Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

Elérhető a szerveroldali titkosítás az Amazon S3-ban

Gálffy Csaba, 2011. október 06. 11:11
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Szerveroldali titkosítással látja el felhős tárolórendszerét az Amazon - jelentette be a vállalat. A szolgáltatás azok számára jelent könnyebbséget, akik valamilyen külső feltétel (például törvényes körülmények) miatt nem tárolhatják titkosítatlanul adataikat, így mostantól nem szükséges kliensoldalon elvégezi a titkosítást.

hirdetés

Az Amazon teljeskörű titkosítási megoldást kínál, így a titkosítás, visszafejtés és a kulcskezelés (generálás és tárolás) is a rendszer része. A biztonság érdekében a kulcskezeléssel foglalkozó kiszolgálók fizikailag különálló rendszerek, a vállalat szerint ez magasabb biztonságot jelent. Az Amazon közleménye szerint a titkosításhoz az AES-256 algoritmust választották, a teljes folyamat pedig folyamatos és rendszeres auditon esik át a jövőben - így ellenőrzik a titkosítás és visszafejtés folyamatát, valamint a kulcskezelési módszereket is. Az auditra szükség is lesz, a legtöbb, titkosítást igénylő szolgáltatás ugyanis valamilyen szabályozás kapcsán kéri azt, a minőségi standardoknak történő megfelelésnek pedig része az ellenőrzési folyamat.

Az Amazon ígérete szerint a titkosítás teljesen transzparens módon zajlik, az alkalmazásoknak csupán arra kell figyelniük, hogy az új adat létrehozása során kérjék a titkosítás bekapcsolását. Az adatokhoz való hozzáférés ugyanúgy történik majd, mint eddig, a jogosultság ellenőrzése után az alkalmazások ugyanúgy érik el a tárolókat.

Az alkalmazások mostantól kérhetik az újonnan létrehozott objektumok titkosított formában történő tárolását, de a funkció elérhető a már létező objektumokról létrehozott másolatok esetén is. Ez ugyanakkor azt is jelenti, hogy a meglévő adatok közvetlenül nem titkosíthatóak, csupán az abból létrehozott újabb másolatok.

A PUT paranccsal a tárolónak küldött adat HTTP fejlécében kell kérni a titkosítás bekapcsolását. Ilyenkor a rendszer generál egy egyedi kulcsot, ezzel titkosítja az adatot és tárolja. A kulcsot az Amazon saját mesterkulcsával titkosítja és így tárolja a kulcskezelő rendszeren. A GET parancs küldésekor a rendszer automatikusan visszafejti a kulcsot, majd azzal visszafejti az adatot. A folyamat végén visszaküldött adat fejlécében pedig a rendszer visszaigazolja, hogy az adatot valóban titkosítottan tárolta.

A szerveroldali titkosítás csak a tárolókon nyugvó adatot védi, így a szerverek között, illetve a kliens és a szerver között továbbra is titkosítatlanul halad az információ. A megközelítés másik kockázata, hogy a kulcskezelő kiszolgálók ideiglenes kiesése alatt elérhetetlenné válnak az adatok, a kulcsok elvesztése pedig az adatok elvesztését is jelenti. További problémát jelent, hogy az alkalmazás-szintű hozzáférést a titkosítás nem befolyásolja, így amennyiben valaki megszerzi az általunk használt AWS Identity and Access Management kulcsot, hozzáfér az összes tárolt adathoz, függetlenül attól, hogy azok titkosítva, vagy simán tárolódnak.

A szerveroldali titkosítás ingyenesen igénybe vehető mind a Standard, mind a Reduced Reduncancy Storage szolgáltatás esetén.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!