fbpx

Segurança no Armazenamento da AWS

Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp
Compartilhar no telegram

A AWS fornece armazenamento de dados de baixo custo com alta durabilidade e disponibilidade. A AWS oferece opções de armazenamento para backup, arquivamento e recuperação de desastres e também para armazenamento de blocos e objetos.

 

Segurança do Amazon Simple Storage Service (Amazon S3)

O Amazon S3 permite fazer upload e recuperar dados a qualquer momento, de qualquer lugar da Web. O Amazon S3 armazena dados como objetos dentro de buckets. Um objeto pode ser qualquer tipo de arquivo: um arquivo de texto, uma foto, um vídeo e muito mais.

Ao adicionar um arquivo ao Amazon S3, você tem a opção de incluir metadados com o arquivo e definir permissões para controlar o acesso ao arquivo. Para cada depósito, você pode controlar o acesso ao depósito (quem pode criar, excluir e listar objetos no depósito), exibir logs de acesso ao depósito e seus objetos e escolher a região geográfica onde o Amazon S3 armazenará o depósito e seus itens. conteúdo.

 

Acesso de dados

O acesso aos dados armazenados no Amazon S3 é restrito por padrão; somente proprietários de bucket e objeto têm acesso aos recursos do Amazon S3 que eles criam. (Observe que o proprietário do bloco / objeto é o proprietário da conta da AWS, não o usuário que criou o bloco / objeto.) Existem várias maneiras de controlar o acesso a buckets e objetos:

 

Políticas do IAM

O AWS IAM permite que organizações com muitos funcionários criem e gerenciem vários usuários em uma única conta da AWS. As políticas do IAM são anexadas aos usuários, permitindo o controle centralizado das permissões dos usuários na sua conta da AWS para acessar buckets ou objetos. Com as políticas do IAM, você só pode conceder usuários em sua própria conta da AWS com permissão para acessar seus recursos do Amazon S3.

 

ACLs

No Amazon S3, você pode usar ACLs para fornecer acesso de leitura ou gravação em buckets ou objetos a grupos de usuários. Com as ACLs, você só pode conceder a outras contas da AWS (usuários não específicos) acesso aos seus recursos do Amazon S3.

 

Políticas de bucket

As políticas de bucket no Amazon S3 podem ser usadas para adicionar ou negar permissões em alguns ou todos os objetos em um único bucket. As políticas podem ser anexadas a usuários, grupos ou buckets do Amazon S3, permitindo o gerenciamento centralizado de permissões. Com as políticas de bucket, você pode conceder aos usuários da sua conta da AWS ou de outras contas da AWS acesso aos recursos do Amazon S3.

 

Autenticação de string de consulta

Você pode usar uma string de consulta para expressar uma solicitação inteiramente em uma URL. Nesse caso, você usa parâmetros de consulta para fornecer informações de solicitação, incluindo as informações de autenticação. Como a assinatura da solicitação faz parte da URL, esse tipo de URL geralmente é chamado de URL pré-assinado. Você pode usar URLs pré-assinados para incorporar links clicáveis, que podem ser válidos por até sete dias, em HTML.

Você pode restringir ainda mais o acesso a recursos específicos com base em determinadas condições. Por exemplo, você pode restringir o acesso com base no horário da solicitação (Data Condição), se a solicitação foi enviada usando SSL (Condições Booleanas), no endereço IP de um solicitante (Condição de Endereço IP) ou no aplicativo cliente do solicitante (Condições da String). Para identificar essas condições, você usa chaves de política.

O Amazon S3 também oferece aos desenvolvedores a opção de usar a autenticação de string de consulta, o que permite compartilhar objetos do Amazon S3 por meio de URLs válidas por um período predefinido.

A autenticação de cadeia de consulta é útil para fornecer ao HTTP acesso do navegador a recursos que normalmente exigiriam autenticação. A assinatura na cadeia de consulta protege a solicitação.

 

Transferência de dados

Para segurança máxima, você pode fazer upload / download de dados com segurança para o Amazon S3 através dos endpoint criptografados por SSL. Os endpoint criptografados são acessíveis na Internet e no Amazon EC2, para que os dados sejam transferidos com segurança na AWS e para e de fontes fora da AWS.

 

Armazenamento de dados

O Amazon S3 fornece várias opções para proteger os dados em repouso. Para os clientes que preferem gerenciar sua própria criptografia, eles podem usar uma biblioteca de criptografia de cliente como o Amazon S3 Encryption Client para criptografar dados antes de fazer o upload para o Amazon S3.

Como alternativa, você pode usar o SSE (Amazon S3 Server Side Encryption) se preferir que o Amazon S3 gerencie o processo de criptografia para você. Os dados são criptografados com uma chave gerada pela AWS ou com uma chave fornecida, dependendo dos seus requisitos.

Com o Amazon S3 SSE, você pode criptografar dados no upload simplesmente adicionando um cabeçalho de solicitação adicional ao gravar o objeto.

A descriptografia acontece automaticamente quando os dados são recuperados. Observe que os metadados, que você pode incluir no seu objeto, não são criptografados.

O Amazon S3 SSE usa uma das cifras de bloco mais fortes disponíveis: AES-256. Com o Amazon S3 SSE, todos os objetos protegidos são criptografados com uma chave de criptografia exclusiva.

Essa chave de objeto é criptografada com uma chave mestre rotacionada regularmente. O Amazon S3 SSE fornece segurança adicional armazenando os dados criptografados e as chaves de criptografia em diferentes hosts.

O Amazon S3 SSE também possibilita a imposição de requisitos de criptografia.

Por exemplo, você pode criar e aplicar políticas de buckets que exigem que apenas dados criptografados possam ser carregados em seus buckets.

Quando um objeto é excluído do Amazon S3, a remoção do mapeamento do nome público para o objeto inicia imediatamente e geralmente é processada no sistema distribuído em alguns segundos.

Após a remoção do mapeamento, não há acesso remoto ao objeto excluído. A área de armazenamento subjacente é então recuperada para uso pelo sistema.

 

O Amazon S3 Standard foi projetado para fornecer 99,9999999999% de durabilidade dos objetos em um determinado ano. Esse nível de durabilidade corresponde a uma perda média anual esperada de 0,000000001 por cento dos objetos. Por exemplo, se você armazenar 10.000 objetos no Amazon S3, poderá esperar, em média, a perda de um único objeto a cada 10.000.000 anos.

Além disso, o Amazon S3 foi projetado para sustentar a perda simultânea de dados em duas instalações.

 

Logs de acesso

Um bucket do Amazon S3 pode ser configurado para registrar o acesso ao bucket e aos objetos dentro dele. O log de acesso contém detalhes sobre cada solicitação de acesso, incluindo o tipo de solicitação, o recurso solicitado, o IP do solicitante e a hora e data da solicitação.

Quando o log é ativado para um bucket, os registros são periodicamente agregados aos arquivos de log e entregues no bucket especificado do Amazon S3.

 

Compartilhamento de recursos entre origens (CORS)

Os clientes da AWS que usam o Amazon S3 para hospedar páginas da Web estáticas ou armazenar objetos usados ​​por outras páginas da Web podem carregar conteúdo com segurança, configurando um bucket do Amazon S3 para ativar explicitamente solicitações de origem cruzada.

Navegadores modernos usam a política Same Origin para bloquear JavaScript ou HTML5 permite que solicitações carreguem conteúdo de outro site ou domínio como uma maneira de garantir que o conteúdo malicioso não seja carregado de uma fonte menos respeitável (como durante ataques de script entre sites).

Com a política de compartilhamento de recursos de origem cruzada (CORS) ativada, ativos como fontes da web e imagens armazenadas em um bucket do Amazon S3 podem ser referenciados com segurança por páginas da web externas, folhas de estilo e aplicativos HTML5.