Cyberattacchi alimentati dall'intelligenza artificiale: Come individuare, prevenire e difendersi dalle minacce intelligenti

Leggi ora
Per le traduzioni dei siti utilizziamo l'intelligenza artificiale e, sebbene ci sforziamo di essere accurati, non sempre le traduzioni sono precise al 100%. La vostra comprensione è apprezzata.

Best practice per la configurazione di AWS S3: Abilitare la crittografia Server-Side

da OPSWAT
Condividi questo post

Abbiamo già scritto in precedenza di come l'uso di liste di controllo possa evitare errori di configurazione, una pratica utile per la protezione dei dati. La crittografia è una delle pratiche fondamentali per la protezione dei dati, perché li rende illeggibili in caso di smarrimento, furto o accesso improprio. Pertanto, uno dei principali errori di configurazione di AWS S3 è quello di non abilitare la crittografia lato server, poiché trascurarla può lasciare esposte informazioni riservate in chiaro.

La crittografia dei dati protegge i dati a riposo (i dati archiviati su S3) e i dati in transito (i dati che viaggiano da/verso S3). I dati in transito possono essere protetti da SSL/TLS, mentre i dati a riposo possono essere protetti dalla crittografia lato server o lato client.

La crittografia lato client richiede che il cliente gestisca il processo di crittografia, gli strumenti e le chiavi, il che può essere piuttosto dispendioso in termini di tempo e denaro per gli amministratori IT e spesso troppo complesso. Di conseguenza, la maggior parte delle organizzazioni preferisce la crittografia lato server, poiché Amazon gestisce i processi di crittografia dei dati prima dell'archiviazione e di decrittografia quando vi accede un utente autorizzato e autenticato.

Amazon offre tre modi per implementare la crittografia lato server:

  • Amazon S3-Managed Keys (SSE-S3) - Amazon cripta ogni oggetto con una chiave unica a 256 bit Advanced Encryption Standard (AES-256), quindi la cripta con una chiave principale a rotazione frequente. L'SSE-S3 non comporta costi aggiuntivi, il che la rende un'offerta interessante. Le organizzazioni che si preoccupano della sicurezza dei dati dovrebbero adottare questa offerta entry-level.
  • Chiavi KMS memorizzate in AWS Key Management Service (SSE-KMS) - KMS è l'offerta premium di Amazon, che aggiunge un sistema di gestione delle chiavi a un costo aggiuntivo. Questa soluzione è più interessante per le organizzazioni mature che devono impostare le autorizzazioni di accesso o fornire un audit trail per la conformità.
  • Chiavi fornite dal cliente (SSE-C) - Simile alla crittografia lato client, le chiavi fornite dal cliente richiedono che il cliente gestisca le chiavi di crittografia, ma Amazon si occupa comunque della crittografia dei dati. Questo tipo di approccio può essere più interessante per le organizzazioni attente alla sicurezza che vogliono evitare di puntare tutto su un unico paniere, ma introdurrà gli stessi problemi di gestione della crittografia lato client.

Tutti i clienti di Amazon che utilizzano SSE-C devono avere una solida conoscenza della crittografia applicata, altrimenti potrebbero mettere a rischio i dati della loro organizzazione. Se si connettono tramite HTTP, Amazon rifiuterà la richiesta e la loro chiave potrebbe essere esposta. Ancora peggio, se il cliente perde la propria chiave di crittografia, non può accedere ai dati. Di conseguenza, SSE-S3 o SSE-KMS possono essere un approccio più gestibile per la maggior parte delle organizzazioni.

Le organizzazioni che utilizzano SSE-S3 possono utilizzare un criterio del bucket per crittografare tutti gli oggetti in un bucket oppure possono utilizzare i comandi REST API per crittografare oggetti specifici. Le opzioni sono troppo numerose per essere spiegate tutte, quindi le organizzazioni dovrebbero consultare la documentazione di Amazon SSE-S3. Allo stesso modo, SSE-KMS offre funzionalità di crittografia simili, oltre a flessibilità e controllo avanzati (e costi), per cui si consiglia alle aziende di consultare la documentazione di Amazon SSE-KMS. Amazon fornisce anche consigli su come mantenere bassi i costi di SSE-KMS con le chiavi a secchiello.

Evitare gli errori di configurazione più comuni con OPSWAT

Quando si tratta di errori di configurazione comuni, come l'abilitazione della crittografia lato server, le organizzazioni dovrebbero utilizzare liste di controllo per garantire l'implementazione delle best practice. L'automazione di questo processo con la tecnologia può aiutare a evitare errori manuali costosi e dispendiosi in termini di tempo.

MetaDefender Storage Security migliora la sua soluzione di sicurezza per il cloud storage con una checklist di sicurezza integrata, in modo che i professionisti della cybersecurity possano assicurarsi che il cloud storage della loro organizzazione non sia configurato in modo errato durante il provisioning, che include le fasi di sviluppo e produzione del cloud storage.

L'abilitazione della crittografia lato server è una voce importante della checklist di MetaDefender Storage Security , ma non è l'unica. Nei prossimi blog esploreremo altri importanti errori di configurazione per la protezione dei dati a riposo.

Contattate un esperto di cybersecurity di OPSWAT per saperne di più.

Leggete i blog precedenti di questa serie:

Rimanete aggiornati con OPSWAT!

Iscriviti oggi stesso per ricevere gli ultimi aggiornamenti sull'azienda, storie, informazioni sugli eventi e altro ancora.