• Assurez la sécurité des applications de la bonne manière! Détectez, protégez, surveillez, accélérez et plus encore…
  • Comme tous les services cloud, vous devez prendre la responsabilité de sécuriser le stockage cloud.

    Dans cet article, nous discuterons des meilleurs conseils pour sécuriser le stockage AWS S3.

    Avant de voir les conseils pour sécuriser le stockage AWS S3, nous devons savoir pourquoi c'est crucial. En 2017, il avait exposé des données critiques telles que médias sociaux privés comptes et données classifiées du Pentagone.

    Depuis lors, chaque organisation accorde une attention particulière à la sécurisation de ses données stockées dans AWS S3.

    Cela signifie-t-il que S3 est une solution de stockage non sécurisée d'Amazon Web Services? Pas du tout, S3 est un Solution de stockage, mais cela dépend de la manière dont l'utilisateur souhaite sécuriser ses données.

    Modèle de responsabilité partagée AWS

    La plupart des solutions proposées par le nuage public fournir un modèle de responsabilité partagée. Cela signifie que la responsabilité de la sécurité de la plate-forme cloud est prise en charge par AWS et que les clients cloud sont responsables de la sécurité dans le cloud.

    Ce modèle partagé permet d'atténuer les violations de données. Le diagramme ci-dessous montre le général responsabilité de l'AWS et la responsabilité du client de sécuriser les données.

    Stockage sécurisé AWS S3

    Étudiez le diagramme ci-dessus pour vous familiariser avec les responsabilités que vous devez assumer. Des mesures préventives pour sécuriser le stockage S3 sont essentielles, mais chaque menace ne peut être évitée. AWS propose plusieurs moyens de vous aider à surveiller de manière proactive et à éviter les risques liés aux violations de données.

    Examinons les meilleures pratiques suivantes pour sécuriser le stockage AWS S3.

    Créer un bucket privé et public

    Lorsque vous créez un nouveau compartiment, la stratégie de compartiment par défaut est privée. Il en va de même pour les nouveaux objets téléchargés. Vous devrez accorder manuellement l'accès à l'entité à laquelle vous souhaitez accéder aux données.

    En utilisant la combinaison de stratégies de compartiment, les stratégies ACL et IAM donnent le bon accès aux bonnes entités. Mais cela deviendra complexe et difficile si vous conservez à la fois les objets privés et publics dans le même compartiment. En mélangeant à la fois les objets publics et privés dans le même seau, vous obtiendrez une analyse minutieuse des ACL, ce qui entraînera une perte de temps de production.

    Une approche simple consiste à séparer les objets en un compartiment public et un compartiment privé. Créez un compartiment public unique avec une stratégie de compartiment pour accorder l'accès à tous les objets qui y sont stockés.

    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::YOURPUBLICBUCKET/*"
    }

    Ensuite, créez un autre compartiment pour stocker les objets privés. Par défaut, tous les accès au bucket seront bloqués pour l'accès public. Vous pouvez ensuite utiliser les stratégies IAM pour accorder l'accès à ces objets à des utilisateurs ou à des applications spécifiques.

    Chiffrement des données au repos et en transit

    Pour protéger les données pendant le repos et le transit, activez le cryptage. Vous pouvez configurer cela dans AWS pour chiffrer les objets sur le serveur avant de les stocker dans S3.

    Cela peut être réalisé à l'aide de clés S3 gérées par AWS par défaut ou de vos clés créées dans le service de gestion de clés. Pour appliquer le chiffrement des données pendant le transit à l'aide du protocole HTTPS pour toutes les opérations de compartiment, vous devez ajouter le code ci-dessous dans la stratégie de compartiment.

    {
      "Action": "s3:*",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "arn:aws:s3:::YOURBUCKETNAME/*",
      "Condition": {
        "Bool": { "aws:SecureTransport": false }
      }
    }

    Utiliser CloudTrail

    CloudTrail est un service AWS qui enregistre et maintient la trace des événements se déroulant dans les services AWS. Les deux types d'événements CloudTrail sont les événements de données et les événements de gestion. Les événements de données sont désactivés par défaut et sont beaucoup plus granulaires.

    Les événements de gestion font référence à la création, la suppression ou la mise à jour de compartiments S3. Et les événements Data font référence aux appels d'API effectués sur les objets tels que PutObject, GetObject ou GetObject.

    Contrairement aux événements de gestion, les événements de données coûteront 0.10 USD pour 100,000 XNUMX événements.

    Vous créez une trace spécifique pour consigner et surveiller votre compartiment S3 dans une région donnée ou globalement. Ces pistes stockeront les journaux dans le compartiment S3.

    CloudWatch et alertes

    Avoir CloudTrail La configuration est idéale pour la surveillance, mais si vous avez besoin de contrôler les alertes et l'auto-réparation, utilisez CloudWatch. AWS CloudWatch offre une journalisation immédiate des événements.

    En outre, vous pouvez configurer CloudTrail dans un groupe de journaux CloudWatch pour créer des flux de journaux. Avoir un événement CloudTrail dans CloudWatch ajoute des fonctionnalités puissantes. Vous pouvez configurer les filtres de métrique pour activer l'alarme CloudWatch pour les activités suspectes.

    Politique de cycle de vie d'installation

    La mise en place d'une politique de cycle de vie sécurise vos données et vous fait économiser de l'argent. En configurant la stratégie de cycle de vie, vous déplacez les données indésirables pour les rendre privées et vous les supprimez ultérieurement. Cela garantit que les données indésirables ne sont plus accessibles par les pirates et économiser de l'argent en libérant de l'espace. Activez la politique de cycle de vie pour déplacer les données du stockage standard vers AWS Glacier pour économiser de l'argent.

    Plus tard, les données stockées dans le Glacier peuvent être supprimées si cela n'ajoute plus de valeur pour vous ou votre organisation.

    S3 Bloquer l'accès public

    AWS a pris des mesures pour automatiser la fonctionnalité de blocage de l'accès public d'un bucket, auparavant une combinaison de CloudWatch, CloudTrail et Lambda était utilisée.

    Il existe des cas où les développeurs rendront accidentellement les objets ou le seau au public. Pour éviter l'accès accidentel pour rendre le seau ou les objets publics, ces fonctionnalités sont utiles.

    La nouvelle fonctionnalité de paramètre de blocage de l'accès public empêchera quiconque de rendre le compartiment public. Vous pouvez activer ce paramètre dans la console AWS, comme indiqué dans la vidéo ci-dessus. Vous pouvez également appliquer ce paramètre au niveau du compte, comme expliqué dans la vidéo ci-dessous.

    Écoutez AWS Trusted Advisor

    Conseiller de confiance AWS est une fonctionnalité intégrée utilisée pour analyser les ressources AWS de votre compte et recommande les meilleures pratiques.

    Ils proposent des recommandations dans 5 catégories; l'une des caractéristiques cruciales est la sécurité. Depuis février 2018, AWS vous alerte lorsque les compartiments S3 sont rendus accessibles au public.

    Outils de sécurité AWS tiers

    Outre Amazon, il existe des tiers qui fournissent des outils de sécurité pour sécuriser vos données. Ils peuvent vous faire gagner un temps considérable et protéger les données en même temps. Certains des outils populaires sont mentionnés ci-dessous:

    Singe de sécurité

    Il s'agit d'un outil développé par Netflix pour surveiller les changements de politique AWS et les alertes s'il détecte des configurations non sécurisées. Singe de sécurité effectue quelques audits sur S3 pour s'assurer que les meilleures pratiques sont en place. Il prend également en charge la plate-forme Google Cloud.

    Dépositaire Cloud

    Dépositaire Cloud vous aide à gérer les ressources dans un cloud aligné sur les meilleures pratiques. En termes simples, une fois que vous avez identifié les meilleures pratiques, vous pouvez utiliser cet outil pour analyser les ressources dans le cloud afin de vous assurer qu'elles sont respectées.

    S'ils ne sont pas satisfaits, vous pouvez utiliser de nombreuses options pour envoyer des alertes ou appliquer les stratégies manquantes.

    Cloud Mapper

    Duo Security a créé le Cloud Mapper, qui est un excellent outil de visualisation et d'audit dans le cloud. Il comporte une fonctionnalité similaire de Security Monkey pour effectuer l'analyse des compartiments S3 pour toute mauvaise configuration. Il offre une excellente représentation visuelle de votre infrastructure AWS pour améliorer l'identification d'autres problèmes.

    Et il offre d'excellents rapports.

    Conclusion

    Étant donné que la plupart des travaux sont effectués à l'aide de données, leur sécurisation devrait être l'une des principales responsabilités.

    On ne peut jamais savoir quand et comment violation de données qui va se passer. Par conséquent, une action préventive est toujours recommandée. Mieux vaut prévenir que guérir. La sécurisation des données vous fera économiser des milliers de dollars.

    Si vous êtes nouveau dans le cloud et que vous souhaitez apprendre AWS, consultez ceci Cours Udemy.