it-swarm-id.com

Apa yang dilindungi enkripsi sisi server S3 Amazon?

Layanan penyimpanan S3 Amazon menawarkan enkripsi objek di sisi server, dikelola secara otomatis untuk pengguna ( Dokumentasi Amazon ). Mudah untuk diaktifkan, jadi saya berpikir "mengapa tidak?", Tetapi keamanan seperti apa yang sebenarnya disediakan?

Saya kira itu mencegah seseorang dari berkeliaran ke pusat data AWS dan meraih hard drive, tapi itu tampaknya sangat tidak mungkin, dan mungkin siapa pun dengan akses seperti itu juga bisa mendapatkan kunci AES, di mana pun mereka disimpan.

Tampaknya tidak melindungi data begitu keluar dari drive, karena pada saat itu itu didekripsi, dan siapa pun yang memiliki kredensial Anda atau dapat mencegat lalu lintas akan melihat data dengan jelas. Jadi apa intinya, benarkah? Hanya untuk mengatakan data "dienkripsi"?

70
Hank

Jawaban singkatnya adalah ini: Kami tidak tahu, mungkin tidak.

Itu mungkin melindungi dari cadangan yang dicuri. Tapi itu mengasumsikan Amazon bahkan membuat cadangan. Tampaknya sangat tidak mungkin. Jika mereka melakukannya, mengapa mereka tidak bisa memulihkan data dari kehilangan data S3 terakhir mereka? Jauh lebih murah dan lebih efisien hanya dengan menggunakan banyak salinan langsung.

Juga, Amazon akan membutuhkan kunci pada setiap akses. Jadi sepertinya sangat tidak mungkin bahwa mereka menyimpan kunci di tempat lain selain kira-kira tempat yang sama mereka menyimpan data. Jadi, jika Anda membayangkan pencurian perangkat data langsung, kemungkinan besar mereka akan mendapatkan kunci juga.

Tetapi kita tidak tahu bagaimana Amazon menyimpan, menggandakan, dan/atau mencadangkan data. Kami juga tidak tahu di mana mereka menyimpan kunci atau bagaimana mereka mendistribusikannya. Namun, saya belum mendengar argumen yang masuk akal bahwa ada ancaman realistis yang mereka lindungi. Teori "cadangan yang dicuri" tampaknya didasarkan pada premis yang salah bahwa Amazon menggunakan cadangan ketika semua bukti menunjukkan bahwa mereka menggunakan banyak, salinan langsung dengan kunci yang cukup dekat.

Enkripsi Dropbox, bagaimanapun, melindungi terhadap satu model ancaman nyata, meskipun sangat tidak mungkin. Dropbox menyimpan kunci mereka sendiri dan mengirimkannya kepada Anda, sehingga itu melindungi Anda dari karyawan Amazon yang nakal. Sebagai gantinya, Anda rentan terhadap karyawan Dropbox yang nakal atau bug keamanan Dropbox.

Pendapat saya sendiri adalah bahwa Amazon menambahkan fitur ini supaya mereka dapat mengatakan bahwa data dapat disimpan terenkripsi. Beberapa orang tanpa sadar akan membandingkan kotak centang pada daftar fitur dan Amazon menginginkan kotak centang pada baris "aman/terenkripsi". Either way, tautan terlemah kemungkinan besar jaringan internal Amazon dan keamanan manusia dan validitas implementasi kode yang memutuskan apakah akan mengizinkan akses atau tidak.

43
David Schwartz

Saya kira itu mencegah seseorang dari berkeliaran ke pusat data AWS dan meraih hard drive, tapi itu tampaknya sangat tidak mungkin, dan mungkin siapa pun dengan akses seperti itu juga bisa mendapatkan kunci AES, di mana pun mereka disimpan.

Komentar Gilles efektif menjawab pertanyaan Anda, sungguh, tapi saya akan menjawab sendiri lebih lama karena saya Nice. Enkripsi disk melindungi Anda terhadap kehilangan data saat disk dicuri dan kuncinya tidak dicuri. Contoh seperti itu mungkin, seperti yang dikatakan Gilles, dicuri cadangan, tetapi juga bisa di laptop saat bepergian, atau membuang hard disk untuk mencegah upaya yang berarti dalam menyelamatkan data dari disk Anda yang dinonaktifkan.

Enkripsi disk tidak banyak membantu Anda ketika Anda meletakkan kunci dan disk bersama-sama, karena keamanan bergantung pada kunci dan jika kunci dapat dicegat, data dapat didekripsi. Kunci dan disk selalu berada dalam jarak dekat karena keharusan ketika OS aktif dan menggunakan disk (setiap pembacaan membutuhkan kunci itu) sehingga siapa pun yang dekat dengannya yang dapat mencegat kunci dengan wajar harus dapat membaca data. Tentu saja, Anda harus dapat memulihkan kunci untuk mempengaruhi segala jenis serangan, sehingga sedikit lebih sulit daripada hanya menyalin hard disk (tetapi tidak banyak). Jadi pada dasarnya, ya, Anda benar.

Namun, itu masih merupakan ide yang baik untuk melindungi disk Anda untuk meminimalkan potensi kehilangan data melalui hal-hal seperti pencurian dan pembuangan disk. Anda tidak tahu apa atau bagaimana Amazon lakukan untuk menghancurkan disk-disk itu, jadi jika Anda memiliki informasi berharga tentang jenis apa pun, meminta mereka dienkripsi adalah ide bagus.

Jadi apa intinya, benarkah? Hanya untuk mengatakan data "dienkripsi"?

Itu sebenarnya faktor yang mungkin. Seperti yang saya katakan ada manfaat nyata dari mengenkripsi data tidak cukup seperti yang Anda harapkan, tetapi masih ada. Yang mengatakan, saya memiliki persyaratan pelanggan bahwa data dienkripsi di server pada skenario yang sama dengan titik pemasaran (kami mengenkripsi data Anda). Saya pikir ada tantangan pendidikan di sana untuk petugas keamanan.

10
user2213

Beberapa hal yang perlu diingat:

  • Amazon digunakan oleh sejumlah besar perusahaan
  • Banyak data berharga di sana: data keuangan, kekayaan intelektual, dll
  • Penjahat menyukai target seperti ini, yang dapat mengembalikan nilai tunai tinggi
  • Kelompok kejahatan tidak menolak untuk menempatkan individu dalam pusat data, atau memaksa karyawan untuk melakukan tugas jahat

Jangan mengabaikan masalah data Anda bocor, sengaja atau tidak, oleh pihak ketiga, bahkan yang sebesar Amazon.

6
Rory Alsop

Ketika Anda menggunakan S3 SSE siapa pun dengan kredensial IAM yang tepat dapat membaca dan/atau menulis objek S3 Anda, sama seperti jika Anda tidak menggunakan SSE. Pada pandangan pertama sepertinya itu adalah satu-satunya manfaat tambahan yang ditambahkan. adalah bahwa data dilindungi dari situasi di mana seseorang mendapatkan akses ke S3 secara offline, seperti drive disk atau cadangan (yang saya ragu AWS buat, jauh lebih mungkin bahwa mereka hanya mengandalkan replikasi). Namun, saya pikir Anda perlu untuk membandingkannya dengan alternatif untuk mendapatkan manfaat nyata:

Ada dua komponen yang diperlukan untuk enkripsi sisi klien dengan S3: kunci enkripsi dan kredensial IAM untuk otentikasi dan otorisasi. Saat menggunakan enkripsi sisi server, Anda hanya perlu kredensial IAM.

Saat menggunakan enkripsi sisi klien Anda perlu mendistribusikan kunci enkripsi ke semua mesin yang telah membaca dan/atau menulis akses ke data yang dienkripsi pada S3. Dalam kedua kasus Anda juga perlu mendistribusikan kredensial IAM.

Jika mesin Anda dikompromikan, kunci enkripsi Anda dikompromikan. Anda dapat membatalkan kredensial IAM segera setelah Anda mengetahui pembobolan, dan jika Anda menggunakan peran IAM atau kredensial IAM sementara, penyerang hanya memiliki akses ke data Anda selama mereka memiliki kendali atas mesin (yang cukup buruk, tetapi mungkin bukan akhir dunia, Anda juga perlu memikirkan apa yang terjadi selanjutnya). Dengan enkripsi sisi klien, penyerang akan memiliki kunci enkripsi Anda, dan semua data yang dienkripsi dengan kunci enkripsi yang dikompromikan perlu dienkripsi ulang. Dengan enkripsi sisi server Anda tidak perlu memasukkan ulang data Anda, karena Anda maupun penyerang tidak akan memiliki kunci enkripsi.

Bahkan jika Anda tidak memiliki celah dalam ada situasi di mana kunci enkripsi Anda dapat dikompromikan, jika laptop hilang atau dicuri, jika seseorang yang tidak tahu lebih baik mengirimkannya kepada seseorang, atau jika seseorang berhenti dan Anda tidak dapat sepenuhnya yakin bahwa mereka tidak membawa barang. Pada titik ini kunci enkripsi Anda dikompromikan dan Anda mungkin harus mengenkripsi ulang semua data Anda. Itu bisa banyak pekerjaan. Dengan enkripsi sisi server yang harus Anda lakukan adalah membatalkan kredensial IAM dan mengeluarkan yang baru.

Mungkin ada cara untuk mengurangi masalah dengan enkripsi sisi klien yang telah saya sebutkan di atas, tetapi bagi saya rasanya menggunakan SSE dengan S3 memiliki lebih sedikit kerugian daripada mengelola sendiri.

Terakhir, ada masalah seberapa amannya membiarkan AWS mengelola kunci enkripsi Anda:

Menurut AWS sistem yang mengelola kunci enkripsi terpisah dari S3, dengan maksud bahwa jika seseorang membobol S3 dari luar, mereka tidak akan mendapatkan data Anda karena mereka tidak akan memiliki kunci enkripsi. Jika mereka membobol sistem manajemen kunci saja (yang mungkin tidak dapat langsung diakses dari luar), mereka tidak akan memiliki data Anda karena mereka tidak memiliki akses ke sana di S3. Mereka perlu masuk ke keduanya S3 dan sistem manajemen kunci untuk mendapatkan data Anda.

Jika mereka malah membobol pusat data fisik mereka mungkin mendapatkan akses ke sistem manajemen kunci dan S3 pada saat yang sama, tetapi pertanyaannya adalah apakah ini membuat semuanya lebih mudah atau tidak. Saya pikir pertama-tama kita perlu mempercayai AWS untuk memiliki langkah-langkah keamanan yang tepat untuk menghentikan orang memasuki pusat data mereka, dan kedua bahwa untuk benar-benar mendapatkan kunci dari sistem manajemen kunci Anda harus melakukan sesuatu lebih dari sekadar cukup tarik beberapa disk drive. Sejauh yang saya lihat AWS tidak mempublikasikan dengan tepat bagaimana sistem manajemen kunci dilindungi, lebih dari mengatakan bahwa itu dilindungi dengan berbagai lapisan keamanan. Ini spekulasi, tetapi enkripsi disk mungkin salah satunya.

5
Theo

Seperti banyak dari Anda yang disebutkan, ini memang memberi Anda tingkat keamanan tambahan (ingat lapisan?) Jika disk hilang atau diakses entah bagaimana. Tetapi saya merasa luar biasa bahwa belum ada yang menyebutkan sertifikasi kepatuhan keamanan.

Aku tahu. Beberapa dari Anda membaca ini mungkin sudah berpikir "Sertifikasi adalah omong kosong". Yah ... mereka bisa. Tetapi ketika dilakukan dengan benar, mereka dapat memastikan beberapa fitur penting dan mereka adalah masalah besar di dunia usaha. Terutama untuk penyedia IaaS di mana karyawan mereka harus memiliki tingkat akses yang rendah ke semua data dan kode Anda untuk menyediakan layanan.

Jadi ancamannya di sini bukanlah AWS yang memiliki akses ke data (yang mereka miliki) tetapi karyawan AWS tertentu yang memiliki akses ke data.

Saya tidak tahu semua program yang terdaftar di sini pasti. Tapi saya cukup yakin beberapa dari mereka memerlukan pemisahan tugas . Ini berarti bahwa AWS harus meyakinkan auditor eksternal bahwa mereka menerapkan pemisahan tugas dengan benar ketika fitur keamanan memerlukannya. Dalam kasus khusus ini, ini berarti bahwa orang-orang AWS yang memiliki akses ke data yang dienkripsi tidak pernah memiliki akses ke kunci enkripsi, dan orang-orang yang dapat memiliki akses ke kunci enkripsi, tidak pernah memiliki akses ke data .

Jadi ya, Anda sudah harus mempercayai AWS dengan kunci dan data, tetapi sertifikasi ini seharusnya meyakinkan Anda bahwa mereka mengontrol siapa (di dalam perusahaan) yang memiliki akses ke apa. Tingkat kepercayaan ekstra yang juga merupakan bagian besar dari keamanan.

Di sisi lain, pelanggan AWS yang ingin disertifikasi juga akan memerlukan ini juga untuk kepatuhan pada enkripsi data saat istirahat . Ini hanya dapat valid jika mereka juga memberikan jaminan bahwa kunci disimpan dan dikelola dengan benar. Dengan fitur ini dan sertifikasi AWS, mereka dapat mendelegasikannya ke AWS.

2
rui

Anda juga dapat dilindungi terhadap seseorang yang membobol cakram S3 - katakan (penuh humor) bahwa disk tempat data S3 disimpan juga merupakan boot drive untuk jendela kerja XP, dan seseorang membobol mesin XP (tidak secara fisik - melalui peretasan). Mereka kemudian memiliki semua file di mesin, tetapi file Anda dienkripsi dengan kunci yang disimpan di kotak lain, jadi semua pencuri dapatkan adalah sampah digital.

Mungkin kemungkinan seseorang membobol array S3 kecil, tapi saya berpihak pada poster lain dan bertaruh bahwa kunci ada di balik dinding lain. Mereka juga kemungkinan menggunakan kunci berbeda untuk setiap akun.

Jadi sementara itu bukan satu ton keamanan, itu ada di sana. Dropbox memiliki satu peta de-duplikasi raksasa untuk tokonya, jadi saya tidak melihat bagaimana mereka bisa mengenkripsi dengan kunci berbeda untuk setiap akun.

1
Tom Andersen

Karena jawaban lain sebagian besar menyiratkan fitur ini hampir tidak berguna, Anda perlu melihat gambaran yang lebih besar dari praktik terbaik dan peraturan keamanan informasi untuk memahami mengapa itu ada.

Interpretasi terkini dari undang-undang privasi A.S. (mis. HIPAA, PCI) mengharuskan semua data pelanggan dienkripsi saat istirahat. Jika menurut Anda data yang disimpan di Amazon harus dibebaskan dari persyaratan ini, coba jelaskan alasan Anda kepada Penasihat Hukum perusahaan Anda. Semoga beruntung dengan itu. Aturannya satu ukuran untuk semua dan berlaku sama untuk hard drive di laptop seperti untuk array disk di pusat data "aman".

Sementara pencurian karyawan Amazon mungkin menjadi perhatian bagi sebagian orang, titik penjualan utama fitur ini adalah melindungi perusahaan dari ketidakpatuhan terhadap praktik terbaik dan peraturan yang mungkin mengharuskan data yang diam-diam dienkripsi.

1
Alex R