Come configurare la crittografia predefinita sul bucket S3

Come configurare la crittografia predefinita sul bucket S3
I secchi S3 vengono utilizzati per archiviare i dati sotto forma di oggetti in AWS. Questo è un servizio di archiviazione cloud con capacità di archiviazione teoricamente illimitata e completamente gestito dallo stesso AWS, quindi possiamo chiamarlo un'offerta senza server. Pertanto, per garantire la privacy e la sicurezza dei dati dell'utente, AWS fornisce la funzione per crittografare i dati utilizzando metodi diversi. Anche se qualcuno ha successo nel rompere il sistema di alta sicurezza del cloud di Amazon, non può ancora ottenere i dati reali. Per impostazione predefinita, la crittografia non è abilitata per i secchi S3, ma un utente può facilmente abilitarli e anche scegliere il metodo di crittografia. AWS assicura che la crittografia abbia un effetto minimo sulla latenza dei secchi S3.

Nella crittografia, i dati vengono tradotti in qualche altra forma illeggibile usando tecniche matematiche e algoritmi. La metodologia di crittografia è archiviata nei file noti come chiavi che possono essere gestiti dal sistema stesso o l'utente può gestirli manualmente da solo. AWS ci fornisce quattro diversi metodi di crittografia per i nostri secchi S3.

Metodi di crittografia S3

Esistono due principali metodi di crittografia che possono essere ulteriormente classificati come segue.

Crittografia lato server

La crittografia lato server significa che il server stesso gestisce il processo di crittografia e hai cose minori da gestire. Per i secchi S3, abbiamo bisogno di tre tipi di metodi di crittografia lato server in base a come saranno gestiti le chiavi di crittografia. Per la crittografia predefinita, dobbiamo applicare uno di questi metodi.

  • Crittografia lato server con chiavi gestite S3 (SSE-S3)
    Questo è il tipo più semplice di crittografia per S3. Qui le chiavi sono gestite da S3 e, per ulteriore sicurezza, queste chiavi sono esse stesse mantenute nella forma crittografata.
  • Crittografia lato server con le chiavi gestite KMS AWS (SSE-KMS)
    Qui le chiavi di crittografia sono fornite e gestite da AWS Key Management Service. Ciò fornisce una sicurezza leggermente migliore e alcuni altri progressi rispetto a SSE-S3.
  • Crittografia lato server con chiavi fornite dal cliente (SSE-C)
    In questo metodo, AWS non ha alcun ruolo nella gestione delle chiavi, l'utente invia le chiavi per ciascun oggetto stesso e S3 completa il processo di crittografia. Qui il cliente è responsabile di tenere traccia delle sue chiavi di crittografia. Inoltre, i dati in volo dovrebbero anche essere garantiti utilizzando HTTPS poiché le chiavi vengono inviate con i dati.

Crittografia lato client

Come suggerisce il nome, la crittografia sul lato client significa che il client esegue la procedura di crittografia totale a livello locale. L'utente caricherà i dati crittografati nel bucket S3. Questa tecnica viene applicata principalmente quando si dispone di alcune rigide regole organizzative o altri requisiti legali. Come qui, AWS non ha alcun ruolo nel fare nulla. Non vedrai questa opzione nella sezione di crittografia predefinita di S3 e non possiamo abilitarla come metodo di crittografia predefinita per i secchi Amazon S3.

Configurare la crittografia predefinita su S3

In questo articolo, vedremo come abilitare la crittografia predefinita per i tuoi secchi S3 e considereremo due modi per farlo.

  • Utilizzo della console di gestione AWS
  • Utilizzo dell'interfaccia della riga di comando AWS (CLI)

Abilita la crittografia S3 utilizzando la console di gestione

Innanzitutto, dobbiamo accedere al tuo account AWS utilizzando l'utente root o qualsiasi altro utente che abbia accesso e autorizzazione per gestire i secchi S3. Vedrai una barra di ricerca nella parte superiore della console di gestione, semplicemente digita s3 lì e otterrai i risultati. Fai clic su S3 per iniziare a gestire i secchi utilizzando la console.

Fai clic su Crea un secchio per iniziare con la creazione di secchi S3 nel tuo account.

Nella sezione di creazione del secchio, è necessario fornire un nome di secchio. Il nome del bucket deve essere univoco nell'intero database AWS. Dopodiché, devi specificare la regione AWS in cui si desidera che il tuo secchio S3 venga posizionato.

Ora scorri verso il basso fino alla sezione di crittografia predefinita, abilita la crittografia e scegli il metodo desiderato. Per questo esempio, sceglieremo SSE-S3.

Fai clic sul secchio Crea nell'angolo in basso a destra per finire il processo di creazione del secchio. Ci sono anche alcune altre impostazioni da gestire, ma semplicemente lasciarle predefinite come non abbiamo nulla a che fare con loro per ora.

Quindi, infine, abbiamo creato il nostro secchio S3 con crittografia predefinita abilitata su di esso.

Cariciamo ora un file sul nostro secchio e controlliamo se è crittografato o no.

Una volta caricato l'oggetto, fai clic su di esso per aprire le proprietà e trascinarlo verso il basso in Impostazioni di crittografia, dove è possibile vedere che la crittografia è abilitata per questo oggetto.

Quindi, infine, abbiamo visto come configurare la crittografia del secchio S3 nel nostro account AWS.

Abilita la crittografia S3 utilizzando l'interfaccia della riga di comando AWS (CLI)

AWS ci fornisce anche la possibilità di gestire i nostri servizi e risorse utilizzando l'interfaccia della riga di comando. La maggior parte dei professionisti preferisce utilizzare l'interfaccia della riga di comando poiché la console di gestione ha alcune limitazioni e l'ambiente continua a cambiare mentre la CLI rimane così com'è. Una volta che avrai una presa ferma sulla CLI, la troverai più abile rispetto alla console di gestione. La CLI AWS può essere impostata su qualsiasi ambiente, Windows, Linux o Mac.

Quindi il nostro primo passo è creare i secchi nel nostro account AWS, per i quali dobbiamo semplicemente usare il seguente comando.

$: AWS S3API Crea-Bucket--Bucket-Region

Possiamo anche visualizzare i secchi S3 disponibili nel tuo account utilizzando il comando seguente.

$: AWS S3API List-Bucket

Ora il nostro secchio è creato e dobbiamo eseguire il seguente comando per abilitare la crittografia predefinita su di esso. Ciò abiliterà la crittografia lato server utilizzando le chiavi gestite S3. Il comando non ha output.

$: AWS S3API PUT-BUCKET-ERCRYPTION--BUCKET-Server-lato-crittografia-configurazione '"Regole": ["ApplicaServerSidecryptionbyDefault": "ssealgorithm": "aes256"]'

Se vogliamo verificare se la crittografia predefinita è abilitata per il nostro bucket, usa semplicemente il seguente comando e otterrai il risultato in CLI.

$: AWS S3API Get-Bucket-Cryption-Bucket

Ciò significa che abbiamo abilitato correttamente la crittografia S3 e, questa volta, utilizzando l'interfaccia della riga di comando AWS (CLI).

Conclusione

La crittografia dei dati è molto importante in quanto ciò può garantire i dati importanti e privati ​​sul cloud in caso di violazione del sistema. Quindi la crittografia fornisce un altro livello di sicurezza. In AWS, la crittografia può essere totalmente gestita dalla stessa S3 o l'utente può fornire e gestire lui stesso le chiavi di crittografia. Con la crittografia predefinita abilitata, non è necessario abilitare manualmente la crittografia ogni volta quando si carica l'oggetto in S3. Invece, tutti gli oggetti verranno crittografati nel modo predefinito se non diversamente specificato.