我們的企業(yè)在亞馬遜S3上存儲(chǔ)了不同類型的數(shù)據(jù),包括視頻和圖表。有哪些選擇可以確保亞馬遜S3 bucket的安全,并且加密我們的數(shù)據(jù)?
亞馬遜S3 bucket和對(duì)象可以通過互聯(lián)網(wǎng)訪問。AWS安全控制用來保護(hù)其他的資源,比如安全群組和網(wǎng)絡(luò)訪問控制列表,但不保護(hù)S3中的數(shù)據(jù)。但是也有一些方法可以保護(hù)S3中的數(shù)據(jù)的機(jī)密性、完整性和可用性。
默認(rèn)方式下,創(chuàng)建于亞馬遜簡(jiǎn)單存儲(chǔ)服務(wù)(S3)的對(duì)象只能夠?yàn)閯?chuàng)建它們的人訪問。所有者可以授權(quán)其他人以粗粒度和細(xì)粒度的方式訪問。比如一位所有者可以讓數(shù)據(jù)集公開使用,每一個(gè)人都可以用這個(gè)對(duì)象的URL來訪問。
或者所有者可以使用S3策略和身份及訪問管理用戶和群組,允許有限的用戶集訪問。S3策略也可以基于網(wǎng)絡(luò)連接屬性限制運(yùn)行。如果你只希望企業(yè)網(wǎng)絡(luò)的用戶訪問S3中的對(duì)象,指定所有的連接都從一個(gè)可信任的IP地址范圍發(fā)出。其他地址嘗試訪問則會(huì)被拒絕。
如果你希望確保從S3下載下來的數(shù)據(jù)是加密的,拒絕訪問任何不適SSL加密的連接。
還有一些方法可以用來在S3中實(shí)現(xiàn)加密。如果你使用AWS Key Management Service,就可以使用服務(wù)器端加密,允許亞馬遜Web服務(wù)(AWS)管理加密密鑰。為了管理你自己的密鑰,你需要使用服務(wù)器端加密密鑰,并且在企業(yè)內(nèi)部保存。第三種選擇是在將數(shù)據(jù)發(fā)送到AWS之前加密數(shù)據(jù)。在這種場(chǎng)景中,你要管理加密流程的所有方面。
對(duì)于在S3中保護(hù)數(shù)據(jù)而言,審計(jì)是一個(gè)重要的安全流程。存儲(chǔ)管理員可以配置亞馬遜S3 bucket來記錄所有的請(qǐng)求特定bucket的細(xì)節(jié)。他們可以在其他的亞馬遜S3 bucket中存儲(chǔ)日志文件,并且用不同的訪問控制授權(quán)來最小化干預(yù)。