شراء حساب مؤسسة AWS: استخدم AWS KMS (خدمة إدارة المفاتيح) لتشفير برميل S3 ومحركات الأقراص الصلبة السحابية EBS بنقرة واحدة
في الحوسبة السحابية والبنيات على مستوى المؤسسات ، يعد "أمان البيانات" دائمًا خطًا أحمر لا يمكن تجاوزه. عندما وضعت العديد من الفرق أعمالها على AWS لأول مرة ، فإنها غالبًا ما تركز فقط على جدار حماية الشبكة (مجموعة الأمان ، ACL) بما يكفي للموت ، لكنها تتجاهل الخطوة الأخيرة في خط الدفاع-
تشفير البيانات الثابتة (Encryption at Rest)
.
فقط تخيل: إذا تجاوز المتسلل الشبكة الطرفية ، أو قام الموظف المستقيل بنسخ لقطة مباشرة من القرص الصلب السحابي الأساسي الخاص بك EBS من خلال وسائل معينة ، أو تم تسريب العقد السري في دلو تخزين S3 الخاص بك عن طريق الخطأ ، إذا تم تخزين البيانات بنص واضح ، ستواجه الشركة الكارثة مباشرة.
في البيئة الآمنة لـ AWS ، يتم استخدام مكون الروح المستخدم خصيصًا للسيطرة على جميع مفاتيح التشفير وتحقيق "تشفير البيانات عند الهبوط".
Amazon KMS(Key Management Service ، خدمة إدارة المفاتيح)
.
اليوم دعونا لا نتحدث عن صيغ التشفير الغامضة. بدءًا من القتال الفعلي ، يأخذك المقود إلى استخدام AWS KMS لإعطاء الشركة اثنين من أصول التخزين الأساسية-
S3 برميل التخزين
مع
القرص الصلب سحابة EBS
، خط دفاع غير قابل للتدمير "تشفير بنقرة واحدة" على اللحام.
المرحلة الأولى: ضرب القاع وفهم التكنولوجيا السوداء "تشفير الظرف" لـ KMS
قبل التكوين العملي ، يجب أن تفهم أولاً كيف تلعب الطبقة السفلية من AWS كلمة المرور ، وإلا ستصاب بالعمى عند تحديد المفتاح لاحقًا. يستخدم KMS Core
”تشفير المغلف (Envelope Encryption)“
الآلية:
مفتاح العميل الرئيسي (KMS Key / CMK): هذا هو "المفتاح الرئيسي" الخاص بك ، والذي يتم إنشاؤه بواسطة KMS داخل وحدة أمان الأجهزة المخصصة (HSM) والاحتفاظ به. لا يمكن لأي شخص (بما في ذلك أنت ومسؤول AWS) تنزيل نص المفتاح الرئيسي هذا محليًا.
مفتاح البيانات (مفتاح البيانات): عندما تريد تشفير ملف بسعة 10 جيجابايت ، لا يذهب المفتاح الرئيسي مباشرة إلى المعركة. يستخدم KMS المفتاح الرئيسي لاشتقاق "مفتاح البيانات" في الوقت الفعلي.
التخزين المعبأ: مفتاح البيانات مسؤول عن تشفير الملفات. بعد اكتمال التشفير ، سيتم تدمير النص العادي لمفاتيح البيانات على الفور ، وسيتم ترك نص مشفر واحد فقط لمفاتيح البيانات المشفرة بواسطة المفتاح الرئيسي ، وسيتم لصقها مع الملف المشفر.
استنتاج الأمان الأساسي: هذا يشبه قفل القلادة الثمينة في الخزنة (تشفير البيانات) ، ثم وضع مفتاح الخزنة في مظروف صغير ، ثم قفل المغلف بقفل أكثر تقدمًا (مفتاح رئيسي). بدون تفويض المفتاح الرئيسي ، يمكن لأي شخص يحصل على القرص الصلب الأساسي أو ملف S3 أن يرى رموز مشوهة غير منتظمة.
المرحلة الثانية: تمرين القتال الفعلي 1-مفتاح واحد لقفل دلو التخزين S3
غالبًا ما يتم استخدام دلاء التخزين S3 لتخزين صور الشركة أو بطاقات الهوية الحساسة التي يحملها المستخدمون أو البيانات المالية. في الماضي ، كان تشفير S3 بحاجة إلى تطوير كتابة منطق تشفير معقد في الكود ، والآن أصبحت AWS في القاع
حققت الطبقة "تشفير غير حساس بمفتاح واحد".
1. فهم الفرق بين المفاتيح
عند تكوين تشفير S3 ، ستجعلك وحدة التحكم تختار واحدًا:
مفتاح استضافة AWS (aws/s3): مجاني ، AWS يساعدك تلقائيًا في الأنبوب. العيب هو أنه لا يمكن التفويض عبر الحسابات ، ولا يمكنك التحكم في استراتيجية التناوب الخاصة بها.
مفتاح إدارة العملاء (SSE-KMS): معيار على مستوى المؤسسة. تم إنشاؤه بواسطة KMS ، ويدعم التحكم الدقيق في أذونات IAM ، ومراجعة سلوك CloudTrail المثالية.
2. S3 الهبوط والتشفير ثلاث خطوات
قم بتسجيل الدخول إلى وحدة التحكم AWS ، وادخل إلى خدمة KMS ، وانقر فوق "إنشاء مفتاح" ، وحدد "مفتاح متماثل" ، واسمه Company-S3-Key ، وقم بإنشاء الخطوة التالية على طول الطريق.
قم بالتبديل إلى وحدة التحكم S3 وانقر للدخول إلى الدلو حيث تقوم بتخزين البيانات الأساسية.
انقر على علامة التبويب "Properties" ، ثم ابحث عن "Default encryption" ، وانقر على تحرير: نوع التشفير: حدد "استخدام مفتاح خدمة إدارة AWS Key الافتراضي (SSE-KMS)". مفتاح KMS: حدد "اختر من مفتاح KMS الحالي" وحدد بدقة Company-S3-Key الذي تم بناؤه للتو. مفتاح البرميل (Bucket Key): اختر "تمكين". دليل توفير المال وتجنب حفرة الطاقة العالية: إذا كان S3 الخاص بك يقرأ ويقرأ ملايين المرات في اليوم ، فإن طرق باب KMS بشكل متكرر سيؤدي إلى رسوم طلب KMS كبيرة. بعد تشغيل "مفتاح البرميل" ، سيقوم S3 بتخزين المفتاح المؤقت مؤقتًا على مستوى البرميل لمساعدتك مباشرة في قطع أكثر من 90 ٪ من فاتورة حركة مرور KMS.
انقر على حفظ. من الآن فصاعدًا ، سيتم تشفير أي ملف يتم تحميله في هذا الدلو من خلال وحدة التحكم أو واجهة برمجة التطبيقات تلقائيًا في لحظة وضع الطلب. وعندما يقوم التطبيق الخلفي الذي لديه إذن بتنزيل الملف ، سيبحث S3 تلقائيًا عن KMS في الخلفية لفك التشفير.
رمز جانب التطبيق هو صفر تعديل ، غير حساس تماما
.
المرحلة الثالثة: التمرين القتالي الفعلي 2-التشفير العالمي للقرص الصلب السحابي EBS واللقطات
يحتوي القرص الصلب السحابي EBS (أي ما يعادل محرك الأقراص C و D للخادم) على خادم EC2 على نظام التشغيل الخاص بك وبيانات قاعدة البيانات وسجلات التطبيق.
1. السيناريو أ: تشفير بنقرة واحدة عند شراء خادم جديد
عند شراء تخزين تكوين مثيل EC2 ، قم بتوسيع الخيارات المتقدمة:
حدد "التشفير".
مفتاح اختيار مفتاح KMS المخصص الخاص بك. بهذه الطريقة ، منذ تاريخ ولادة هذا الخادم ، كان قرص النظام بأكمله مشفرًا فعليًا.
2. المشهد ب: كيف يتم تشفير القرص الصلب القديم العادي في منتصف الطريق ؟
لا تسمح AWS "بالتشفير في الموقع" لقرص صلب EBS موجود بالفعل. إذا كان لديك قرص بيانات عادي يعمل منذ نصف عام ، فقد حان الوقت
كيف يتم تشفيرها بأمان ؟ استخدمنا "طريقة نقطة انطلاق اللقطة".
إجراءات التشغيل القياسية لأفضل معايير التشغيل والصيانة:
لقطة: في صفحة مثيلات EC2 ، حدد القرص الصلب العادي ، وانقر فوق العملية-> "إنشاء لقطة".
نسخ أوراق الاختبار المتقاطعة (تشفير الحقن): انتقل إلى "قائمة اللقطات" للعثور على اللقطة التي تم إنشاؤها للتو ، وانقر فوق العملية-> "نسخ اللقطة". في النافذة المنبثقة للنسخ ، حدد "تشفير هذه اللقطة" وحدد مفتاح إدارة عملاء KMS الخاص بك. انقر على نسخ. ستقوم AWS بنسخ البيانات في الطابق السفلي أثناء تسليح اللقطة الجديدة بمفتاح KMS الخاص بك.
استعادة قرص جديد من اللقطة المشفرة: حدد اللقطة الجديدة المنسوخة بكلمة "مشفرة" ، وانقر فوق الإجراء-> "إنشاء حجم من اللقطة". قم بإلغاء تثبيت القرص الثابت الأصلي للنص العادي من الخادم (Detach) ، ثم قم بتركيب هذا القرص الصلب الجديد المشفر بالدم (Attach).
نهاية مثالية. أكمل الخادم بأكمله دون علم الترقية المادية من النص العادي إلى النص المشفر ، ولم تتضرر البيانات.
المرحلة الرابعة: طريقة اللعب عالية المستوى على مستوى المصنع الكبير-فتح "قانون التشفير الحديدي الإلزامي" على مستوى الحساب
بصفتك المهندس المعماري الرئيسي ، يجب أن يكون أكثر ما تخشاه هو: "على الرغم من أنني وضعت مواصفات الأمان ، إلا أن خطة التطوير الجديدة الخاصة بي توفر المتاعب. عند بناء خادم جديد أو صندوق تخزين جديد ، نسيت التحقق من التشفير ، مما تسبب في تسرب السمكة عبر الإنترنت".
توفر AWS خطوة دفاعية شاملة للقضاء على هذا الخطر الخفي من المصدر:
1. قم بتشغيل التشفير التلقائي العالمي EBS
على الجانب الأيمن من وحدة التحكم EC2 ، انقر فوق
"إعدادات البيانات"-> "إعدادات EC2"-> "التشفير افتراضيًا"
.
حدد تمكين وتحديد مفتاح KMS الافتراضي الخاص بك. بعد تشغيل هذا المفتاح ،
في ظل هذا النظام ، حتى لو غاب أي شخص عن الاختيار أو نسي التشفير ، فإن AWS ستفرض التشفير الكامل لجميع محركات الأقراص الصلبة EBS التي تم إنشاؤها حديثًا في الأسفل
، لا تشفير رفض إنشاء مباشرة.
2. اكتب استراتيجية برميل S3 (سياسة Bucket) للدفاع المادي
في "أذونات" دلو التخزين S3 ، يتم لصق الاستراتيجية التالية. منطقها هو:
طالما أنك تجد أن طلب التحميل لا يحمل رأس طلب التشفير (أي إذا كنت ترغب في نشر المستند) ، فسيتم رفضه دون قيد أو شرط (Deny)
:
JSON
{
"الإصدار": "2012-10-17" ،
"Statement": [
{
"Sid": "DenyUnencryptedObjectUploads" ،
"Effect": "Deny" ،
"Principal": "*" ،
"Action": "s3:PutObject",
"Resource": "arn:aws:s3::: أنت
اسم برميل التخزين/* "،
"Condition": {
"StringNotEquals": {
"S3: x-amz-server-side-encryption": "aws:kms"
}
}
}
]
}
المرحلة الخامسة: سجل دامٍ من الأخطاء الشائعة في العمليات اليومية والدروس المستفادة منها
لا تحذف المفتاح عن طريق الخطأ ، فهذا سلوك انتحاري: مفتاح إدارة عملاء KMS لمنع الحذف العرضي ، عندما تنقر على الحذف ، لن يمسحه النظام على الفور ، ولكنه سيفرض "انتظار لمدة تصل إلى 7 أيام إلى 30 يومًا. فترة عزل الحذف". تحذير من الدم والدموع: إذا لم يصطاد أحد خلال هذه الفترة ، بمجرد إتلاف المفتاح فعليًا ، فلن يتمكن أي شخص في العالم من استعادة ملف S3 ومحرك الأقراص الصلبة EBS المشفر به! حتى العثور على كبار خبراء الأمن في مقر AWS لن يساعد. لذلك ، يجب أن يكون مفتاح KMS في بيئة الإنتاج مجهزة بسلطة IAM. Kms: أذونات ScheduleKeyDeletion.
الدوران التلقائي لمفاتيح KMS: استجابةً لتدقيق الامتثال (مثل مصادقة PCI-DSS على المستوى المالي) ، عند إنشاء مفتاح ، تذكر تحديد "تدوير هذا المفتاح تلقائيًا". ستساعدك AWS تلقائيًا على اشتقاق إصدار جديد من المفتاح الرئيسي كل عام في الخلفية لتشفير البيانات الجديدة ، بينما يستخدم الإصدار القديم لفك تشفير البيانات القديمة. لا تؤثر العملية برمتها أيضًا على أي عمل ، ويتم تنفيذها تلقائيًا بالكامل.
الخلاصة
باستخدام AWS KMS لتشفير البيانات الثابتة ، فإن أكبر سحر هو أن "الطبقة الأساسية صلبة للغاية ، والسطح أحمق بزر واحد". باستخدام رسوم تخزين مفتاح KMS منخفضة للغاية ، جنبًا إلى جنب مع تقنية توفير المال لمفاتيح برميل S3 ، يمكنك وضع طبقة من الدروع الواقية للطلاء على جميع محركات الأقراص الصلبة وأقراص الشبكة للشركة في فترة ما بعد الظهر. الأمان ليس حظًا كبيرًا ، ضع القوة المهيمنة بين يديك ، ويتم تشفير الكود عندما يتم وضعه ، ومن الآن فصاعدًا ، بغض النظر عن فحص الامتثال ، يمكنك أن تكون مستقرًا مثل جبل تاي.