Como todos los servicios en la nube, debe asumir la responsabilidad de proteger el almacenamiento en la nube.

En este artículo, analizaremos los mejores consejos para proteger el almacenamiento de AWS S3.

Antes de ver los consejos para proteger el almacenamiento de AWS S3, debemos saber por qué es crucial. En 2017 había expuesto datos críticos como redes sociales privadas cuentas y datos clasificados del Pentágono.

Desde entonces, todas las organizaciones prestan mucha atención a la seguridad de sus datos almacenados en el AWS S3.

¿Eso significa que S3 es una solución de almacenamiento insegura de Amazon ¿Servicios web? En absoluto, S3 es un seguro solución de almacenamiento, pero depende del usuario cómo quiere proteger sus datos.

Modelo de responsabilidad compartida de AWS

La mayoría de las soluciones que ofrece el nube pública proporcionar un modelo de responsabilidad compartida. Esto significa que AWS se encarga de la responsabilidad de la seguridad de la plataforma en la nube, y los clientes de la nube son responsables de la seguridad en la nube.

Este modelo compartido ayuda a mitigar las filtraciones de datos. El siguiente diagrama muestra el general responsabilidad de la AWS y la responsabilidad del cliente de proteger los datos.

Almacenamiento seguro de AWS S3

Estudie el diagrama anterior para familiarizarse con las responsabilidades que debe asumir. Las medidas preventivas para asegurar el almacenamiento de S3 son esenciales, pero no se pueden prevenir todas las amenazas. AWS proporciona algunas formas de ayudarlo a monitorear de manera proactiva y evitar el riesgo de filtraciones de datos.

Veamos las siguientes prácticas recomendadas para proteger el almacenamiento de AWS S3.

Create a Private and Public Bucket

Cuando crea un depósito nuevo, la política de depósito predeterminada es privada. Lo mismo se aplica a los nuevos objetos cargados. Deberá otorgar acceso manualmente a la entidad a la que desea acceder a los datos.

Al utilizar la combinación de políticas de depósito, las políticas de ACL e IAM brindan el acceso adecuado a las entidades adecuadas. Pero esto se volverá complejo y difícil si mantiene los objetos públicos y privados en el mismo depósito. Al mezclar los objetos públicos y privados en el mismo depósito, se llevará a cabo un análisis cuidadoso de las ACL, lo que provocará una pérdida de tiempo productivo.

Un enfoque simple es separar los objetos en un depósito público y un depósito privado. Cree un único depósito público con una política de depósito para otorgar acceso a todos los objetos almacenados en él.

{
  "Effect": "Allow",
  "Principal": "*",
  "Action": "s3:GetObject",
  "Resource": "arn:aws:s3:::YOURPUBLICBUCKET/*"
}

A continuación, cree otro depósito para almacenar objetos privados. De forma predeterminada, todo el acceso al depósito se bloqueará para el acceso público. Luego, puede utilizar las políticas de IAM para otorgar acceso a estos objetos a usuarios específicos o acceso a aplicaciones.

Encrypting Data at Rest and Transit

Para proteger los datos durante el descanso y el tránsito, habilite el cifrado. Puede configurar esto en AWS para cifrar objetos en el servidor antes de almacenarlos en S3.

Esto se puede lograr utilizando claves S3 administradas por AWS predeterminadas o sus claves creadas en el Servicio de administración de claves. Para aplicar el cifrado de datos durante el tránsito mediante el uso del protocolo HTTPS para todas las operaciones del depósito, debe agregar el siguiente código en la política del depósito.

{
  "Action": "s3:*",
  "Effect": "Deny",
  "Principal": "*",
  "Resource": "arn:aws:s3:::YOURBUCKETNAME/*",
  "Condition": {
    "Bool": { "aws:SecureTransport": false }
  }
}

Utilize CloudTrail

CloudTrail es un servicio de AWS que registra y mantiene el rastro de los eventos que tienen lugar en los servicios de AWS. Los dos tipos de eventos de CloudTrail son eventos de datos y eventos de gestión. Los eventos de datos están deshabilitados de forma predeterminada y son mucho más granulares.

Video de Youtube

Los eventos de administración se refieren a la creación, eliminación o actualización de depósitos de S3. Y los eventos de datos se refieren a las llamadas a la API realizadas en los objetos como PutObject, GetObject o GetObject.

A diferencia de los eventos de gestión, los eventos de datos costarán $ 0.10 por 100,000 eventos.

Usted crea una ruta específica para registrar y monitorear su bucket de S3 en una región determinada o globalmente. Estos senderos almacenarán registros en el depósito S3.

CloudWatch and alerting

Tener CloudTrail La configuración es excelente para la supervisión, pero si necesita tener control sobre las alertas y la autocuración, utilice CloudWatch. AWS CloudWatch ofrece un registro inmediato de eventos.

Video de Youtube

Además, puede configurar CloudTrail dentro de un grupo de registros de CloudWatch para crear flujos de registros. Tener un evento de CloudTrail en CloudWatch agrega algunas características poderosas. Puede configurar los filtros de métricas para habilitar la alarma de CloudWatch para actividades sospechosas.

Setup Lifecycle Policy

La configuración de una política de ciclo de vida protege sus datos y le permite ahorrar dinero. Al configurar la política del ciclo de vida, mueves los datos no deseados para que sean privados y luego los elimines. Esto garantiza que los piratas informáticos ya no puedan acceder a los datos no deseados y ahorra dinero al liberar espacio. Habilite la política de ciclo de vida para mover los datos del almacenamiento estándar a AWS Glacier para ahorrar dinero.

Posteriormente, los datos almacenados en el Glaciar se pueden eliminar si no agregan más valor a usted u organización.

S3 Block Public Access

AWS ha tomado medidas para automatizar la funcionalidad para bloquear el acceso público a un depósito; anteriormente se utilizaba una combinación de CloudWatch, CloudTrail y Lambda.

Hay casos en los que los desarrolladores accidentalmente harán públicos los objetos o el depósito. Para evitar el acceso accidental para hacer públicos el cubo o los objetos, estas funciones son útiles.

Video de Youtube

La nueva función de configuración de bloqueo de acceso público evitará que alguien haga público el depósito. Puede habilitar esta configuración en la consola de AWS, como se muestra en el video anterior. También puede aplicar esta configuración en el nivel de la cuenta, como se explica en el video a continuación.

Video de Youtube

Listen to AWS Trusted Advisor

Asesor de confianza de AWS es una función integrada que se utiliza para analizar los recursos de AWS dentro de su cuenta y recomienda las mejores prácticas.

Ofrecen recomendaciones en 5 categorías; una de las características cruciales es la seguridad. Desde febrero de 2018, AWS le alerta cuando los buckets de S3 se hacen accesibles al público.

Herramientas de seguridad de AWS de terceros

Aparte de Amazon, existe un tercero que proporciona herramientas de seguridad para proteger sus datos. Pueden ahorrarle mucho tiempo y mantener los datos seguros al mismo tiempo. Algunas de las herramientas populares se mencionan a continuación:

Mono de seguridad

Es una herramienta desarrollada por Netflix para monitorear los cambios y alertas de la política de AWS si encuentra alguna configuración insegura. Mono de seguridad realiza algunas auditorías en S3 para garantizar que se implementen las mejores prácticas. También es compatible con Google Cloud Platform.

Custodio de la nube

Custodio de la nube le ayuda a administrar los recursos en una nube alineada con las mejores prácticas. En palabras simples, una vez que haya identificado la mejor práctica, puede usar esta herramienta para escanear los recursos en la nube para asegurarse de que se cumpla.

Si no se cumplen, puede utilizar muchas opciones para enviar alertas o hacer cumplir las políticas que faltan.

Mapeador de nubes

Duo Security creó el Mapeador de nubes, que es una excelente herramienta de visualización y auditoría en la nube. Tiene una característica similar de Security Monkey para realizar el análisis de los depósitos de S3 en busca de configuraciones incorrectas. Ofrece una excelente representación visual de su infraestructura de AWS para mejorar la identificación de problemas adicionales.

Y ofrece excelentes informes.

Conclusión

Dado que la mayor parte del trabajo se lleva a cabo utilizando datos, protegerlos debería ser una de las principales responsabilidades.

Uno nunca puede saber cuándo y cómo Violacíon de datos pasará. Por tanto, siempre se recomienda una acción preventiva. Mejor prevenir que curar. Asegurar los datos le ahorrará miles de dólares.

Si es nuevo en la nube y está interesado en aprender AWS, consulte este Curso Udemy.