لقد كتبنا سابقا عن كيفية استخدام قوائم التحقق لتجنب أخطاء التكوين ، وهي ممارسة مفيدة لحماية البيانات. يعد التشفير أحد أهم الممارسات الأساسية في حماية البيانات لأنه يجعل البيانات غير قابلة للقراءة في حالة فقدها أو سرقتها أو الوصول إليها بطريقة غير لائقة. لذلك، لا يؤدي خطأ تكوين AWS S3 الرئيسي إلى تمكين التشفير من جانب الخادم لأن إهماله قد يترك المعلومات السرية مكشوفة في نص واضح.
يحمي تشفير البيانات البيانات غير النشطة (البيانات المخزنة على S3) والبيانات أثناء النقل (البيانات التي تنتقل من/إلى S3). يمكن حماية البيانات أثناء النقل بواسطة SSL / TLS ، بينما يمكن حماية البيانات الثابتة عن طريق التشفير من جانب الخادم أو التشفير من جانب العميل.
يتطلب التشفير من جانب العميل من العميل إدارة عملية التشفير والأدوات والمفاتيح ، والتي يمكن أن تستغرق وقتا طويلا ومكلفة إلى حد ما IT المسؤولين لإدارة ، وغالبا ما تكون معقدة للغاية. وبالتالي ، تفضل معظم المؤسسات التشفير من جانب الخادم نظرا لأن Amazon تدير عمليات تشفير بياناتها قبل التخزين وفك تشفيرها عند الوصول إليها من قبل مستخدم معتمد ومصادق عليه.
تقدم أمازون ثلاث طرق لتثبيت التشفير من جانب الخادم:
- مفاتيح Amazon S3-المدارة (SSE-S3 ) - تقوم Amazon بتشفير كل عنصر باستخدام مفتاح معيار التشفير المتقدم 256 بت (AES-256) الفريد، ثم تقوم بتشفير هذا المفتاح باستخدام مفتاح جذر يتم تدويره بشكل متكرر. لا توجد رسوم إضافية على SSE-S3، مما يجعله عرضا جذابا. يجب على المؤسسات المعنية بأمن البيانات تبني هذا العرض للمبتدئين.
- مفاتيح KMS المخزنة في خدمة إدارة مفاتيح AWS (SSE-KMS) - KMS هو عرض Amazon المتميز ، والذي يضيف نظام إدارة مفاتيح مقابل تكلفة إضافية. يعد هذا الحل أكثر جاذبية للمؤسسات الناضجة التي تحتاج إلى تعيين أذونات الوصول أو توفير مسار تدقيق للامتثال.
- المفاتيح المقدمة من العميل (SSE-C) - على غرار التشفير من جانب العميل ، تتطلب المفاتيح المقدمة من العميل من العميل إدارة مفاتيح التشفير ، لكن أمازون لا تزال تتعامل مع تشفير البيانات. قد يكون هذا النوع من النهج أكثر جاذبية للمؤسسات الواعية بالأمان التي ترغب في تجنب وضع كل بيضها في سلة واحدة ، ولكنه سيقدم نفس مشكلات الإدارة مثل التشفير من جانب العميل.
يحتاج أي عميل من عملاء Amazon يستخدم SSE-C إلى فهم قوي للتشفير المطبق أو قد يعرض بيانات مؤسسته للخطر. إذا اتصلوا باستخدام HTTP ، فسترفض Amazon الطلب ، وقد يتم الكشف عن مفتاحهم. والأسوأ من ذلك ، إذا فقد العميل مفتاح التشفير الخاص به ، فلن يتمكن من الوصول إلى البيانات. نتيجة لذلك ، قد يكون SSE-S3 أو SSE-KMS نهجا أكثر قابلية للإدارة لمعظم المؤسسات.
يمكن للمؤسسات التي تستخدم SSE-S3 استخدام نهج الحاوية لتشفير جميع الكائنات الموجودة في حاوية أو يمكنها استخدام REST API أوامر لتشفير كائنات معينة. هناك العديد من الخيارات لشرحها جميعا، لذلك يجب على المؤسسات مراجعة وثائق Amazon SSE-S3. وبالمثل، يوفر SSE-KMS وظائف تشفير مماثلة، بالإضافة إلى المرونة والتحكم المتقدم (والتكاليف)، لذلك ينصح المؤسسات بمراجعة وثائق Amazon SSE-KMS. حتى أن أمازون تقدم نصائح حول كيفية الحفاظ على انخفاض تكاليف SSE-KMS باستخدام مفاتيح الحاوية.
تجنب أخطاء التكوين الشائعة مع OPSWAT
عندما يتعلق الأمر بأخطاء التكوين الشائعة، مثل تمكين التشفير من جانب الخادم، يجب على المؤسسات استخدام قوائم التحقق للتأكد من أنها تنفذ أفضل الممارسات. يمكن أن تساعد أتمتة هذه العملية باستخدام التكنولوجيا في تجنب الأخطاء اليدوية المكلفة والمستهلكة للوقت.

MetaDefender Storage Security يعزز حل أمان التخزين السحابي الخاص به من خلال قائمة مراجعة أمنية متكاملة ، بحيث يمكن لمتخصصي الأمن السيبراني ضمان عدم تكوين التخزين السحابي لمؤسستهم بشكل خاطئ عند توفيره ، والذي يتضمن مراحل التطوير والإنتاج للتخزين السحابي.
يعد تمكين التشفير من جانب الخادم عنصرا رئيسيا في قائمة الاختيار في MetaDefender Storage Security، لكنها ليست الوحيدة. في المدونات المستقبلية ، سنستكشف أخطاء التكوين الرئيسية الأخرى لحماية البيانات في حالة عدم النشاط.
اتصل بOPSWAT خبير الأمن السيبراني لمعرفة المزيد.
اقرأ المدونات السابقة في هذه السلسلة: