it-swarm.dev

Da cosa protegge la crittografia lato server S3 di Amazon?

Il servizio di archiviazione S3 di Amazon offre la crittografia sul lato server degli oggetti, gestita automaticamente per l'utente ( Documentazione di Amazon ). È facile da abilitare, quindi sto pensando "perché no?", Ma che tipo di sicurezza offre davvero?

Immagino che impedisca a qualcuno di vagare nel datacenter AWS e di afferrare un disco rigido, ma questo sembra molto improbabile, e presumibilmente chiunque abbia accesso in quel modo potrebbe anche ottenere le chiavi AES, ovunque siano archiviate.

Non sembra proteggere i dati una volta che sono fuori dalle unità, poiché a quel punto è decrittografato e chiunque abbia le tue credenziali o può intercettare il traffico vedrà i dati in chiaro. Quindi qual è il punto, davvero? Solo per dire che i dati sono "crittografati"?

70
Hank

La risposta breve è questa: non ne abbiamo idea, probabilmente nessuna.

potrebbe protegge dai backup rubati. Ma ciò presuppone che Amazon esegua anche backup. Sembra molto improbabile. Se lo facessero, perché non potevano recuperare i dati dall'ultima perdita di dati S3? È molto più economico ed efficiente solo per utilizzare più copie live.

Inoltre, Amazon avrebbe bisogno delle chiavi ad ogni accesso. Quindi sembra molto improbabile che memorizzino le chiavi in ​​luoghi diversi da quelli approssimativamente negli stessi luoghi in cui archiviano i dati. Quindi, se stai immaginando un furto di dispositivi di dati in tempo reale, è altrettanto probabile che ottengano anche le chiavi.

Ma non sappiamo come Amazon archivia, replica e/o esegue il backup dei dati. Né sappiamo dove conservano le chiavi o come le distribuiscono. Tuttavia, devo ancora ascoltare un'argomentazione plausibile sull'esistenza di una minaccia realistica da cui proteggono. La teoria dei "backup rubati" sembra essere basata sulla falsa premessa che Amazon utilizza i backup quando tutte le prove suggeriscono che usano copie multiple dal vivo con le chiavi abbastanza vicine.

La crittografia di Dropbox, tuttavia, protegge da un modello di minaccia reale, sebbene un molto improbabile. Dropbox memorizza le proprie chiavi e le invia a te, in modo da proteggerti da un dipendente Amazon disonesto. In cambio, sei vulnerabile a un dipendente Dropbox non autorizzato o a un bug di sicurezza di Dropbox.

La mia opinione è che Amazon abbia aggiunto questa funzione solo per poter dire che i dati potrebbero essere archiviati crittografati. Alcune persone confronteranno inconsapevolmente le caselle di controllo sugli elenchi delle funzionalità e Amazon voleva una casella di controllo sulla riga "sicura/crittografata". In ogni caso, il collegamento più debole è molto probabilmente la rete interna di Amazon e la sicurezza umana e la validità dell'attuazione del codice che decide se consentire gli accessi o meno.

43
David Schwartz

Immagino che impedisca a qualcuno di vagare nel datacenter AWS e di afferrare un disco rigido, ma questo sembra molto improbabile, e presumibilmente chiunque abbia accesso in quel modo potrebbe anche ottenere le chiavi AES, ovunque siano archiviate.

Il commento di Gilles risponde efficacemente alla tua domanda, davvero, ma io vado con una risposta più lunga me stesso perché sono carino. La crittografia del disco ti protegge dalla perdita di dati quando un disco viene rubato e la chiave non viene rubata con esso. Tali esempi potrebbero essere, come dice Gilles, furti di backup, ma potrebbero anche essere nei laptop in movimento o eliminati da dischi rigidi per impedire tentativi significativi di recupero dei dati dai dischi disattivati.

La crittografia del disco non aiuta molto quando si uniscono la chiave e il disco, perché la sicurezza si basa sulla chiave e se la chiave può essere intercettata, i dati possono essere decrittografati. La chiave e il disco sono sempre nelle immediate vicinanze per necessità quando il sistema operativo è acceso e utilizza il disco (ogni lettura richiede quella chiave), quindi chiunque vicino a esso che possa ragionevolmente intercettare la chiave dovrebbe essere in grado di leggere i dati. Certo, devi essere in grado di recuperare la chiave per effettuare qualsiasi tipo di attacco, quindi è leggermente più difficile della semplice copia di un disco rigido (ma non di molto). Quindi sostanzialmente, sì, hai ragione.

Tuttavia, è comunque una buona idea proteggere i dischi per ridurre al minimo la potenziale perdita di dati a causa di furto e smaltimento del disco. Non sai cosa o come fanno Amazon per distruggere quei dischi, quindi se hai informazioni preziose su di loro di qualsiasi tipo, averli crittografati è un'ottima idea.

Quindi qual è il punto, davvero? Solo per dire che i dati sono "crittografati"?

Questo è in realtà un possibile fattore. Come ho già detto, i vantaggi tangibili della crittografia dei dati non sono proprio quelli che ci si potrebbe aspettare, ma esistono ancora. Detto questo, ho richiesto ai clienti che i dati vengano crittografati sul lato server in uno scenario simile a quello di un punto di marketing (crittografiamo i tuoi dati). Penso che ci sia una sfida educativa per i responsabili della sicurezza.

10
user2213

Alcune cose da ricordare:

  • Amazon è utilizzato da un vasto numero di aziende
  • Molti dati preziosi lì dentro: dati finanziari, proprietà intellettuale ecc
  • Ai criminali piacciono obiettivi come questo, che possono restituire un elevato valore in denaro
  • I gruppi criminali non sono contrari a collocare individui all'interno di centri dati o costringere i dipendenti a svolgere compiti nefasti

Non trascurare il problema dei dati che vengono divulgati, deliberatamente o meno, da terze parti, anche grandi come Amazon.

6
Rory Alsop

Quando usi S3 SSE chiunque abbia le giuste credenziali IAM può leggere e/o scrivere i tuoi oggetti S3, proprio come se non stessi usando SSE. A prima vista sembra l'unico vantaggio aggiunto è che i dati sono protetti da situazioni in cui qualcuno accede a S3 in modo offline, come unità disco o backup (che dubito che AWS faccia, è molto più probabile che facciano affidamento solo sulla replica). Tuttavia, penso che tu abbia bisogno per confrontarlo con l'alternativa per ottenere i reali vantaggi:

Sono necessari due componenti per la crittografia lato client con S3: una chiave di crittografia e credenziali IAM per l'autenticazione e l'autorizzazione. Quando si utilizza la crittografia lato server sono necessarie solo le credenziali IAM.

Quando si utilizza la crittografia lato client, è necessario distribuire la chiave di crittografia a tutte le macchine che hanno accesso in lettura e/o scrittura ai dati crittografati su S3. In entrambi i casi è inoltre necessario distribuire le credenziali IAM.

Se le macchine sono compromesse, la chiave di crittografia è compromessa. È possibile invalidare le credenziali IAM non appena si conosce l'interruzione e se si utilizzano ruoli IAM o credenziali IAM temporanee, l'attaccante ha accesso ai dati solo a condizione che abbiano il controllo della macchina (che è abbastanza male, ma potrebbe non essere la fine del mondo, devi anche pensare a cosa succederà dopo). Con la crittografia lato client l'attaccante disporrà della chiave di crittografia e tutti i dati crittografati con la chiave di crittografia compromessa devono essere nuovamente crittografati. Con la crittografia lato server non dovrai ricodificare i tuoi dati, perché né tu né l'autore dell'attacco avrete la chiave di crittografia.

Anche se non hai una pausa, ci sono situazioni in cui la tua chiave di crittografia può essere compromessa, se un laptop viene smarrito o rubato, se qualcuno che non conosce meglio lo invia via e-mail a qualcuno, o se qualcuno esce e tu non posso essere del tutto sicuro di non aver portato cose con loro. A questo punto la tua chiave di crittografia è compromessa e probabilmente dovresti ricodificare tutti i tuoi dati. Questo può richiedere molto lavoro. Con la crittografia lato server non devi fare altro che invalidare le credenziali IAM ed emetterne di nuove.

Probabilmente ci sono modi per mitigare i problemi con la crittografia lato client che ho menzionato sopra, ma per me sembra che usare SSE con S3 abbia meno svantaggi che gestirlo da soli.

Infine, c'è il problema di quanto sia sicuro consentire ad AWS di gestire le tue chiavi di crittografia:

Secondo AWS il sistema che gestisce le chiavi di crittografia è separato da S3, con l'intenzione che se qualcuno si rompe in S3 dall'esterno non otterrà i tuoi dati perché non avranno le chiavi di crittografia. Se entrano nel solo sistema di gestione delle chiavi (che probabilmente non è comunque accessibile direttamente dall'esterno), non avranno i tuoi dati perché non possono accedervi su S3. Devono entrare in entrambi S3 e nel sistema di gestione delle chiavi per accedere ai tuoi dati.

Se invece entrano nel data center fisico potrebbero avere accesso sia al sistema di gestione delle chiavi sia a S3 allo stesso tempo, ma la domanda è se ciò semplifichi o meno le cose. Penso che prima di tutto dobbiamo fidarci di AWS per avere adeguate misure di sicurezza per impedire alle persone di accedere ai loro data center, e in secondo luogo che per ottenere effettivamente le chiavi dal sistema di gestione delle chiavi dovresti fare qualcosa di più di semplicemente strappare alcune unità disco. Per quanto ho visto, AWS non pubblica esattamente come è protetto il sistema di gestione delle chiavi, più che dire che è protetto con più livelli di sicurezza. È una speculazione, ma probabilmente la crittografia del disco è una di queste.

5
Theo

Come molti di voi hanno già detto, questo in effetti offre un ulteriore livello di sicurezza (ricordate i livelli?) Se i dischi perdono o accedono in qualche modo. Ma trovo incredibile che nessuno abbia ancora menzionato le certificazioni di conformità della sicurezza.

Lo so. Alcuni di voi che leggono questo potrebbero già pensare "Le certificazioni sono cazzate". Beh ... possono esserlo. Ma se fatti correttamente, possono assicurare alcune caratteristiche importanti e sono un grosso problema nel mondo delle imprese. Soprattutto ai fornitori di IaaS in cui i loro dipendenti devono avere un basso livello di accesso a tutti i tuoi dati e codice per fornire il servizio.

Quindi la minaccia qui non è AWS che ha accesso ai dati (hanno) ma un particolare dipendente AWS che ha accesso ai dati.

Non conosco tutti i programmi elencati qui di sicuro. Ma sono abbastanza sicuro che alcuni di essi richiedono separazione dei compiti . Ciò significherebbe che AWS doveva convincere un revisore esterno a implementare correttamente la separazione dei compiti quando le funzionalità di sicurezza lo richiedono. In questo caso particolare ciò significherebbe che i ragazzi AWS che hanno accesso ai dati crittografati non hanno mai accesso alle chiavi di crittografia, e i ragazzi che possono avere accesso alle chiavi di crittografia, non hanno mai accesso ai dati .

Quindi sì, devi già fidarti di AWS sia con le chiavi che con i dati, ma queste certificazioni dovrebbero assicurarti che controllano chi (all'interno dell'azienda) ha accesso a cosa. Un ulteriore livello di fiducia che è anche una parte importante della sicurezza.

D'altro canto, anche i clienti AWS che desiderano essere certificati avranno bisogno di questo per conformarsi alla crittografia dei dati a riposo . Ciò può essere valido solo se forniscono anche la certezza che le chiavi siano memorizzate e gestite correttamente. Con questa funzione e le certificazioni AWS, possono delegare ciò ad AWS.

2
rui

Puoi anche essere protetto contro qualcuno che si rompe nei dischi su S3 - diciamo (ironicamente) che il disco su cui sono stati archiviati i dati S3 è anche un'unità di avvio per un windows funzionante XP box, e qualcuno entra nella macchina XP (non fisicamente - attraverso un hack). Hanno quindi tutti i file sulla macchina, ma i tuoi sono crittografati con le chiavi archiviate in qualche altra scatola, quindi tutti i ladri get è spazzatura digitale.

Forse la probabilità che qualcuno si rompa in un array S3 è piccola, ma mi schierò con altri poster e scommetto che i tasti sono dietro un altro muro. Inoltre probabilmente usano chiavi diverse per ciascun account.

Quindi, sebbene non sia un sacco di sicurezza, è lì. Dropbox ha una gigantesca mappa de-duplicata per il suo negozio, quindi non vedo come possano crittografare con chiavi diverse per ciascun account.

1
Tom Andersen

Poiché altre risposte implicano in gran parte che la funzionalità è quasi inutile, è necessario esaminare il quadro generale delle migliori pratiche e normative sulla sicurezza delle informazioni per capire perché esiste.

Le interpretazioni attuali delle leggi sulla privacy degli Stati Uniti (ad es. HIPAA, PCI) richiedono che tutti i dati dei clienti siano crittografati a riposo. Se ritieni che i dati archiviati su Amazon debbano essere esenti da questo requisito, prova a spiegare il tuo ragionamento al tuo legale legale aziendale. Buona fortuna. Le regole sono uguali per tutti e si applicano sia a un disco rigido in un laptop che a un array di dischi in un data center "sicuro".

Anche se il furto di un dipendente Amazon potrebbe essere un problema per alcuni, il principale punto di forza della funzione è proteggere le aziende dalla non conformità con le migliori pratiche e normative applicabili che potrebbero richiedere la crittografia dei dati inattivi.

1
Alex R