Editor Top
|
|
Hoy lanzamos el cifrado del lado del servidor de doble capa de Amazon S3 con claves almacenadas en AWS Key Management Service (DSSE-KMS), una nueva opción de cifrado en Amazon S3 que aplica dos capas de cifrado a los objetos cuando se cargan en un Amazon Cubo de servicio de almacenamiento simple (Amazon S3). DSSE-KMS está diseñado para cumplir con la norma CNSSP 15 de la Agencia de Seguridad Nacional para el cumplimiento de FIPS y la guía de la versión 5.0 del paquete de capacidad de datos en reposo (DAR CP) para dos capas de cifrado CNSA. Con DSSE-KMS, puede cumplir con los requisitos reglamentarios para aplicar varias capas de cifrado a sus datos.
Amazon S3 es el único servicio de almacenamiento de objetos en la nube donde los clientes pueden aplicar dos capas de cifrado a nivel de objeto y controlar las claves de datos utilizadas para ambas capas. DSSE-KMS facilita que los clientes altamente regulados cumplan con los rigurosos estándares de seguridad, como los clientes del Departamento de Defensa de EE. UU. (DoD).
Con DSSE-KMS, puede especificar el cifrado del lado del servidor de doble capa (DSSE) en la solicitud PUT o COPY de un objeto o configurar su depósito S3 para aplicar DSSE a todos los objetos nuevos de forma predeterminada. También puede aplicar DSSE-KMS mediante políticas de depósito e IAM. Cada capa de cifrado utiliza una biblioteca de implementación criptográfica separada con claves de cifrado de datos individuales. DSSE-KMS ayuda a proteger los datos confidenciales contra la baja probabilidad de una vulnerabilidad en una sola capa de implementación criptográfica.
DSSE-KMS simplifica el proceso de aplicar dos capas de cifrado a sus datos, sin tener que invertir en la infraestructura necesaria para el cifrado del lado del cliente. Cada capa de cifrado utiliza una implementación diferente del estándar de cifrado avanzado de 256 bits con algoritmo de modo de contador de Galois (AES-GCM). DSSE-KMS utiliza AWS Key Management Service (AWS KMS) para generar claves de datos, lo que le permite controlar las claves administradas por el cliente mediante la configuración de permisos por clave y la especificación de cronogramas de rotación de claves. Con DSSE-KMS, ahora puede consultar y analizar sus datos con doble cifrado con servicios de AWS como Amazon Athena, Amazon SageMaker y más.
Con este lanzamiento, Amazon S3 ahora ofrece cuatro opciones para el cifrado del lado del servidor:
- Cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3)
- Cifrado del lado del servidor con AWS KMS (SSE-KMS)
- Cifrado del lado del servidor con claves de cifrado proporcionadas por el cliente (SSE-C)
- Cifrado del lado del servidor de doble capa con claves almacenadas en KMS (DSSE-KMS)
Veamos cómo funciona DSSE-KMS en la práctica.
Crear un depósito S3 y activar DSSE-KMS
Para crear un nuevo depósito en la consola de Amazon S3, elijo cubos en el panel de navegación. yo elijo Crear cuboy selecciono un nombre único y significativo para el depósito. Bajo Cifrado predeterminado sección, elijo DSSE-KMS como la opción de cifrado. De las claves de AWS KMS disponibles, selecciono una clave para mis requisitos. Finalmente, elijo Crear cubo para completar la creación del depósito S3, encriptado por la configuración de encriptación DSSE-KMS.
Cargue un objeto en el depósito de S3 habilitado para DSSE-SSE
En el cubos lista, elijo el nombre del depósito en el que quiero cargar un objeto. Sobre el Objetos pestaña para el cubo, elijo Subir. Bajo Archivos y carpetasYo elijo Agregar archivos. Luego elijo un archivo para cargar, y luego elijo Abierto. Bajo Cifrado del lado del servidorYo elijo No especifique una clave de cifrado. entonces elijo Subir.
Una vez que el objeto se carga en el depósito S3, observo que el objeto cargado hereda el Cifrado del lado del servidor ajustes del cubo.
Descargar un objeto cifrado DSSE-KMS desde un depósito de S3
Selecciono el objeto que subí previamente y elijo Descargar o elige Descargar como desde el Acciones de objeto menú. Una vez que se descarga el objeto, lo abro localmente y el objeto se descifra automáticamente, sin necesidad de realizar cambios en las aplicaciones cliente.
Ya disponible
El cifrado del lado del servidor de doble capa de Amazon S3 con claves almacenadas en AWS KMS (DSSE-KMS) ya está disponible en todas las regiones de AWS. Puede comenzar con DSSE-KMS a través de la AWS CLI o la consola de administración de AWS. Para obtener más información sobre todas las opciones de cifrado disponibles en Amazon S3, visite la Guía del usuario de Amazon S3. Para obtener información sobre los precios de DSSE-KMS, visite la página de precios de Amazon S3 (Almacenamiento pestaña) y la página de precios de AWS KMS.
— Irshad
