiçbir şekilde erişemediği ve şifreleme anahtarlarına erişebilenlerin verilere hiçbir zaman erişemediği anlamına gelir. .

Yani evet, AWS'ye hem anahtarlara hem de verilere güvenmeniz gerekiyor, ancak bu sertifikaların size (şirketin içinde) neye erişebileceğini kontrol etmelerini sağlamanız gerekiyor. Güvenliğin de büyük bir parçası olan ekstra güven düzeyi.

Öte yandan, sertifika almak isteyen AWS müşterileri de beklemedeki verilerin şifrelenmesi ile uyumluluk için buna ihtiyaç duyacaktır. Bu, yalnızca anahtarların uygun şekilde depolandığından ve yönetildiğinden emin olduklarında geçerli olabilir. Bu özellik ve AWS sertifikaları ile bunu AWS'ye devredebilirler.

2
rui

Ayrıca S3'teki disklere giren birine karşı da korunabilirsiniz - mesela S3 verilerinin depolandığı diskin aynı zamanda çalışan bir windows için bir önyükleme sürücüsü olduğunu da düşünebilirsiniz XP kutusu ve birisi XP makineye girer (fiziksel olarak - bir hack yoluyla). Daha sonra makinedeki tüm dosyalara sahip olurlar, ancak sizinki başka bir kutuda saklanan anahtarlarla şifrelenir, böylece tüm hırsızlar get dijital çöp olduğunu.

Belki birisinin S3 dizisine girme olasılığı küçüktür, ancak diğer posterlerle yan yana ve tuşların başka bir duvarın arkasında olduğuna bahse girerim. Ayrıca muhtemelen her hesap için farklı anahtarlar kullanırlar.

Yani bir ton güvenlik olmasa da, orada. Dropbox'ın mağazası için dev bir çoğaltılmış haritası var, bu yüzden her hesap için farklı anahtarlarla nasıl şifreleyebileceklerini göremiyorum.

1
Tom Andersen

Diğer cevaplar büyük ölçüde özelliğin neredeyse işe yaramaz olduğunu ima ettiğinden, neden var olduğunu anlamak için bilgi güvenliği en iyi uygulamalarının ve düzenlemelerinin daha büyük resmine bakmanız gerekir.

ABD gizlilik yasalarının (ör. HIPAA, PCI) mevcut yorumları, tüm müşteri verilerinin beklemede şifrelenmesini gerektirir. Amazon'da depolanan verilerin bu gereksinimden muaf olması gerektiğini düşünüyorsanız, gerekçenizi kurumsal Hukuk Müşavirinize açıklamayı deneyin. Bunda iyi şanslar. Kurallar herkese uyan tek boyuttadır ve bir dizüstü bilgisayardaki sabit sürücüye "güvenli" veri merkezindeki bir disk dizisine eşit olarak uygulanır.

Amazon çalışanlarının çalınması bazıları için endişe kaynağı olsa da, özelliğin ana satış noktası şirketleri, bekleyen verilerin şifrelenmesini gerektirebilecek geçerli en iyi uygulamalara ve düzenlemelere uymamaya karşı korumaktır.

1
Alex R