it-swarm-eu.dev

Wovor schützt die serverseitige S3-Verschlüsselung von Amazon?

Der S3-Speicherdienst von Amazon bietet eine serverseitige Verschlüsselung von Objekten, die automatisch für den Benutzer verwaltet werden ( Amazon-Dokumentation ). Es ist einfach zu aktivieren, also denke ich: "Warum nicht?", Aber welche Art von Sicherheit bietet dies wirklich?

Ich denke, es verhindert, dass jemand in das AWS-Rechenzentrum wandert und sich eine Festplatte schnappt, aber das scheint sehr unwahrscheinlich, und vermutlich könnte jeder mit einem solchen Zugriff auch die AES-Schlüssel erhalten, wo immer sie gespeichert sind.

Es scheint die Daten nicht zu schützen, sobald sie von den Laufwerken entfernt sind, da sie zu diesem Zeitpunkt entschlüsselt sind und jeder, der über Ihre Anmeldeinformationen verfügt oder den Datenverkehr abfangen kann, die Daten im Klartext sieht. Worum geht es also wirklich? Nur um zu sagen, die Daten sind "verschlüsselt"?

70
Hank

Die kurze Antwort lautet: Wir haben keine Ahnung, wahrscheinlich keine.

Es könnte vor gestohlenen Backups schützen. Dies setzt jedoch voraus, dass Amazon sogar Backups erstellt. Das scheint sehr unwahrscheinlich. Wenn ja, warum konnten sie dann keine Daten von ihrem letzten S3-Datenverlust wiederherstellen? Es ist viel billiger und effizienter, nur mehrere Live-Kopien zu verwenden.

Außerdem würde Amazon die Schlüssel bei jedem Zugriff benötigen. Daher ist es sehr unwahrscheinlich, dass sie die Schlüssel an einem anderen Ort als ungefähr an denselben Orten speichern, an denen sie die Daten speichern. Wenn Sie sich also einen Diebstahl von Live-Datengeräten vorstellen, ist es genauso wahrscheinlich, dass diese auch die Schlüssel erhalten.

Wir wissen jedoch nicht, wie Amazon Daten speichert, repliziert und/oder sichert. Wir wissen auch nicht, wo sie die Schlüssel aufbewahren oder wie sie sie verteilen. Ich habe jedoch noch kein plausibles Argument dafür gehört, dass es eine realistische Bedrohung gibt, vor der sie schützen. Die Theorie der "gestohlenen Backups" scheint auf der falschen Annahme zu beruhen, dass Amazon Backups verwendet, wenn alle Beweise darauf hindeuten, dass mehrere Live-Kopien mit den Schlüsseln in der Nähe verwendet werden.

Die Verschlüsselung von Dropbox schützt jedoch vor einem echten Bedrohungsmodell, wenn auch einem sehr unwahrscheinlichen. Dropbox speichert ihre eigenen Schlüssel und sendet sie an Sie, damit Sie vor einem betrügerischen Amazon-Mitarbeiter geschützt sind. Im Gegenzug sind Sie anfällig für einen betrügerischen Dropbox-Mitarbeiter oder einen Dropbox-Sicherheitsfehler.

Ich bin der Meinung, dass Amazon diese Funktion hinzugefügt hat, um zu sagen, dass Daten verschlüsselt gespeichert werden können. Einige Leute werden Kontrollkästchen in Funktionslisten sinnlos vergleichen, und Amazon wollte ein Kontrollkästchen in der Zeile "sicher/verschlüsselt". In beiden Fällen ist das schwächste Glied höchstwahrscheinlich das interne Netzwerk und die menschliche Sicherheit von Amazon sowie die Gültigkeit der Implementierung des Codes, der entscheidet, ob Zugriffe zulässig sind oder nicht.

43
David Schwartz

Ich denke, es verhindert, dass jemand in das AWS-Rechenzentrum wandert und sich eine Festplatte schnappt, aber das scheint sehr unwahrscheinlich, und vermutlich könnte jeder mit einem solchen Zugriff auch die AES-Schlüssel erhalten, wo immer sie gespeichert sind.

Gilles 'Kommentar beantwortet Ihre Frage wirklich effektiv, aber ich werde selbst eine längere Antwort geben, weil ich nett bin. Die Festplattenverschlüsselung schützt Sie vor Datenverlust, wenn eine Festplatte gestohlen wird und der Schlüssel nicht damit gestohlen wird. Solche Beispiele könnten, wie Gilles sagt, gestohlene Backups sein, aber auch unterwegs in Laptops oder auf Festplatten entsorgt werden, um sinnvolle Versuche zu verhindern, Daten von Ihren stillgelegten Festplatten zu retten.

Die Festplattenverschlüsselung hilft Ihnen nicht viel, wenn Sie den Schlüssel und die Festplatte zusammenfügen, da die Sicherheit vom Schlüssel abhängt und die Daten entschlüsselt werden können, wenn der Schlüssel abgefangen werden kann. Der Schlüssel und die Festplatte befinden sich notwendigerweise immer in unmittelbarer Nähe, wenn das Betriebssystem eingeschaltet ist und die Festplatte verwendet (für jeden Lesevorgang ist dieser Schlüssel erforderlich), sodass jeder in der Nähe, der den Schlüssel vernünftigerweise abfangen kann, die Daten lesen kann. Natürlich müssen Sie in der Lage sein, den Schlüssel wiederherzustellen, um jede Art von Angriff auszuführen. Daher ist es etwas schwieriger als nur das Kopieren einer Festplatte (aber nicht viel). Also im Grunde ja, du hast recht.

Es ist jedoch immer noch eine gute Idee, Ihre Festplatten zu schützen, um den potenziellen Datenverlust durch Diebstahl und Entsorgung von Festplatten zu minimieren. Sie wissen nicht, was oder wie Amazon diese Festplatten zerstört. Wenn Sie also wertvolle Informationen darüber haben, ist es eine gute Idee, sie verschlüsseln zu lassen.

Worum geht es also wirklich? Nur um zu sagen, die Daten sind "verschlüsselt"?

Das ist eigentlich ein möglicher Faktor. Wie ich bereits sagte, hat die Verschlüsselung von Daten greifbare Vorteile, die nicht ganz den Erwartungen entsprechen, aber dennoch vorhanden sind. Ich hatte jedoch Kundenanforderungen, dass Daten auf dem Server in einem ähnlichen Szenario wie ein Marketingpunkt verschlüsselt werden (wir verschlüsseln Ihre Daten). Ich denke, dort gibt es eine pädagogische Herausforderung für Sicherheitsleute.

10
user2213

Einige Dinge, an die Sie sich erinnern sollten:

  • Amazon wird von einer Vielzahl von Unternehmen genutzt
  • Viele wertvolle Daten: Finanzdaten, geistiges Eigentum usw.
  • Kriminelle wie solche Ziele können einen hohen Barwert erzielen
  • Kriminalitätsgruppen sind nicht abgeneigt, Personen in Rechenzentren zu platzieren oder Mitarbeiter zu zwingen, schändliche Aufgaben auszuführen

Übersehen Sie nicht das Problem, dass Ihre Daten absichtlich oder auf andere Weise von Dritten verloren gehen, auch von solchen, die so groß sind wie Amazon.

6
Rory Alsop

Wenn Sie S3 SSE) verwenden, kann jeder mit den richtigen IAM-Anmeldeinformationen Ihre S3-Objekte lesen und/oder schreiben, genau wie wenn Sie SSE nicht verwenden. Auf den ersten Blick scheint dies der einzige zusätzliche Vorteil zu sein ist, dass die Daten vor Situationen geschützt sind, in denen jemand offline auf S3 zugreifen kann, wie z. B. Festplatten oder Backups (was ich bezweifle, dass AWS dies tut, ist viel wahrscheinlicher, dass er nur auf Replikation angewiesen ist). Ich denke jedoch, dass Sie dies benötigen um es mit der Alternative zu vergleichen, um die wirklichen Vorteile zu erhalten:

Für die clientseitige Verschlüsselung mit S3 sind zwei Komponenten erforderlich: ein Verschlüsselungsschlüssel und IAM-Anmeldeinformationen für die Authentifizierung und Autorisierung. Bei Verwendung der serverseitigen Verschlüsselung benötigen Sie nur IAM-Anmeldeinformationen.

Wenn Sie die clientseitige Verschlüsselung verwenden, müssen Sie den Verschlüsselungsschlüssel an alle Computer verteilen, die Lese- und/oder Schreibzugriff auf die verschlüsselten Daten in S3 haben. In beiden Fällen müssen Sie auch die IAM-Anmeldeinformationen verteilen.

Wenn Ihre Computer gefährdet sind, ist Ihr Verschlüsselungsschlüssel gefährdet. Sie können die IAM-Anmeldeinformationen ungültig machen, sobald Sie von dem Einbruch erfahren. Wenn Sie IAM-Rollen oder temporäre IAM-Anmeldeinformationen verwenden, hat der Angreifer nur Zugriff auf Ihre Daten, solange er die Kontrolle über den Computer hat (was jedoch schlimm genug ist Vielleicht ist es nicht das Ende der Welt, aber Sie müssen auch darüber nachdenken, was als nächstes passiert. Bei der clientseitigen Verschlüsselung verfügt der Angreifer über Ihren Verschlüsselungsschlüssel, und alle mit dem kompromittierten Verschlüsselungsschlüssel verschlüsselten Daten müssen erneut verschlüsselt werden. Bei der serverseitigen Verschlüsselung müssen Sie Ihre Daten nicht erneut verschlüsseln, da weder Sie noch der Angreifer über den Verschlüsselungsschlüssel verfügen.

Selbst wenn Sie keine Pause einlegen, kann es vorkommen, dass Ihr Verschlüsselungsschlüssel kompromittiert wird, wenn ein Laptop verloren geht oder gestohlen wird, wenn jemand, der es nicht besser weiß, ihn per E-Mail an jemanden sendet oder wenn jemand aufgibt und Sie Ich kann nicht ganz sicher sein, dass sie nichts mitgenommen haben. Zu diesem Zeitpunkt ist Ihr Verschlüsselungsschlüssel kompromittiert und Sie sollten wahrscheinlich alle Ihre Daten neu verschlüsseln. Das kann viel Arbeit sein. Bei der serverseitigen Verschlüsselung müssen Sie lediglich die IAM-Anmeldeinformationen ungültig machen und neue ausstellen.

Es gibt wahrscheinlich Möglichkeiten, die oben erwähnten Probleme mit der clientseitigen Verschlüsselung zu verringern, aber für mich scheint die Verwendung von SSE mit S3 weniger Nachteile zu haben als die Verwaltung selbst).

Schließlich stellt sich die Frage, wie sicher es ist, dass AWS Ihre Verschlüsselungsschlüssel verwaltet:

Laut AWS ist das System, das die Verschlüsselungsschlüssel verwaltet, von S3 getrennt, mit der Absicht, dass jemand, der von außen in S3 einbricht, Ihre Daten nicht erhält, weil er nicht über die Verschlüsselungsschlüssel verfügt. Wenn sie nur in das Schlüsselverwaltungssystem eindringen (auf das von außen wahrscheinlich ohnehin nicht direkt zugegriffen werden kann), verfügen sie nicht über Ihre Daten, da sie in S3 keinen Zugriff darauf haben. Sie müssen in beide S3 und das Schlüsselverwaltungssystem einbrechen, um an Ihre Daten zu gelangen.

Wenn sie stattdessen in das physische Rechenzentrum einbrechen, erhalten sie möglicherweise gleichzeitig Zugriff auf das Schlüsselverwaltungssystem und S3. Die Frage ist jedoch, ob dies die Dinge einfacher macht oder nicht. Ich denke, dass wir erstens darauf vertrauen müssen, dass AWS über geeignete Sicherheitsmaßnahmen verfügt, um zu verhindern, dass Benutzer ihre Rechenzentren betreten, und zweitens, dass Sie mehr tun müssen, um tatsächlich Schlüssel aus dem Schlüsselverwaltungssystem zu erhalten Ziehen Sie einfach einige Laufwerke heraus. Soweit ich gesehen habe, veröffentlicht AWS nicht genau, wie das Schlüsselverwaltungssystem geschützt ist, sondern sagt nur, dass es mit mehreren Sicherheitsebenen geschützt ist. Es ist Spekulation, aber die Festplattenverschlüsselung ist wahrscheinlich eine davon.

5
Theo

Wie viele von Ihnen bereits erwähnt haben, bietet dies in der Tat ein zusätzliches Maß an Sicherheit (erinnern Sie sich an Ebenen?), Wenn die Festplatten verloren gehen oder irgendwie darauf zugegriffen wird. Aber ich finde es unglaublich, dass noch niemand Sicherheitszertifizierungen erwähnt hat.

Ich kenne. Einige von Ihnen, die dies lesen, denken möglicherweise bereits "Zertifizierungen sind Schwachsinn". Nun ... sie können es sein. Aber wenn sie richtig gemacht werden, können sie einige wichtige Funktionen sicherstellen und sind eine wirklich große Sache in der Unternehmenswelt. Insbesondere für Anbieter von IaaS, bei denen ihre Mitarbeiter nur einen geringen Zugriff auf alle Ihre Daten und Codes benötigen, um den Service bereitzustellen.

Die Bedrohung besteht hier also nicht darin, dass AWS Zugriff auf die Daten hat (sie haben), sondern dass ein bestimmter AWS-Mitarbeiter Zugriff auf die Daten hat.

Ich kenne nicht alle aufgelisteten Programme hier sicher. Aber ich bin mir ziemlich sicher, dass einige von ihnen eine Aufgabentrennung erfordern . Dies würde bedeuten, dass AWS einen externen Prüfer davon überzeugen musste, dass er die Aufgabentrennung ordnungsgemäß umsetzt, wenn Sicherheitsmerkmale dies erfordern. In diesem speziellen Fall würde dies bedeuten, dass die AWS-Mitarbeiter, die Zugriff auf die verschlüsselten Daten haben, niemals Zugriff auf die Verschlüsselungsschlüssel haben und die Mitarbeiter, die Zugriff auf die Verschlüsselungsschlüssel haben können, niemals Zugriff auf die Daten haben .

Ja, Sie müssen AWS bereits sowohl die Schlüssel als auch die Daten anvertrauen, aber diese Zertifizierungen sollen Ihnen versichern, dass sie steuern, wer (innerhalb des Unternehmens) Zugriff auf was hat. Ein zusätzliches Maß an Vertrauen, das auch einen großen Teil der Sicherheit ausmacht.

Andererseits benötigen AWS-Kunden, die ebenfalls zertifiziert werden möchten, dies auch, um die Verschlüsselung ruhender Daten einzuhalten. Dies kann nur gültig sein, wenn sie auch sicherstellen, dass die Schlüssel ordnungsgemäß gespeichert und verwaltet werden. Mit dieser Funktion und AWS-Zertifizierungen können sie diese an AWS delegieren.

2
rui

Sie können auch vor jemandem geschützt werden, der bei S3 in die Festplatten einbricht - sagen Sie (humorvoll), dass die Festplatte, auf der die S3-Daten gespeichert wurden, auch ein Startlaufwerk für ein funktionierendes Windows ist XP Box, und Jemand bricht in die XP Maschine) ein (nicht physisch - durch einen Hack). Er hat dann alle Dateien auf der Maschine, aber Ihre sind mit Schlüsseln verschlüsselt, die auf einer anderen Box gespeichert sind, also alle Diebe get ist digitaler Müll.

Vielleicht ist die Wahrscheinlichkeit, dass jemand in ein S3-Array einbricht, gering, aber ich stehe auf der Seite anderer Poster und wette, dass sich die Schlüssel hinter einer anderen Wand befinden. Außerdem verwenden sie wahrscheinlich unterschiedliche Schlüssel für jedes Konto.

Es ist zwar keine Menge Sicherheit, aber es ist da. Dropbox hat eine riesige de-duplizierte Karte für sein Geschäft, daher sehe ich nicht, wie sie mit unterschiedlichen Schlüsseln für jedes Konto verschlüsseln könnten.

1
Tom Andersen

Da andere Antworten weitgehend implizieren, dass die Funktion nahezu unbrauchbar ist, müssen Sie sich das Gesamtbild der Best Practices und Vorschriften für die Informationssicherheit ansehen, um zu verstehen, warum sie vorhanden ist.

Aktuelle Interpretationen der US-Datenschutzgesetze (z. B. HIPAA, PCI) erfordern, dass alle Kundendaten im Ruhezustand verschlüsselt werden. Wenn Sie der Meinung sind, dass bei Amazon gespeicherte Daten von dieser Anforderung ausgenommen sein sollten, erläutern Sie Ihre Argumentation Ihrem Rechtsberater. Viel Glück damit. Die Regeln sind einheitlich und gelten für eine Festplatte in einem Laptop gleichermaßen wie für ein Festplattenarray in einem "sicheren" Rechenzentrum.

Während der Diebstahl von Amazon-Mitarbeitern für einige ein Problem sein kann, besteht das Hauptverkaufsargument der Funktion darin, Unternehmen vor der Nichteinhaltung geltender Best Practices und Vorschriften zu schützen, bei denen möglicherweise Daten in Ruhe verschlüsselt werden müssen.

1
Alex R