it-swarm-eu.dev

Co chrání šifrování na straně serveru Amazon S3?

Úložná služba Amazonu S3 nabízí šifrování objektů na straně serveru, automaticky spravované pro uživatele ( dokumentace Amazonky ). Je to snadné povolit, takže si myslím „proč ne?“, Ale jaký druh zabezpečení to skutečně poskytuje?

Myslím, že to brání někomu v putování do datového centra AWS a popadnutí pevného disku, ale zdá se to velmi nepravděpodobné a pravděpodobně kdokoli s takovým přístupem by také mohl získat klíče AES, ať už jsou uloženy kdekoli.

Nezdá se, že by data chránila, jakmile bude vypnuta z disků, protože v tom okamžiku je dešifrována a kdokoli, kdo má vaše přihlašovací údaje nebo může zachytit provoz, uvidí data jasně. Jaký je smysl? Jednoduše řečeno, data jsou "šifrovaná"?

70
Hank

Krátká odpověď zní: Nemáme tušení, pravděpodobně žádnou.

Je to možná ochrana před odcizením záloh. Ale to předpokládá, že Amazon dokonce vytváří zálohy. To se zdá velmi nepravděpodobné. Pokud ano, proč nemohli obnovit data ze své poslední ztráty dat S3? Je to mnohem levnější a efektivnější použít více živých kopií.

Amazon by také potřeboval klíče při každém přístupu. Zdá se tedy velmi nepravděpodobné, že by klíče ukládaly kdekoli jinde než přibližně na stejných místech, kde ukládají data. Pokud si tedy představujete krádež živých datových zařízení, je stejně pravděpodobné, že získají i klíče.

Nevíme však, jak Amazon ukládá, replikuje a/nebo zálohuje data. Nevíme ani, kam ukládají klíče nebo jak je distribuují. Ještě jsem však musel slyšet věrohodný argument, že existuje reálná hrozba, před kterou chrání. Teorie „odcizených záloh“ se zdá být založena na falešném předpokladu, že Amazon používá zálohy, když všechny důkazy naznačují, že používají více živých kopií s klíči docela blízko.

Šifrování Dropboxu však chrání před jedním skutečným modelem hrozby, třebaže velmi nepravděpodobný. Dropbox ukládá své vlastní klíče a posílá je vám, takže vás chrání před nepoctivým zaměstnancem Amazonu. Na oplátku jste zranitelní vůči nepoctivému zaměstnanci Dropboxu nebo bezpečnostní chybě Dropboxu.

Můj vlastní názor je, že Amazon přidal tuto funkci jen proto, aby mohli říci, že data mohou být uložena šifrovaná. Někteří lidé budou bezmyšlenkovitě porovnávat zaškrtávací políčka v seznamech funkcí a Amazon chtěl zaškrtávací políčko na řádku „zabezpečené/šifrované“. V každém případě je nejslabším článkem pravděpodobně vnitřní síť Amazonu a lidská bezpečnost a platnost implementace kódu, která rozhoduje o tom, zda povolit přístup nebo ne.

43
David Schwartz

Myslím, že to brání někomu v putování do datového centra AWS a popadnutí pevného disku, ale zdá se to velmi nepravděpodobné a pravděpodobně kdokoli s takovým přístupem by také mohl získat klíče AES, ať už jsou uloženy kdekoli.

Gillesův komentář fakticky odpovídá na vaši otázku, ale já si odpovím sám, protože jsem Nice. Šifrování disku vás chrání před ztrátou dat, když je disk odcizen a klíč není odcizen. Takovými příklady mohou být, jak říká Gilles, ukradené zálohy, ale mohou být také v přenosných počítačích v pohybu nebo mohou být zlikvidovány pevné disky, aby se zabránilo smysluplným pokusům o záchranu dat z vašich disků vyřazených z provozu.

Šifrování disku vám moc nepomůže, když dáte klíč a disk dohromady, protože zabezpečení závisí na klíči a pokud lze klíč zachytit, lze data dešifrovat. Klíč a disk jsou vždy v těsné blízkosti nutností, když je operační systém zapnutý a používá disk (každé čtení vyžaduje tento klíč), takže kdokoli v jeho blízkosti, který může rozumně zachytit klíč, by měl být schopen číst data. Samozřejmě musíte být schopni obnovit klíč k provedení jakéhokoli útoku, takže je o něco těžší než jen zkopírování pevného disku (ale ne mnohem). Takže v podstatě ano, máte pravdu.

Je však stále dobré chránit disky, aby se minimalizovala potenciální ztráta dat díky krádeži a likvidaci disku. Nevíte, co a jak Amazon dělá, aby zničil tyto disky, takže pokud máte cenné informace o nich jakéhokoli druhu, jejich šifrování je skvělý nápad.

Jaký je smysl? Jednoduše řečeno, data jsou "šifrovaná"?

To je vlastně možný faktor. Jak říkám, že šifrovací data přinášejí hmatatelné výhody, nejsou to, co byste mohli očekávat, ale stále existují. To znamená, že jsem měl požadavky zákazníků, aby byla data zašifrována na konci serveru v podobném scénáři jako marketingový bod (vaše data zašifrujeme). Myslím, že pro lidi v oblasti bezpečnosti existuje vzdělávací výzva.

10
user2213

Některé věci na zapamatování:

  • Amazon používá velké množství společností
  • Spousta cenných údajů: finanční údaje, duševní vlastnictví atd
  • Zločinci, jako jsou tyto cíle, mohou vrátit vysokou hotovost
  • Zločinecké skupiny nejsou averzní k umisťování jednotlivců do datových center nebo nutí zaměstnance, aby vykonávali hrozné úkoly

Nezapomeňte na problém, že vaše data jsou záměrně nebo jinak únikem třetími stranami, dokonce i těmi velkými jako Amazon.

6
Rory Alsop

Když používáte S3 SSE kdokoli se správnými přihlašovacími údaji IAM může číst a/nebo zapisovat vaše objekty S3, jako byste nepoužívali SSE. Na první pohled to vypadá jako jediná přidaná výhoda je to, že data jsou chráněna před situacemi, kdy někdo získá přístup k S3 offline způsobem, jako jsou diskové jednotky nebo zálohy (což pochybuji, že AWS vytvoří, je mnohem pravděpodobnější, že se spoléhají pouze na replikaci). Myslím si však, že potřebujete porovnat ji s alternativou a získat skutečné výhody:

Pro šifrování na straně klienta pomocí S3 jsou zapotřebí dvě součásti: šifrovací klíč a IAM pověření pro autentizaci a autorizaci. Při použití šifrování na straně serveru potřebujete pouze pověření IAM.

Při použití šifrování na straně klienta musíte distribuovat šifrovací klíč do všech počítačů, které mají ke šifrovaným datům na S3 přístup ke čtení a/nebo zápisu. V obou případech musíte také distribuovat pověření IAM.

Pokud jsou vaše počítače ohroženy, je narušen šifrovací klíč. IAM můžete zrušit platnost pověření IAM, jakmile víte o přerušení, a pokud používáte role IAM nebo dočasná pověření IAM, má útočník přístup pouze k vašim datům, pokud má kontrolu nad počítačem (což je dost špatné, ale nemusí být konec světa, musíte také myslet na to, co se bude dít dál). Při šifrování na straně klienta bude mít útočník váš šifrovací klíč a všechna data zašifrovaná kompromitovaným šifrovacím klíčem musí být znovu zašifrována. Při šifrování na straně serveru nebudete muset znovu šifrovat data, protože ani vy ani útočník nebudete mít šifrovací klíč.

I když nemáte přestávku, existují situace, kdy může dojít ke kompromitaci šifrovacího klíče, pokud dojde ke ztrátě nebo odcizení notebooku, pokud někdo, kdo neví, že je lepší, e-mailem někomu, nebo pokud někdo skončí a vy nemůžeme si být úplně jistí, že s sebou věci nebrali. Nyní je váš šifrovací klíč ohrožen a pravděpodobně byste měli znovu zašifrovat všechna vaše data. To může být hodně práce. U šifrování na straně serveru stačí zrušit platnost IAM pověření a vydat nové.

Pravděpodobně existují způsoby, jak zmírnit problémy s šifrováním na straně klienta, které jsem zmínil výše, ale pro mě je to jako by použití SSE s S3 mělo méně nevýhod než samotné řízení.

Nakonec je otázkou, jak bezpečné je nechat AWS spravovat vaše šifrovací klíče:

Podle AWS je systém, který spravuje šifrovací klíče, oddělený od S3, s úmyslem, že pokud se někdo dostane do S3 zvnějšku, nebude vaše data získávat, protože nebude mít šifrovací klíče. Pokud se dostanou pouze do systému správy klíčů (který pravděpodobně není přímo přístupný zvnějšku), nebudou mít vaše data, protože k nim na S3 nemají přístup. Aby se dostali k vašim datům, musí se rozdělit na oba S3 a systém správy klíčů.

Pokud se místo toho vniknou do fyzického datového centra, mohou získat přístup do systému správy klíčů i do S3 současně, ale otázkou je, zda to usnadňuje nebo ne. Myslím si, že v první řadě potřebujeme důvěřovat společnosti AWS, aby měla k dispozici vhodná bezpečnostní opatření, která zabrání lidem v přístupu do jejich datových center, a zadruhé, že abychom skutečně získali klíče od systému správy klíčů, musíte udělat něco víc než jednoduše vyjměte některé diskové jednotky. Pokud jsem viděl, AWS nezveřejňuje přesně, jak je systém správy klíčů chráněn, víc než jen to, že je chráněn více vrstvami zabezpečení. Je to spekulace, ale jedním z nich je pravděpodobně šifrování disku.

5
Theo

Stejně jako mnozí z vás, kteří jste se zmínili, vám to skutečně poskytne další úroveň zabezpečení (pamatujte vrstvy?), Pokud disky nějak ztratily nebo k nim přistupovaly. Zdá se mi však neuvěřitelné, že zatím nikdo nezmínil osvědčení o dodržování bezpečnostních předpisů.

Vím. Někteří z vás, kteří to čtou, už mohou myslet „Certifikace jsou kecy“. No ... mohou být. Pokud však budou provedeny správně, mohou zajistit některé důležité funkce a jsou ve světě podniků opravdu velkým dílem. Zejména poskytovatelům IaaS, kde jejich zaměstnanci potřebují nízkou úroveň přístupu ke všem vašim datům a kódu, aby mohli službu poskytovat.

Hrozbou tedy není, že AWS má přístup k datům (mají), ale konkrétní zaměstnanec AWS, který má přístup k datům.

Neznám všechny uvedené programy zde určitě. Ale jsem si jistý, že někteří z nich vyžadují oddělení povinností . To by znamenalo, že AWS musela přesvědčit externího auditora, že pokud to vyžadují bezpečnostní prvky, řádně provádí oddělení povinností. V tomto konkrétním případě by to znamenalo, že kluci AWS, kteří mají přístup k šifrovaným datům, nikdy nemají přístup k šifrovacím klíčům a kluci, kteří mohou mít přístup k šifrovacím klíčům, nikdy nemají přístup k datům .

Takže ano, musíte AWS důvěřovat jak s klíči, tak s daty, ale tyto certifikace by vás měly ujistit, že mají kontrolu nad tím, kdo (uvnitř společnosti) má přístup k čemu. Mimořádná úroveň důvěry, která je také velkou součástí bezpečnosti.

Na druhé straně, zákazníci AWS, kteří chtějí být certifikováni, to budou také potřebovat, aby vyhověli šifrování dat v klidu . To může být platné, pouze pokud poskytují jistotu, že klíče jsou správně uloženy a spravovány. Díky této funkci a certifikacím AWS to mohou delegovat na AWS.

2
rui

Můžete být také chráněni proti tomu, aby se někdo vloupal na disky v S3 - řekněme (humorně), že disk, na kterém byla uložena data S3, je také spouštěcí jednotkou pro pracovní okna XP box a někdo se vloupe do stroje XP (ne fyzicky - skrze hack)). Pak mají všechny soubory v počítači, ale vaše jsou šifrovány pomocí klíčů uložených v jiné krabici, takže všichni zloději get je digitální odpadky.

Pravděpodobnost, že by se někdo vloupal do pole S3, je malá, ale já stojím u jiných plakátů a vsadím se, že klíče jsou za jinou zdí. Pravděpodobně také používají různé klíče pro každý účet.

Takže i když to není tuna bezpečnosti, je tam. Dropbox má pro svůj obchod jednu obrovskou neduplikovanou mapu, takže nevidím, jak by mohli šifrovat různé klíče pro každý účet.

1
Tom Andersen

Protože jiné odpovědi z velké části naznačují, že tato funkce je téměř zbytečná, musíte se podívat na větší obrázek osvědčených postupů a předpisů v oblasti informační bezpečnosti, abyste pochopili, proč existuje.

Aktuální interpretace amerických zákonů o ochraně osobních údajů (např. HIPAA, PCI) vyžaduje, aby všechna zákaznická data byla v klidu šifrována. Pokud se domníváte, že by data uložená v Amazonu měla být vyňata z tohoto požadavku, zkuste vysvětlit své odůvodnění právnímu zástupci společnosti. Hodně štěstí. Pravidla jsou univerzální pro všechny a vztahují se stejně na pevný disk v notebooku, jako na diskové pole v „zabezpečeném“ datovém centru.

I když krádež zaměstnanců Amazonu může být pro některé znepokojující, hlavní prodejní místo této funkce je ochrana společností před nedodržováním platných osvědčených postupů a předpisů, které mohou vyžadovat šifrování dat v klidu.

1
Alex R