Geekflare
In Cloud Computing et de Sécurité  |  Dernière mise à jourated:
Partager sur:
Logiciel Jira est l'outil de gestion de projet n°1 utilisé par les équipes agiles pour planifier, suivre, publier et prendre en charge d'excellents logiciels.

7 bonnes pratiques pour sécuriser le stockage AWS S3

By
sécurité s3

Comme tous les services cloud, vous devez prendre la responsabilité de sécuriser le stockage cloud.

Dans cet article, nous discuterons des meilleurs conseils pour sécuriser le stockage AWS S3.

Avant de voir les conseils pour sécuriser le stockage AWS S3, nous devons savoir pourquoi c'est crucial. En 2017, il avait exposé des données critiques telles que private réseaux sociaux comptes et données classifiées du Pentagone.

Depuis, chaque organisation porte une attention particulière à la sécurisation de ses données stockées dans le AWS S3.

Cela signifie-t-il que S3 est une solution de stockage non sécurisée d'Amazon Web Services? Pas du tout, S3 est un Solution de stockage, mais cela dépend de la manière dont l'utilisateur souhaite sécuriser ses données.

Modèle de responsabilité partagée AWS

La plupart des solutions proposées par le nuage public proposer un modèle de responsabilité partagée. Cela signifie la responsabilité de la sécurité du cloud platLe formulaire est pris en charge par AWS et les clients du cloud sont responsables de la sécurité dans le cloud.

Ce modèle partagé contribue à atténuerate contre les violations de données. Le diagramme ci-dessous montre le général responsabilité de l'AWS et la responsabilité du client de sécuriser les données.

Stockage sécurisé AWS S3

Étudiez le diagramme ci-dessus pour familiarise votreself avec les responsabilités que vous devez prendre. P.revDes mesures préventives pour sécuriser le stockage S3 sont essentielles, mais chaque menace ne peut pas être évitée.reventré. AWS propose plusieurs façons de vous aider de manière proactive monitor et évitez le risque de violation de données.

Examinons les meilleures pratiques suivantes pour sécuriser le stockage AWS S3.

Create un privéate et seau public

Quand tu créesate un nouveau compartiment, la politique de compartiment par défaut est private. La même chose s'applique aux nouveaux objets téléchargés. Vous devrez manierally accordez l’accès à l’entité à laquelle vous souhaitez accéder aux données.

En utilisant la combinaison de stratégies de compartiment, les stratégies ACL et IAM donnent le bon accès aux bonnes entités. Mais cela deviendra complexe et difficile si vous conservez les deux privilèges.ate et les objets publics dans le même compartiment. En mélangeant public et privéate les objets dans le même bucket entraîneront une analyse minutieuse des ACL, entraînant un gaspillage de votre productive le temps.

Une approche simple est la séparationate les objets dans un bucket public et privéate seau. Créate un seul compartiment public avec une stratégie de compartiment pour accorder l'accès à tous les objets qui y sont stockés.

{
  "Effect": "Allow",
  "Principal": "*",
  "Action": "s3:GetObject",
  "Resource": "arn:aws:s3:::YOURPUBLICBUCKET/*"
}

Ensuite, créezate un autre bucket pour stocker les informations privéesate objets. Par défaut, tous les accès au bucket seront bloqués pour l'accès public. Vous pouvez ensuite utiliser les stratégies IAM pour accorder l'accès à ces objets à des utilisateurs spécifiques ou à l'accès à des applications.

Chiffrement des données au repos et en transit

Pour protéger les données pendant le repos et le transit, activez frcryption. Vous pouvez configurer cela dans AWS pour chiffrer les objets côté serveur avant de les stocker dans S3.

Ceci peut être réalisé à l'aide de clés S3 par défaut gérées par AWS ou de votre création de clés.ated dans le service de gestion des clés. Pour appliquer les données frcryption pendant le transit en utilisant le protocole HTTPS pour toutes les opérations du bucket, vous devez ajouter le code ci-dessous dans la stratégie du bucket.

{
  "Action": "s3:*",
  "Effect": "Deny",
  "Principal": "*",
  "Resource": "arn:aws:s3:::YOURBUCKETNAME/*",
  "Condition": {
    "Bool": { "aws:SecureTransport": false }
  }
}

Utiliser CloudTrail

CloudTrail est un service AWS qui enregistre et maintient la trace des événements se déroulant dans les services AWS. Les deux types d'événements CloudTrail sont les événements de données et les événements de gestion. Les événements de données sont disabled par défaut et sont beaucoup plus granulaires.

Les événements de gestion font référence à la création, la suppression ou la mise à jour de compartiments S3. Et les événements Data font référence aux appels d'API effectués sur les objets tels que PutObject, GetObject ou GetObject.

Contrairement aux événements de gestion, les événements de données coûteront 0.10 USD pour 100,000 XNUMX événements.

Vous créezate un sentier spécifique à enregistrer et monitor votre compartiment S3 dans une région ou un globe donnéally. Ces pistes stockeront les journaux dans le compartiment S3.

CloudWatch et alertes

Avoir Cloud Trail la configuration est idéale pour monitoring, mais si vous avez besoin de contrôler les alertes et self-guérison, puis utilisez CloudWatch. AWS CloudWatch offres immédiatesate journalisation des événements.

Vous pouvez également configurer CloudTrail dans un groupe de journaux CloudWatch pour créerate flux de journaux. Avoir un événement CloudTrail dans CloudWatch ajoute des fonctionnalités puissantes. Vous pouvez configurer les filtres de métriques pour activer l'alarme CloudWatch pour les activités suspectes.

Configurer la politique de cycle de vie

La mise en place d'une politique de cycle de vie sécurise vos données et vous permet d'économiser de l'argent. En configurant la politique de cycle de vie, vous déplacez les données indésirables pour les rendre privées.ate et de later supprime-le. Cela garantit que les données indésirables ne sont plus accessibles aux pirates informatiques et permet d'économiser de l'argent en libérant de l'espace. Activez la stratégie de cycle de vie pour déplacer les données du stockage standard vers AWS Glacier afin d'économiser de l'argent.

Later les données stockées dans le Glacier peuvent être supprimées si elles n'ajoutent plus de valeur à vous ou à votre organisation.

Accès public au bloc S3

AWS a pris des mesures pour automatiserate la fonctionnalité pour bloquer l'accès public à un bucket, prevGénéralement, une combinaison de CloudWatch, CloudTrail et Lambda a été utilisée.

Il y a des cas où les développeurs auront un accidentally rendre les objets ou le seau au public. Pour éviter tout accès accidentel à la publication du bucket ou des objets, ces fonctionnalités sont utiles.

La nouvelle fonctionnalité de paramètre de blocage de l'accès public sera prevempêcher quiconque de rendre le seau public. Vous pouvez activer ce paramètre dans la console AWS, comme indiqué dans la vidéo ci-dessus. Vous pouvez également appliquer ce paramètre au niveau du compte, comme expliqué dans la vidéo ci-dessous.

Écoutez AWS Trusted Advisor

Conseiller de confiance AWS est une fonctionnalité intégrée utilisée pour analyser les ressources AWS de votre compte et recommande les meilleures pratiques.

Ils proposent des recommandations en 5categories; l'une des caractéristiques cruciales est la sécurité. Depuis février 2018, AWS vous alerte lorsque les compartiments S3 sont rendus accessibles au public.

Thirdoutils de sécurité AWS tiers

A part Amazon, il y a quelques third partie qui fournit des outils de sécurité pour sécuriser vos données. Ils peuvent vous faire gagner énormément de temps tout en assurant la sécurité des données. Certains des outils populaires sont mentionnés ci-dessous :

Singe de sécurité

Il s'agit d'un outil développé par Netflix pour monitor la politique AWS change et alerte si elle détecte des configurations non sécurisées. Singe de sécurité effectue quelques audits sur S3 pour s'assurer que les meilleures pratiques sont en place. Il soutient également le Google Cloud Platform.

Dépositaire Cloud

Dépositaire Cloud vous aide à gérer les ressources dans un cloud aligné sur les meilleures pratiques. En termes simples, une fois que vous avez identifié les meilleures pratiques, vous pouvez utiliser cet outil pour analyser les ressources dans le cloud afin de vous assurer qu'elles sont respectées.

S'ils ne sont pas satisfaits, vous pouvez utiliser de nombreuses options pour envoyer des alertes ou appliquer les stratégies manquantes.

Cartographe de nuages

Créateur de sécurité Duoated le Cartographe de nuages, qui est un excellent outil de visualisation et d'audit dans le cloud. Il comporte une fonctionnalité similaire de Security Monkey pour effectuer l'analyse des compartiments S3 pour toute mauvaise configuration. Il offre une excellente représentation visuelle de votre infrastructure AWS pour améliorer l'identification d'autres problèmes.

Et il offre d'excellents rapports.

Conclusion

Étant donné que la plupart des travaux sont effectués à l'aide de données, leur sécurisation devrait être l'une des principales responsabilités.

On ne peut jamais savoir quand et comment violation de données qui va se passer. D'où aprevune action active est toujours recommandée. Mieux vaut prévenir que guérir. La sécurisation des données vous fera économiser des milliers de dollars.

Si vous êtes nouveau dans le cloud et que vous souhaitez apprendre AWS, consultez ceci Cours Udemy.

Partager sur:
  • Anand Yadav
    Auteur
    Anand a de l'expérience dans diverses technologies telles que Linux, Python, Cloud Computing, AWS, Linux, SEO et blogging. Il explore constamment les nouvelles technologies et les apprend à partir de zéro.
Publié dans

Merci à nos commanditaires

Plus de bonnes lectures sur le Cloud Computing

Alimentez votre entreprise

Certains des outils et services pour aider votre entreprise grow.
  • Murf AI

    L'outil de synthèse vocale qui utilise l'IA pour générerate des voix humaines réalistes.

    Essayez Murf AI
  • Données lumineuses

    Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.

    Essayez Brightdata
  • Monday.com

    Monday.com est un système d'exploitation de travail tout-en-un pour vous aider à gérer les projets, les tâches, le travail, les ventes, le CRM, les opérations, workflowset plus encore.

    Essayez Monday
  • Intruder

    Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.

    Essayez Intruder