Já escrevemos anteriormente sobre como a utilização de listas de verificação pode evitar erros de configuração, o que é uma prática útil para a proteção de dados. A encriptação é uma das práticas mais fundamentais na proteção de dados porque torna os dados ilegíveis se forem perdidos, roubados ou acedidos de forma inadequada. Por conseguinte, um dos principais erros de configuração do AWS S3 é não ativar a encriptação do lado do servidor, uma vez que negligenciá-la pode deixar informações confidenciais expostas em texto simples.
A encriptação de dados protege os dados em repouso (dados armazenados no S3) e os dados em trânsito (dados que viajam de/para o S3). Os dados em trânsito podem ser protegidos por SSL/TLS, enquanto os dados em repouso podem ser protegidos por encriptação do lado do servidor ou encriptação do lado do cliente.
A encriptação do lado do cliente requer que o cliente faça a gestão do processo de encriptação, das ferramentas e das chaves, o que pode ser bastante moroso e dispendioso para os administradores de IT e, frequentemente, demasiado complexo. Consequentemente, a maioria das organizações prefere a encriptação do lado do servidor, uma vez que a Amazon gere os processos de encriptação dos seus dados antes do armazenamento e a sua desencriptação quando acedidos por um utilizador autorizado e autenticado.
A Amazon oferece três formas de implementar a encriptação do lado do servidor:
- Chaves geridas pelo Amazon S3 (SSE-S3) - A Amazon encripta cada objeto com uma chave única AES-256 (Advanced Encryption Standard) de 256 bits e, em seguida, encripta essa chave com uma chave de raiz que roda frequentemente. Não existe qualquer custo adicional para o SSE-S3, o que o torna uma oferta atractiva. As organizações preocupadas com a segurança dos dados devem adotar esta oferta de nível básico.
- Chaves KMS armazenadas no AWS Key Management Service (SSE-KMS) - O KMS é a oferta premium da Amazon, que acrescenta um sistema de gestão de chaves por um custo adicional. Esta solução é mais atractiva para organizações maduras que necessitam de definir permissões de acesso ou de fornecer uma pista de auditoria para conformidade.
- Chaves fornecidas pelo cliente (SSE-C) - Semelhante à encriptação do lado do cliente, as chaves fornecidas pelo cliente requerem que o cliente faça a gestão das chaves de encriptação, mas a Amazon continua a tratar da encriptação dos dados. Este tipo de abordagem pode ser mais atrativo para as organizações preocupadas com a segurança que pretendem evitar colocar todos os ovos no mesmo cesto, mas introduzirá os mesmos problemas de gestão que a encriptação do lado do cliente.
Qualquer cliente da Amazon que utilize o SSE-C precisa de ter um forte conhecimento de criptografia aplicada ou pode colocar os dados da sua organização em risco. Se se ligarem utilizando HTTP, a Amazon rejeitará o pedido e a sua chave poderá ser exposta. Pior ainda, se o cliente perder a sua chave de encriptação, não poderá aceder aos dados. Como resultado, o SSE-S3 ou o SSE-KMS pode ser uma abordagem mais fácil de gerir para a maioria das organizações.
As organizações que usam o SSE-S3 podem usar uma política de bucket para criptografar todos os objetos em um bucket ou podem usar comandos REST API para criptografar objetos específicos. Há muitas opções para explicar todas elas, portanto, as organizações devem analisar a documentação do Amazon SSE-S3. Da mesma forma, o SSE-KMS oferece uma funcionalidade de encriptação semelhante, bem como flexibilidade e controlo avançados (e custos), pelo que as organizações são aconselhadas a analisar a documentação do Amazon SSE-KMS. A Amazon até fornece conselhos sobre como manter os custos do SSE-KMS baixos com chaves de balde.
Evite erros comuns de configuração com OPSWAT
Quando se trata de erros de configuração comuns, como a ativação da encriptação do lado do servidor, as organizações devem utilizar listas de verificação para garantir que estão a implementar as melhores práticas. Automatizar este processo com tecnologia pode ajudar a evitar erros manuais morosos e dispendiosos.
MetaDefender Storage Security melhora a sua solução de segurança de armazenamento na nuvem com uma lista de verificação de segurança integrada, para que os profissionais de cibersegurança possam garantir que o armazenamento na nuvem da sua organização não está mal configurado à medida que é aprovisionado, o que inclui as fases de desenvolvimento e produção do armazenamento na nuvem.
A ativação da criptografia do lado do servidor é um item importante da lista de verificação em MetaDefender Storage Security , mas não é o único. Em futuros blogues, iremos explorar outros erros de configuração importantes para proteger os dados em repouso.
Contacte um especialista em cibersegurança da OPSWAT para saber mais.
Leia os blogues anteriores desta série:
