|
Chez AWS, la sécurité est la priorité absolue. À partir d’aujourd’hui, Service de stockage easy d’Amazon (Amazon S3) chiffre tous les nouveaux objets par défaut. Désormais, S3 applique automatiquement le chiffrement côté serveur (SSE-S3) pour chaque nouvel objet, sauf si vous spécifiez une choice de chiffrement différente. SSE-S3 a été lancé pour la première fois en 2011. Comme Jeff l’a écrit à l’époque: « Le chiffrement côté serveur d’Amazon S3 gère l’ensemble du chiffrement, du déchiffrement et de la gestion des clés de manière totalement transparente. Lorsque vous mettez un objet, nous générons une clé distinctive, chiffrons vos données avec la clé, puis chiffrons la clé avec une clé (racine).
Ce changement met en œuvre automatiquement une autre meilleure pratique de sécurité, sans influence sur les performances et sans motion requise de votre half. Les compartiments S3 qui n’utilisent pas le chiffrement par défaut appliqueront désormais automatiquement SSE-S3 comme paramètre par défaut. Les compartiments existants utilisant actuellement le chiffrement par défaut S3 ne changeront pas.
Comme toujours, vous pouvez choisir de chiffrer vos objets à l’aide de l’une des trois choices de chiffrement que nous proposons : le chiffrement par défaut S3 (SSE-S3, le nouveau par défaut), clés de chiffrement fournies par le consumer (SSE-C)ou Clés AWS Key Administration Service (SSE-KMS). Pour disposer d’une couche de chiffrement supplémentaire, vous pouvez également chiffrer des objets côté consumer, à l’aide de bibliothèques consumer telles que Shopper de chiffrement Amazon S3.
Bien qu’il soit easy à activer, la nature opt-in de SSE-S3 signifiait que vous deviez être sure qu’il était toujours configuré sur de nouveaux compartiments et vérifier qu’il restait correctement configuré au fil du temps. Pour les organisations qui exigent que tous leurs objets restent chiffrés au repos avec SSE-S3, cette mise à jour permet de répondre à leurs exigences de conformité de chiffrement sans aucun outil supplémentaire ni modification de la configuration consumer.
Avec l’annonce d’aujourd’hui, nous vous proposons désormais d’appliquer ce niveau de chiffrement de base sur chaque compartiment S3.
Vérifiez que vos objets sont chiffrés
Le changement est seen aujourd’hui dans AWS CloudTrail journaux d’événements de données. Vous verrez les changements dans la part S3 du Console de gestion AWS, Inventaire Amazon S3, Lentille de stockage Amazon S3et comme en-tête supplémentaire dans le CLI AWS et dans le SDK AWSs au cours des prochaines semaines. Nous mettrons à jour ce billet de weblog et la documentation lorsque le statut de chiffrement sera disponible dans ces outils dans toutes les régions AWS.
Pour vérifier que la modification est efficient sur vos buckets aujourd’hui, vous pouvez configurer CloudTrail pour consigner les événements de données. Par défaut, les suivis n’enregistrent pas les événements de données, et il y a un coût supplémentaire pour l’activer. Les événements de données affichent les opérations de ressource effectuées sur ou dans une ressource, par exemple lorsqu’un utilisateur télécharge un fichier dans un compartiment S3. Vous pouvez consigner les événements de données pour les compartiments Amazon S3, les fonctions AWS Lambda, les tables Amazon DynamoDB ou une combinaison de ceux-ci.
Une fois activé, recherchez PutObject API pour les téléchargements de fichiers ou InitiateMultipartUpload pour les téléchargements en plusieurs events. Lorsqu’Amazon S3 chiffre automatiquement un objet à l’aide des paramètres de chiffrement par défaut, le journal inclut le champ suivant comme paire nom-valeur : "SSEApplied":"Default_SSE_S3". Voici un exemple de journal CloudTrail (avec la journalisation des événements de données activée) lorsque j’ai chargé un fichier dans l’un de mes compartiments à l’aide de la commande AWS CLI aws s3 cp backup.sh s3://private-sst.
Choices de chiffrement Amazon S3
Comme je l’ai écrit précédemment, SSE-S3 est désormais le nouveau niveau de chiffrement de base lorsqu’aucun autre kind de chiffrement n’est spécifié. SSE-S3 utilise le chiffrement AES (Superior Encryption Customary) avec des clés de 256 bits gérées par AWS.
Vous pouvez choisir de chiffrer vos objets à l’aide de ESS-C ou SSE-KMS plutôt qu’avec SSE-S3soit en tant que paramètres de chiffrement par défaut « en un clic » sur le compartiment, soit pour des objets individuels dans les requêtes PUT.
ESS-C permet à Amazon S3 d’effectuer le chiffrement et le déchiffrement de vos objets tout en gardant le contrôle des clés utilisées pour chiffrer les objets. Avec SSE-C, vous n’avez pas besoin d’implémenter ou d’utiliser une bibliothèque côté consumer pour effectuer le chiffrement et le déchiffrement des objets que vous stockez dans Amazon S3, mais vous devez gérer les clés que vous envoyez à Amazon S3 pour chiffrer et décrypter des objets.
Avec SSE-KMS, Service de gestion des clés AWS (AWS KMS) gère vos clés de chiffrement. Utilisation d’AWS KMS pour gérer vos clés offre plusieurs avantages supplémentaires. Avec AWS KMSil existe des autorisations distinctes pour l’utilisation de KMS clé, fournissant une couche supplémentaire de contrôle ainsi qu’une safety contre l’accès non autorisé à vos objets stockés dans Amazon S3. AWS KMS fournit une piste d’audit afin que vous puissiez voir qui a utilisé votre clé pour accéder à quel objet et quand, ainsi que voir les tentatives infructueuses d’accès aux données des utilisateurs sans autorisation pour déchiffrer les données.
Lors de l’utilisation d’une bibliothèque cliente de chiffrement, telle que le consumer de chiffrement Amazon S3, vous gardez le contrôle des clés et effectuez le chiffrement et le déchiffrement des objets côté consumer à l’aide d’une bibliothèque de chiffrement de votre choix. Vous chiffrez les objets avant qu’ils ne soient envoyés à Amazon S3 pour stockage. Les kits SDK AWS Java, .Internet, Ruby, PHP, Go et C++ prennent en cost le chiffrement côté consumer.
Vous pouvez suivre les directions de cet article de weblog si vous souhaitez chiffrer rétroactivement des objets existants dans vos buckets.
Disponible dès maintenant
Ce changement est effectif maintenant, en toutes les régions AWSy compris sur AWS GovCloud (États-Unis) et AWS Chine Régions. Il n’y a pas de coût supplémentaire pour le chiffrement au niveau de l’objet par défaut.
