fbpx

Criptografia no AWS S3

s3lock
Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp

É altamente recomendável que todos os dados confidenciais armazenados no Amazon S3 sejam criptografados, tanto em trânsito quanto em repouso.

Para criptografar os dados do Amazon S3 em trânsito, você pode usar os endpoint (endpoints) da API do Amazon S3 Secure Sockets Layer (SSL). Isso garante que todos os dados enviados para e do Amazon S3 sejam criptografados enquanto estiver em trânsito usando o protocolo HTTPS.

Para criptografar os dados do Amazon S3 em repouso, você pode usar várias variações de SSE (Server-Side Encryption).

 

O Amazon S3 criptografa seus dados no nível do objeto enquanto os grava em discos em seus datacenters e os descriptografa para você quando você os acessa.

Todo o SSE executado pelo Amazon S3 e pelo AWS Key Management Service (Amazon KMS) usa o Advanced Encryption Standard (AES) de 256 bits. Você também pode criptografar os dados do Amazon S3 em repouso usando o lado do cliente, criptografando seus dados no cliente antes de enviá-los para o Amazon S3.

 

SSE-S3 (chaves gerenciadas pela AWS)

Essa é uma solução de criptografia “estilo caixa de seleção” totalmente integrada, na qual a AWS lida com o gerenciamento e a proteção de chaves do Amazon S3. Cada objeto é criptografado com uma chave exclusiva.

A própria chave do objeto é então criptografada por uma chave mestra separada. Uma nova chave mestra é emitida pelo menos mensalmente, com a AWS rotacionando as chaves. Dados criptografados, chaves de criptografia e chaves mestras são todos armazenados separadamente em hosts seguros, aumentando ainda mais a proteção.

 

SSE-KMS (chaves AWS KMS)

Esta é uma solução totalmente integrada em que a Amazon lida com o gerenciamento e a proteção de chaves do Amazon S3, mas onde você gerencia as chaves.

O SSE-KMS oferece vários benefícios adicionais em comparação com o SSE-S3. Usando o SSE-KMS, existem permissões separadas para o uso da chave mestra, que fornecem proteção contra acesso não autorizado aos seus objetos armazenados no Amazon S3 e uma camada adicional de controle.

O AWS KMS também fornece auditoria, para que você possa ver quem usou sua chave para acessar qual objeto e quando eles tentaram acessar esse objeto. O AWS KMS também permite exibir quaisquer tentativas falhas de acessar dados de usuários que não tinham permissão para descriptografar os dados.

SSE-C (chaves fornecidas pelo cliente)

É usado quando você deseja manter suas próprias chaves de criptografia, mas não deseja gerenciar ou implementar sua própria biblioteca de criptografia do lado do cliente.

Com o SSE-C, a AWS faz a criptografia / descriptografia de seus objetos enquanto você mantém controle total das chaves usadas para criptografar / descriptografar os objetos no Amazon S3.

 

Criptografia do lado do cliente

Criptografia do lado do cliente refere-se à criptografia de dados no lado do cliente do seu aplicativo antes de enviá-los ao Amazon S3. Você tem as duas opções a seguir para usar chaves de criptografia de dados:

 

  • Use uma chave mestra do cliente gerenciada pelo AWS KMS.
  • Use uma chave mestra do lado do cliente.

 

Ao usar a criptografia do lado do cliente, você mantém o controle ponta a ponta do processo de criptografia, incluindo o gerenciamento das chaves de criptografia. Para máxima simplicidade e facilidade de uso, use a criptografia do servidor com chaves gerenciadas pela AWS (SSE-S3 ou SSE-KMS).

Comentários do Facebook

Conteúdos relacionados