AWS企業アカウントの購入: AWS KMS (鍵管理サービス) を利用して、ワンクリックでs 3バケットとEBSクラウドハードドライブの暗号化を行います。

クラウドコンピューティングと企業レベルのアーキテクチャでは、「データセキュリティ」は決して避けられない赤い線である。多くのチームはAWSに業務を移したばかりで、ネットワークファイアウォール (セキュリティグループ、ACL) だけに注目していますが、防御線の最後のステップを無視しています。

静的データ暗号化

。

考えてみてください。ハッカーが周辺ネットワークをバイパスしたり、退職した従業員が何らかの手段であなたの基礎となるEBSクラウドハードドライブのスナップショットを直接コピーしたりするとまた、あなたのS3バケットの機密契約が予期せず漏洩され、データが平文で保存されている場合、会社は直接絶滅の被害に直面する。

AWSの安全な生態の中で、すべての暗号化鍵を担当し、「データが落ちると暗号化される」という魂のコンポーネントを実現するために使われています。

Amazon KMS (キー管理サービス、キー管理サービス)

。

今日はあいまいな暗号学の公式については話しません。実戦から、AWS KMSを利用して、企業の最も核心的な二つのストレージ資産を提供します

S3バケット

と

EBSクラウドハードディスク

、堅固な「ワンキー暗号化」防御線を溶接する。

第一段階: 底をノックして、KMSの「封筒暗号化」の黒技術を理解する

配置を始める前に、AWSの基礎がどのようにパスワードをプレイしているかを理解しなければならない。そうしないと、後で鍵を選ぶ時に必ず盲目になる。KMSコアは

封筒暗号化

メカニズム:

顧客マスターキー (KMS Key / CMK): これはあなたの「親キー」で、KMSが専用のハードウェアセキュリティモジュール (HSM)内で生成し、死んで守る責任があります。誰も (あなたとAWS公式を含む) このマスターキーをローカルに平文でダウンロードすることはできません。

データキー (Data Key): 10gbのファイルを暗号化したい場合、マスターキーは直接出陣しません。KMSは、マスターキーを使用してリアルタイムで「データキー」を導出します。

パッケージ保存: データキーはファイルを暗号化します。暗号化が完了すると、データキーのクリアテキストはすぐに破棄され、マスターキーで暗号化されたデータキー暗号文だけが残り、暗号化されたファイルと貼り付けられます。

コアセキュリティの結論: これは、貴重なネックレスを金庫 (データ暗号化) にロックし、金庫の鍵を小さな封筒に入れたようなものですより高度な鍵 (マスターキー) で封筒をロックします。主鍵の許可がなく、誰も基礎的なハードディスクやS3ファイルを手に入れて、見たのは不規則な文字化けにすぎない。

第二段階: 実戦演習一 -- S3バケットのキーロック

S3バケットは、会社の写真、ユーザーがアップロードした機密身分証明書や財務諸表を保管するためによく使用されます。以前、S3暗号化はコードに複雑な暗号化ロジックを書く必要があったが、現在AWSはすでに底にある

層は「ワンキー無感覚暗号化」を実現した。

1.二つの鍵の違いを理解する

S3暗号化を構成すると、コンソールは次の2つを選択します

AWS管理キー (aws/s3): 無料で、AWSが自動的に管理します。欠点は、アカウント間で権限を許可できず、交代ポリシーを制御できないことです。

顧客管理キー (SSE-KMS): 企業レベル標準KMSで自分で作成し、きめ細かなIAM権限制御、完璧なクラウドトレイル動作監査をサポートします。

2. S 3着地暗号化三歩速通

AWSコンソールにログインし、KMSサービスにアクセスし、「鍵を作成」をクリックし、「対称鍵」を選択してCompany-S3-Keyと名付け、次のステップで作成を完了します。

S3コンソールに切り替え、コアデータを格納するバケットをクリックします。

「プロパティ」タブをクリックし、下をめくって「デフォルト暗号化」を見つけ、「編集: 暗号化タイプ: 「デフォルトのAWSキー管理サービスキーを使用する (SSE-KMS) 」を選択します。KMSキー: 「既存のKMSキーから選択」を選択して、作成したCompany-S3-Keyを正確に選択します。バケットキー: 「有効」を選択します。お金を節約して高エネルギーのピットを避けるガイド: もしあなたのS3が毎日何百万回も読み書きしているなら、KMSの玄関を頻繁に叩くと大量のKMS請求料が発生します。「バケットキー」をオンにすると、s 3はバケットレベルで一時キーをキャッシュし、KMSトラフィックの請求書の90% 以上を直接カットします。

保存をクリックします。それ以来、コンソールでもAPIでもこのバケツにアップロードされたファイルは、ドロップされた瞬間に自動的に暗号化されます。権限のあるバックエンドAppがファイルをダウンロードすると、S3はバックグラウンドで自動的にKMSを探して復号化します

アプリケーション側コードがゼロ修正され、全く無感覚である

。

第三段階: 実戦演習二 -- EBS雲ハードディスクとスナップショットのグローバル暗号化

EC2サーバがマウントしたEBSクラウドハードドライブ (サーバのcドライブとdドライブに相当) には、あなたのオペレーティングシステム、データベースデータ、アプリケーションログが横たわっています。

1.シーンA: サーバ新規購入時にワンクリックで暗号化

EC2インスタンス構成ストレージ (Storage) を購入するときに、詳細オプションを展開します

「暗号化」にチェックを入れます。

鍵はカスタマイズしたKMS鍵を選択します。このようにして、このサーバは誕生日から、システムディスク全体が物理的に暗号化された状態にある。

2.シーンB: 古い平文ハードドライブは、どのように途中で暗号化されますか?

AWSは、すでに存在している平文EBSハードドライブを直接「その場で暗号化」することは許されていない。手に半年走った平文データディスクがあれば

どうやって安全に暗号化しますか?私たちは「スナップショット跳板法」を使います。

最高水準の運用保守標準作業手順書:

スナップショットを撮る: EC2インスタンスページで、その平文ハードディスクを選択し、アクション-> 「スナップショットを作成」をクリックします。

「スナップショットリスト」で生成したばかりのスナップショットを見つけ、「アクション」> 「スナップショットのコピー」をクリックします。「コピー・ウィンドウ」で「このスナップショットを暗号化」をチェックし、KMS顧客管理キーを選択します。「コピー」をクリックします。AWSは基礎にデータをコピーしながら、KMS鍵で新しいスナップショットを武装します。

暗号化されたスナップショットから新しいディスクを復元する: コピーした「暗号化」という文字の付いた新しいスナップショットを選択し、「アクション」-> 「スナップショットからボリュームを作成」をクリックします。元の古い平文ハードディスクをサーバからアンインストールし、この暗号化された新しいハードディスクをマウントする。

完璧に仕事を終える。サーバー全体の神は知らないうちに平文から暗号文への物理的なアップグレードを完了し、データはわずかではない。

第四段階: 大工場級の高級プレイ法 ― 口座レベルの「強制暗号化鉄則」を開く

最高設計者として一番怖いのは「私は安全規範を決めたが、部下の新しい開発図は手間が省ける。新しいサーバや新しいバケットを作る時に暗号化をチェックするのを忘れたネット漏れの魚がネット上で裸で走っている。」と言いました

AWSは全体的な防御の大きな手段を提供して、源からこの隠れた危険を断ち切ることができます。

1.グローバルEBS自動暗号化をオンにする

EC2コンソールの右側で

「データ設定」-> 「EC2設定」-> 「デフォルトで暗号化」

。

有効化をチェックし、デフォルトのKMSキーを指定します。このスイッチを入れると

このRegionでは、誰もが暗号化を見逃したり忘れたりしても、AWSは新たに作成されたEBSハードドライブをすべて強制的に暗号化します

を選択します。

2.S 3バケットポリシーを作成して物理防御を行う

S3バケットの「権限」に、次のポリシーを貼り付けます。論理は次のとおりです

アップロード要求に暗号化要求ヘッダがないことを発見した場合 (つまり、文書を伝えたい場合) は、無条件に拒否する (Deny)。

:

JSON

{

「Version」: 「2012-10-17」

"Statement": [

{

"Sid": "DenyUnencryptedObjectUploads",

"Effect": "Deny",

"Principal": "*",

"Action": "s3:PutObject",

"Resource": "arn:aws:s3::: あなたの

バケット名/* ",

"Condition": {

"String notequals": {

"S3: x-amz-server-side-encryption": "aws:kms"

}

}

}

]

}

第5段階：日常運用における失敗の血と涙の歴史

誤って鍵を削除しないでください。それは自殺行為です。KMS顧客管理鍵は誤って削除しないように、削除をクリックすると、システムはすぐに消去されません7日から30日に及ぶ「削除待ち隔離期間」に強制的に入る。血涙警告: この間、誰もそれを拾っていなければ、鍵が物理的に破壊されると、世界中の誰もそれで暗号化されたS3ファイルとEBSハードディスクを取り戻すことはできない! AWS本社のトップレベルのセキュリティ専門家を探しても何の役にも立たない。そのため、本番環境のKMSキーにはIAM権限が必要です。

KMSキーの自動ローテーション: 金融レベルのPCI-DSS認証などのコンプライアンス監査に対応するために、キーを作成するときは「このキーを自動ローテーション」をチェックしてください。AWSはバックグラウンドで毎年自動的に新しいマスターキーバージョンを導出して、新しいデータを暗号化し、古いバージョンは古いデータを復号化する。プロセス全体も業務に影響を与えず、全自動で行う。

まとめ

AWS KMSを利用して静的データ暗号化を行う最大の魅力は「基盤が非常にハードコアで、表層が馬鹿である」ことである。非常に低いKMS鍵管理費を使って、s 3バレル鍵と協力してお金を節約する技術は、午後の時間内に、会社のすべてのハードディスクとネットディスクにハッカーさえ無力な防弾チョッキを着ることができる。安全は大運にぶつかったのではなく、主導権を自分の手に握って、コードが落ちたら暗号化して、それ以来、どんなコンプライアンス検査に遭遇しても、あなたは泰山のように安定している。