|
|
En AWS, la seguridad es trabajo cero. A partir de hoy, Amazon Simple Storage Service (Amazon S3) cifra todos los objetos nuevos de forma predeterminada. Ahora, S3 aplica automáticamente el cifrado del lado del servidor (SSE-S3) para cada nuevo objeto, a menos que especifique una opción de cifrado diferente. SSE-S3 se lanzó por primera vez en 2011. Como escribió Jeff en ese momento: “El cifrado del lado del servidor de Amazon S3 maneja todo el cifrado, descifrado y administración de claves de una manera totalmente transparente. Cuando coloca un objeto, generamos una clave única, ciframos sus datos con la clave y luego ciframos la clave con un [root] llave.»
Este cambio pone en vigencia automáticamente otra mejor práctica de seguridad, sin impacto en el rendimiento y sin que se requiera ninguna acción de su parte. Los depósitos de S3 que no utilizan el cifrado predeterminado ahora aplicarán automáticamente SSE-S3 como la configuración predeterminada. Los depósitos existentes que actualmente utilizan el cifrado predeterminado de S3 no cambiarán.
Como siempre, puede optar por cifrar sus objetos mediante una de las tres opciones de cifrado que ofrecemos: cifrado predeterminado de S3 (SSE-S3, el nuevo valor predeterminado), claves de cifrado proporcionadas por el cliente (SSE-C) o claves de AWS Key Management Service (SSE-KMS). Para tener una capa adicional de cifrado, también puede cifrar objetos en el lado del cliente, utilizando bibliotecas de clientes como el cliente de cifrado de Amazon S3.
Si bien fue fácil de habilitar, la naturaleza opcional de SSE-S3 significaba que tenía que asegurarse de que siempre estuviera configurado en depósitos nuevos y verificar que permaneciera configurado correctamente con el tiempo. Para las organizaciones que requieren que todos sus objetos permanezcan cifrados en reposo con SSE-S3, esta actualización ayuda a cumplir con los requisitos de cumplimiento de cifrado sin herramientas adicionales ni cambios en la configuración del cliente.
Con el anuncio de hoy, hemos hecho que sea un «clic cero» para que usted aplique este nivel básico de cifrado en cada depósito S3.
Verifique que sus objetos estén encriptados
El cambio es visible hoy en los registros de eventos de datos de AWS CloudTrail. Verá los cambios en la sección S3 de la consola de administración de AWS, el inventario de Amazon S3, la lente de almacenamiento de Amazon S3 y como un encabezado adicional en la CLI de AWS y en los SDK de AWS durante las próximas semanas. Actualizaremos esta publicación de blog y la documentación cuando el estado de cifrado esté disponible en estas herramientas en todas las regiones de AWS.
Para verificar que el cambio sea efectivo en sus depósitos hoy, puede configurar CloudTrail para registrar eventos de datos. De forma predeterminada, los senderos no registran eventos de datos y hay un costo adicional para habilitarlo. Los eventos de datos muestran las operaciones de recursos realizadas en un recurso o dentro de él, como cuando un usuario carga un archivo en un depósito de S3. Puede registrar eventos de datos para depósitos de Amazon S3, funciones de AWS Lambda, tablas de Amazon DynamoDB o una combinación de estos.
Una vez habilitado, busque PutObject API para carga de archivos o InitiateMultipartUpload para cargas de varias partes. Cuando Amazon S3 cifra automáticamente un objeto con la configuración de cifrado predeterminada, el registro incluye el siguiente campo como par de nombre y valor: "SSEApplied":"Default_SSE_S3". Este es un ejemplo de un registro de CloudTrail (con el registro de eventos de datos habilitado) cuando cargué un archivo en uno de mis depósitos mediante el comando AWS CLI aws s3 cp backup.sh s3://private-sst.
Opciones de cifrado de Amazon S3
Como escribí anteriormente, SSE-S3 es ahora el nuevo nivel básico de cifrado cuando no se especifica ningún otro tipo de cifrado. SSE-S3 utiliza el cifrado del estándar de cifrado avanzado (AES) con claves de 256 bits administradas por AWS.
Puede optar por cifrar sus objetos con SSE-C o SSE-KMS en lugar de con SSE-S3, ya sea como configuración de cifrado predeterminada de «un clic» en el depósito o para objetos individuales en solicitudes PUT.
SSE-C permite que Amazon S3 realice el cifrado y descifrado de sus objetos mientras conserva el control de las claves utilizadas para cifrar objetos. Con SSE-C, no necesita implementar ni usar una biblioteca del lado del cliente para realizar el cifrado y descifrado de los objetos que almacena en Amazon S3, pero sí necesita administrar las claves que envía a Amazon S3 para cifrar y descifrar. descifrar objetos.
Con SSE-KMS, AWS Key Management Service (AWS KMS) administra sus claves de cifrado. Uso de AWS KMS para administrar sus claves proporciona varios beneficios adicionales. Con AWS KMShay permisos separados para el uso de la KMS key, que brinda una capa adicional de control y protección contra el acceso no autorizado a sus objetos almacenados en Amazon S3. AWS KMS proporciona una pista de auditoría para que pueda ver quién usó su clave para acceder a qué objeto y cuándo, así como ver los intentos fallidos de acceder a los datos de los usuarios sin permiso para descifrar los datos.
Cuando utiliza una biblioteca de cliente de cifrado, como el cliente de cifrado de Amazon S3, conserva el control de las claves y completa el cifrado y descifrado de los objetos del lado del cliente mediante una biblioteca de cifrado de su elección. Cifre los objetos antes de enviarlos a Amazon S3 para su almacenamiento. Los SDK de AWS para Java, .Net, Ruby, PHP, Go y C++ admiten el cifrado del lado del cliente.
Puede seguir las instrucciones de esta publicación de blog si desea cifrar retroactivamente los objetos existentes en sus depósitos.
Disponible ahora
Este cambio es efectivo ahora, en todas las regiones de AWS, incluso en AWS GovCloud (EE. UU.) y AWS China Regiones. No hay costo adicional para el cifrado a nivel de objeto predeterminado.
