it-swarm-vi.com

Mã hóa phía máy chủ S3 của Amazon bảo vệ chống lại điều gì?

Dịch vụ lưu trữ S3 của Amazon cung cấp mã hóa đối tượng phía máy chủ, được quản lý tự động cho người dùng ( Tài liệu của Amazon ). Thật dễ dàng để kích hoạt vì vậy tôi đang nghĩ "tại sao không?", Nhưng loại bảo mật này thực sự cung cấp loại bảo mật nào?

Tôi đoán nó ngăn không cho ai đó đi lang thang vào trung tâm dữ liệu AWS và lấy ổ cứng, nhưng điều đó dường như rất khó xảy ra, và có lẽ bất kỳ ai có quyền truy cập như vậy cũng có thể nhận được các khóa AES, bất cứ nơi nào họ được lưu trữ.

Dường như nó không bảo vệ dữ liệu khi nó tắt ổ đĩa, vì tại thời điểm đó, nó đã được giải mã và bất kỳ ai có thông tin đăng nhập của bạn hoặc có thể chặn lưu lượng sẽ thấy rõ dữ liệu. Vì vậy, những gì thực sự? Chỉ cần nói rằng dữ liệu là "mã hóa"?

70
Hank

Câu trả lời ngắn gọn là đây: Chúng tôi không có ý tưởng, có lẽ không có.

có thể bảo vệ chống lại các bản sao lưu bị đánh cắp. Nhưng điều đó giả định Amazon thậm chí còn thực hiện sao lưu. Điều đó dường như rất không có khả năng. Nếu họ đã làm, tại sao họ không thể phục hồi dữ liệu từ mất dữ liệu S3 cuối cùng của họ? Nó rẻ hơn nhiều và hiệu quả hơn chỉ khi sử dụng nhiều bản sao trực tiếp.

Ngoài ra, Amazon sẽ cần các khóa trên mỗi lần truy cập. Vì vậy, có vẻ như rất khó để họ lưu trữ các khóa ở bất kỳ nơi nào khác ngoài khoảng cùng một nơi họ lưu trữ dữ liệu. Vì vậy, nếu bạn đang tưởng tượng một hành vi trộm cắp thiết bị dữ liệu trực tiếp, thì cũng có khả năng là họ cũng nhận được các khóa.

Nhưng chúng tôi không biết cách Amazon lưu trữ, sao chép và/hoặc sao lưu dữ liệu. Chúng tôi cũng không biết nơi họ lưu trữ chìa khóa hoặc cách họ phân phối chúng. Tuy nhiên, tôi chưa nghe thấy một lập luận hợp lý rằng có tồn tại một mối đe dọa thực tế mà họ bảo vệ chống lại. Lý thuyết "sao lưu bị đánh cắp" dường như dựa trên tiền đề sai lầm rằng Amazon sử dụng các bản sao lưu khi tất cả các bằng chứng cho thấy họ sử dụng nhiều bản sao trực tiếp với các khóa khá gần đó.

Tuy nhiên, mã hóa của Dropbox không bảo vệ chống lại một mô hình mối đe dọa thực sự, mặc dù rất không chắc chắn. Dropbox lưu trữ khóa riêng của họ và gửi chúng cho bạn, vì vậy nó bảo vệ bạn khỏi một nhân viên lừa đảo của Amazon. Đổi lại, bạn dễ bị nhân viên Dropbox lừa đảo hoặc lỗi bảo mật Dropbox.

Ý kiến ​​riêng của tôi là Amazon đã thêm tính năng này để họ có thể nói rằng dữ liệu có thể được lưu trữ được mã hóa. Một số người sẽ vô tư so sánh các hộp kiểm trong danh sách tính năng và Amazon muốn có hộp kiểm trên dòng "bảo mật/mã hóa". Dù bằng cách nào, liên kết yếu nhất rất có thể là mạng nội bộ và bảo mật con người của Amazon và tính hợp lệ của việc triển khai mã quyết định có cho phép truy cập hay không.

43
David Schwartz

Tôi đoán nó ngăn không cho ai đó đi lang thang vào trung tâm dữ liệu AWS và lấy ổ cứng, nhưng điều đó dường như rất khó xảy ra, và có lẽ bất kỳ ai có quyền truy cập như vậy cũng có thể nhận được các khóa AES, bất cứ nơi nào họ được lưu trữ.

Nhận xét của Gilles trả lời hiệu quả câu hỏi của bạn, thực sự, nhưng tôi sẽ đi với một câu trả lời dài hơn bởi vì tôi tốt. Mã hóa đĩa bảo vệ bạn khỏi mất dữ liệu khi đĩa bị đánh cắp và khóa không bị đánh cắp. Những ví dụ như vậy có thể là, như Gilles nói, sao lưu bị đánh cắp, nhưng cũng có thể là trong máy tính xách tay khi đang di chuyển hoặc xử lý các đĩa cứng để ngăn chặn những nỗ lực có ý nghĩa trong việc trục vớt dữ liệu từ các đĩa đã ngừng hoạt động của bạn.

Mã hóa ổ đĩa không giúp được gì nhiều cho bạn khi bạn đặt khóa và đĩa cùng nhau, vì bảo mật phụ thuộc vào khóa và nếu khóa có thể bị chặn, dữ liệu có thể được giải mã. Khóa và đĩa luôn ở gần nhau bởi sự cần thiết khi HĐH được bật và sử dụng đĩa (mỗi lần đọc đều yêu cầu khóa đó) để bất kỳ ai ở gần nó có thể chặn khóa một cách hợp lý đều có thể đọc được dữ liệu. Tất nhiên, bạn cần phải có khả năng khôi phục khóa để thực hiện bất kỳ loại tấn công nào, do đó khó hơn một chút so với việc sao chép đĩa cứng (nhưng không nhiều). Về cơ bản, vâng, bạn đúng.

Tuy nhiên, vẫn là một ý tưởng tốt để bảo vệ đĩa của bạn để giảm thiểu việc mất dữ liệu tiềm ẩn thông qua những việc như trộm cắp và xử lý đĩa. Bạn không biết Amazon làm gì hoặc làm thế nào để phá hủy các đĩa đó, vì vậy nếu bạn có thông tin có giá trị trên bất kỳ loại nào, việc mã hóa chúng là một ý tưởng tuyệt vời.

Vì vậy, những gì thực sự? Chỉ cần nói rằng dữ liệu là "mã hóa"?

Đó thực sự là một yếu tố có thể. Như tôi nói có những lợi ích hữu hình từ việc mã hóa dữ liệu không hoàn toàn là những gì bạn có thể mong đợi, nhưng vẫn tồn tại. Điều đó nói rằng, tôi đã có yêu cầu của khách hàng rằng dữ liệu được mã hóa trên máy chủ kết thúc trong một kịch bản tương tự như một điểm tiếp thị (chúng tôi mã hóa dữ liệu của bạn). Tôi nghĩ rằng có một thách thức giáo dục đối với những người bảo mật.

10
user2213

Một số điều cần nhớ:

  • Amazon được sử dụng bởi một số lượng lớn các công ty
  • Có rất nhiều dữ liệu có giá trị: dữ liệu tài chính, sở hữu trí tuệ, v.v.
  • Những tên tội phạm thích những mục tiêu như thế này, có thể trả lại giá trị tiền mặt cao
  • Các nhóm tội phạm không phản đối việc đặt các cá nhân trong trung tâm dữ liệu hoặc buộc nhân viên thực hiện các nhiệm vụ bất chính

Đừng bỏ qua vấn đề dữ liệu của bạn bị rò rỉ, cố tình hay nói cách khác, bởi các bên thứ ba, thậm chí cả những người lớn như Amazon.

6
Rory Alsop

Khi bạn sử dụng S3 SSE bất kỳ ai có thông tin IAM phù hợp đều có thể đọc và/hoặc viết các đối tượng S3 của bạn, giống như nếu bạn không sử dụng SSE. Thoạt nhìn, có vẻ như chỉ có lợi ích bổ sung là dữ liệu được bảo vệ khỏi các tình huống khi ai đó truy cập S3 theo cách ngoại tuyến, như ổ đĩa hoặc bản sao lưu (mà tôi nghi ngờ rằng AWS tạo ra, nhiều khả năng họ chỉ dựa vào sao chép). Tuy nhiên, tôi nghĩ bạn cần để so sánh nó với giải pháp thay thế để có được lợi ích thực sự:

Có hai thành phần cần thiết cho mã hóa phía máy khách với S3: khóa mã hóa và thông tin xác thực IAM để xác thực và ủy quyền. Khi sử dụng mã hóa phía máy chủ, bạn chỉ cần thông tin đăng nhập IAM.

Khi sử dụng mã hóa phía máy khách, bạn cần phân phối khóa mã hóa cho tất cả các máy đã đọc và/hoặc ghi quyền truy cập vào dữ liệu được mã hóa trên S3. Trong cả hai trường hợp, bạn cũng cần phân phối thông tin đăng nhập IAM.

Nếu máy của bạn bị xâm nhập, khóa mã hóa của bạn bị xâm phạm. Bạn có thể làm mất hiệu lực thông tin đăng nhập IAM ngay khi bạn biết về việc đột nhập và nếu bạn sử dụng vai trò IAM hoặc thông tin IAM tạm thời, kẻ tấn công chỉ có quyền truy cập vào dữ liệu của bạn miễn là chúng có quyền kiểm soát máy (nhưng đủ tệ, nhưng có thể không phải là ngày tận thế, bạn cũng cần nghĩ về những gì xảy ra tiếp theo). Với mã hóa phía máy khách, kẻ tấn công sẽ có khóa mã hóa của bạn và tất cả dữ liệu được mã hóa bằng khóa mã hóa bị xâm nhập cần phải được mã hóa lại. Với mã hóa phía máy chủ, bạn sẽ không phải mã hóa lại dữ liệu của mình, vì cả bạn và kẻ tấn công đều không có khóa mã hóa.

Ngay cả khi bạn không nghỉ ngơi, vẫn có trường hợp khóa mã hóa của bạn bị xâm phạm, nếu máy tính xách tay bị mất hoặc bị đánh cắp, nếu ai đó không biết gửi email tốt hơn cho ai đó hoặc nếu ai đó thoát khỏi bạn không thể hoàn toàn chắc chắn rằng họ đã không mang theo mọi thứ với họ. Tại thời điểm này, khóa mã hóa của bạn bị xâm phạm và có lẽ bạn nên mã hóa lại tất cả dữ liệu của mình. Đó có thể là rất nhiều công việc. Với mã hóa phía máy chủ, tất cả những gì bạn phải làm là làm mất hiệu lực thông tin đăng nhập IAM và cấp mới.

Có lẽ có nhiều cách để giảm thiểu các vấn đề với mã hóa phía máy khách mà tôi đã đề cập ở trên, nhưng với tôi cảm giác như sử dụng SSE với S3 có ít nhược điểm hơn là tự mình quản lý.

Cuối cùng, có vấn đề về mức độ an toàn khi để AWS quản lý các khóa mã hóa của bạn:

Theo AWS, hệ thống quản lý các khóa mã hóa tách biệt với S3, với ý định rằng nếu ai đó xâm nhập vào S3 từ bên ngoài, họ sẽ không nhận được dữ liệu của bạn vì họ sẽ không có khóa mã hóa. Nếu họ chỉ xâm nhập vào hệ thống quản lý khóa (dù sao có lẽ không thể truy cập trực tiếp từ bên ngoài), họ sẽ không có dữ liệu của bạn vì họ không có quyền truy cập vào S3. Họ cần phải đột nhập vào cả hai S3 và hệ thống quản lý khóa để truy cập dữ liệu của bạn.

Thay vào đó, nếu họ đột nhập vào trung tâm dữ liệu vật lý, họ có thể có quyền truy cập vào cả hệ thống quản lý khóa và S3 cùng một lúc, nhưng câu hỏi đặt ra là liệu điều này có làm mọi thứ dễ dàng hơn hay không. Tôi nghĩ rằng trước hết chúng ta cần tin tưởng AWS để có các biện pháp bảo mật thích hợp để ngăn chặn mọi người vào trung tâm dữ liệu của họ và thứ hai là để thực sự nắm giữ các khóa từ hệ thống quản lý khóa bạn cần phải làm gì đó hơn chỉ cần kéo một số ổ đĩa. Theo như tôi thấy AWS không công bố chính xác cách thức hệ thống quản lý khóa được bảo vệ, hơn là nói rằng nó được bảo vệ với nhiều lớp bảo mật. Đó là suy đoán, nhưng mã hóa đĩa có lẽ là một trong số này.

5
Theo

Giống như nhiều bạn đã đề cập, điều này thực sự mang đến cho bạn một mức độ bảo mật cao hơn (nhớ các lớp?) Nếu các đĩa bị mất hoặc truy cập bằng cách nào đó. Nhưng tôi thấy không thể tin được rằng chưa có ai đề cập đến các chứng nhận tuân thủ bảo mật.

Tôi biết. Một số bạn đọc cái này có thể đã nghĩ "Chứng chỉ thật nhảm nhí". Chà ... họ có thể. Nhưng khi được thực hiện đúng cách, họ có thể đảm bảo một số tính năng quan trọng và chúng là một vấn đề thực sự lớn trong thế giới doanh nghiệp. Đặc biệt là các nhà cung cấp của IaaS nơi nhân viên của họ cần có quyền truy cập thấp vào tất cả dữ liệu và mã của bạn để cung cấp dịch vụ.

Vì vậy, mối đe dọa ở đây không phải là AWS có quyền truy cập vào dữ liệu (họ có) mà là một nhân viên AWS cụ thể có quyền truy cập vào dữ liệu.

Tôi không biết tất cả các chương trình được liệt kê ở đây chắc chắn. Nhưng tôi khá chắc chắn rằng một số người trong số họ yêu cầu tách nhiệm vụ . Điều này có nghĩa là AWS phải thuyết phục một kiểm toán viên bên ngoài rằng họ thực hiện phân tách nhiệm vụ đúng cách khi các tính năng bảo mật yêu cầu. Trong trường hợp cụ thể này, điều đó có nghĩa là những kẻ AWS có quyền truy cập vào dữ liệu được mã hóa không bao giờ có quyền truy cập vào các khóa mã hóa và những kẻ có thể truy cập vào các khóa mã hóa, không bao giờ có quyền truy cập vào dữ liệu .

Vì vậy, có, bạn đã phải tin tưởng AWS với cả khóa và dữ liệu nhưng các chứng nhận này được cho là đảm bảo với bạn rằng họ kiểm soát ai (trong công ty) có quyền truy cập vào cái gì. Một mức độ tin cậy cao hơn cũng là một phần lớn của bảo mật.

Mặt khác, các khách hàng AWS muốn được chứng nhận cũng sẽ cần điều này để tuân thủ mã hóa dữ liệu khi nghỉ ngơi . Điều này chỉ có thể hợp lệ nếu họ cũng đảm bảo rằng các khóa được lưu trữ và quản lý đúng cách. Với tính năng này và các chứng nhận AWS, họ có thể ủy thác điều đó cho AWS.

2
rui

Bạn cũng có thể được bảo vệ chống lại ai đó xâm nhập vào các đĩa tại S3 - nói một cách hài hước rằng đĩa mà dữ liệu S3 được lưu trữ cũng là ổ đĩa khởi động cho hộp windows XP và ai đó đột nhập vào máy XP máy (không phải vật lý - thông qua hack). Sau đó, họ có tất cả các tệp trên máy, nhưng máy của bạn được mã hóa bằng các khóa được lưu trữ trên một số hộp khác, vì vậy tất cả kẻ trộm nhận được là rác kỹ thuật số.

Có lẽ khả năng ai đó đột nhập vào mảng S3 là nhỏ, nhưng tôi đứng về phía các áp phích khác và đặt cược rằng các phím nằm sau một bức tường khác. Ngoài ra họ có thể sử dụng các khóa khác nhau cho mỗi tài khoản.

Vì vậy, trong khi nó không phải là một tấn an ninh, nó ở đó. Dropbox có một bản đồ được sao chép khổng lồ cho cửa hàng của mình, vì vậy tôi không thấy cách họ có thể mã hóa bằng các khóa khác nhau cho mỗi tài khoản.

1
Tom Andersen

Vì các câu trả lời khác phần lớn ngụ ý tính năng này gần như vô dụng, bạn cần nhìn vào bức tranh lớn hơn về các quy tắc và thực tiễn bảo mật thông tin tốt nhất để hiểu tại sao nó tồn tại.

Các diễn giải hiện tại về luật riêng tư của Hoa Kỳ (ví dụ: HIPAA, PCI) yêu cầu tất cả dữ liệu của khách hàng phải được mã hóa khi nghỉ ngơi. Nếu bạn nghĩ rằng dữ liệu được lưu trữ tại Amazon nên được miễn yêu cầu này, hãy thử giải thích lý do của bạn với Luật sư pháp lý của công ty. Chúc may mắn với điều đó. Các quy tắc là một kích cỡ phù hợp với tất cả và áp dụng như nhau cho một ổ đĩa cứng trong máy tính xách tay như một mảng đĩa trong một trung tâm dữ liệu "an toàn".

Mặc dù hành vi trộm cắp nhân viên của Amazon có thể là mối lo ngại đối với một số người, điểm bán hàng chính của tính năng này là bảo vệ các công ty không tuân thủ các thông lệ và quy định tốt nhất hiện hành có thể yêu cầu dữ liệu được nghỉ ngơi được mã hóa.

1
Alex R