|
En AWS, la seguridad es la máxima prioridad. Empezando hoy, Servicio de almacenamiento easy de Amazon (Amazon S3) cifra todos los objetos nuevos de forma predeterminada. Ahora, S3 aplica automáticamente el cifrado del lado del servidor (SSE-S3) para cada nuevo objeto, a menos que especifique una opción de cifrado diferente. SSE-S3 se lanzó por primera vez en 2011. Como Jeff escribió en ese momento.: “El cifrado del lado del servidor de Amazon S3 maneja todo el cifrado, descifrado y administración de claves de una manera totalmente transparente. Cuando coloca un objeto, generamos una clave única, ciframos sus datos con la clave y luego ciframos la clave con una clave (raíz)”.
Este cambio pone en vigencia automáticamente otra mejor práctica de seguridad, sin impacto en el rendimiento y sin que se requiera ninguna acción de su parte. Los depósitos de S3 que no utilizan el cifrado predeterminado ahora aplicarán automáticamente SSE-S3 como la configuración predeterminada. Los depósitos existentes que actualmente utilizan el cifrado predeterminado de S3 no cambiarán.
Como siempre, puede optar por cifrar sus objetos utilizando una de las tres opciones de cifrado que ofrecemos: cifrado predeterminado S3 (SSE-S3, el nuevo valor predeterminado), claves de cifrado proporcionadas por el cliente (SSE-C)o Claves de AWS Key Administration Service (SSE-KMS). Para tener una capa adicional de cifrado, también puede cifrar objetos en el lado del cliente, utilizando bibliotecas de cliente como el Cliente de cifrado de Amazon S3.
Si bien fue fácil de habilitar, la naturaleza opcional de SSE-S3 significaba que tenía que asegurarse de que siempre estuviera configurado en depósitos nuevos y verificar que permaneciera configurado correctamente con el tiempo. Para las organizaciones que requieren que todos sus objetos permanezcan cifrados en reposo con SSE-S3, esta actualización ayuda a cumplir con sus requisitos de cumplimiento de cifrado sin herramientas adicionales ni cambios en la configuración del cliente.
Con el anuncio de hoy, hemos hecho que sea un “clic cero” para que usted aplique este nivel básico de cifrado en cada depósito S3.
Verifique que sus objetos estén encriptados
El cambio es seen hoy en Seguimiento de la nube de AWS registros de eventos de datos. Verá los cambios en la sección S3 de la Consola de administración de AWS, Inventario de Amazon S3, Lente de almacenamiento Amazon S3y como encabezado adicional en el CLI de AWS y en el SDK de AWSs durante las próximas semanas. Actualizaremos esta publicación de weblog y la documentación cuando el estado de cifrado esté disponible en estas herramientas en todas las regiones de AWS.
Para verificar que el cambio sea efectivo en sus cubos hoy, puede configurar CloudTrail para registrar eventos de datos. De forma predeterminada, los senderos no registran eventos de datos y hay un costo adicional para habilitarlo. Los eventos de datos muestran las operaciones de recursos realizadas en un recurso o dentro de él, como cuando un usuario carga un archivo en un depósito de S3. Puede registrar eventos de datos para depósitos de Amazon S3, funciones de AWS Lambda, tablas de Amazon DynamoDB o una combinación de estos.
Una vez habilitado, busque PutObject API para carga de archivos o InitiateMultipartUpload para cargas de varias partes. Cuando Amazon S3 cifra automáticamente un objeto con la configuración de cifrado predeterminada, el registro incluye el siguiente campo como par de nombre y valor: "SSEApplied":"Default_SSE_S3". Este es un ejemplo de un registro de CloudTrail (con el registro de eventos de datos habilitado) cuando cargué un archivo en uno de mis depósitos mediante el comando AWS CLI aws s3 cp backup.sh s3://private-sst.
Opciones de cifrado de Amazon S3
Como escribí anteriormente, SSE-S3 es ahora el nuevo nivel básico de cifrado cuando no se especifica ningún otro tipo de cifrado. SSE-S3 utiliza el cifrado del estándar de cifrado avanzado (AES) con claves de 256 bits administradas por AWS.
Puede elegir encriptar sus objetos usando SSE-C o SSE-KMS en lugar de con SSE-S3ya sea como configuración de cifrado predeterminada de “un clic” en el depósito, o para objetos individuales en solicitudes PUT.
SSE-C permite que Amazon S3 realice el cifrado y descifrado de sus objetos mientras conserva el management de las claves utilizadas para cifrar objetos. Con SSE-C, no necesita implementar ni usar una biblioteca del lado del cliente para realizar el cifrado y descifrado de los objetos que almacena en Amazon S3, pero sí necesita administrar las claves que envía a Amazon S3 para cifrar y descifrar. descifrar objetos.
Con SSE-KMS, Servicio de administración de claves de AWS (AWS KMS) gestiona sus claves de cifrado. Uso de AWS KMS para administrar sus claves proporciona varios beneficios adicionales. Con AWS KMShay permisos separados para el uso de la KMS key, que brinda una capa adicional de management y protección contra el acceso no autorizado a sus objetos almacenados en Amazon S3. AWS KMS proporciona una pista de auditoría para que pueda ver quién usó su clave para acceder a qué objeto y cuándo, así como ver los intentos fallidos de acceder a los datos de los usuarios sin permiso para descifrar los datos.
Al usar una biblioteca de cliente de cifrado, como el cliente de cifrado de Amazon S3, conserva el management de las claves y completa el cifrado y descifrado de los objetos del lado del cliente mediante una biblioteca de cifrado de su elección. Cifre los objetos antes de enviarlos a Amazon S3 para su almacenamiento. Los SDK de AWS para Java, .Web, Ruby, PHP, Go y C++ admiten el cifrado del lado del cliente.
Puedes seguir las instrucciones en esta publicación de weblog si desea cifrar retroactivamente los objetos existentes en sus cubos.
Disponible ahora
Este cambio es efectivo ahora, en todas las regiones de AWSincluso en AWS GovCloud (EE. UU.) y AWS China Regiones. No hay costo adicional para el cifrado a nivel de objeto predeterminado.
