為你的亞馬遜S3 bucket加個(gè)安全蓋

責(zé)任編輯:editor007

作者:張培穎翻譯

2015-11-20 20:54:09

摘自:TechTarget中國(guó)

我們的企業(yè)在亞馬遜S3上存儲(chǔ)了不同類(lèi)型的數(shù)據(jù),包括視頻和圖表。如果你希望確保從S3下載下來(lái)的數(shù)據(jù)是加密的,拒絕訪問(wèn)任何不適SSL加密的連接。他們可以在其他的亞馬遜S3 bucket中存儲(chǔ)日志文件,并且用不同的訪問(wèn)控制授權(quán)來(lái)最小化干預(yù)。

我們的企業(yè)在亞馬遜S3上存儲(chǔ)了不同類(lèi)型的數(shù)據(jù),包括視頻和圖表。有哪些選擇可以確保亞馬遜S3 bucket的安全,并且加密我們的數(shù)據(jù)?

為你的亞馬遜S3 bucket加個(gè)安全蓋

亞馬遜S3 bucket和對(duì)象可以通過(guò)互聯(lián)網(wǎng)訪問(wèn)。AWS安全控制用來(lái)保護(hù)其他的資源,比如安全群組和網(wǎng)絡(luò)訪問(wèn)控制列表,但不保護(hù)S3中的數(shù)據(jù)。但是也有一些方法可以保護(hù)S3中的數(shù)據(jù)的機(jī)密性、完整性和可用性。

默認(rèn)方式下,創(chuàng)建于亞馬遜簡(jiǎn)單存儲(chǔ)服務(wù)(S3)的對(duì)象只能夠?yàn)閯?chuàng)建它們的人訪問(wèn)。所有者可以授權(quán)其他人以粗粒度和細(xì)粒度的方式訪問(wèn)。比如一位所有者可以讓數(shù)據(jù)集公開(kāi)使用,每一個(gè)人都可以用這個(gè)對(duì)象的URL來(lái)訪問(wèn)。

或者所有者可以使用S3策略和身份及訪問(wèn)管理用戶(hù)和群組,允許有限的用戶(hù)集訪問(wèn)。S3策略也可以基于網(wǎng)絡(luò)連接屬性限制運(yùn)行。如果你只希望企業(yè)網(wǎng)絡(luò)的用戶(hù)訪問(wèn)S3中的對(duì)象,指定所有的連接都從一個(gè)可信任的IP地址范圍發(fā)出。其他地址嘗試訪問(wèn)則會(huì)被拒絕。

如果你希望確保從S3下載下來(lái)的數(shù)據(jù)是加密的,拒絕訪問(wèn)任何不適SSL加密的連接。

還有一些方法可以用來(lái)在S3中實(shí)現(xiàn)加密。如果你使用AWS Key Management Service,就可以使用服務(wù)器端加密,允許亞馬遜Web服務(wù)(AWS)管理加密密鑰。為了管理你自己的密鑰,你需要使用服務(wù)器端加密密鑰,并且在企業(yè)內(nèi)部保存。第三種選擇是在將數(shù)據(jù)發(fā)送到AWS之前加密數(shù)據(jù)。在這種場(chǎng)景中,你要管理加密流程的所有方面。

對(duì)于在S3中保護(hù)數(shù)據(jù)而言,審計(jì)是一個(gè)重要的安全流程。存儲(chǔ)管理員可以配置亞馬遜S3 bucket來(lái)記錄所有的請(qǐng)求特定bucket的細(xì)節(jié)。他們可以在其他的亞馬遜S3 bucket中存儲(chǔ)日志文件,并且用不同的訪問(wèn)控制授權(quán)來(lái)最小化干預(yù)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)