Trzy typowe pytania dotyczące szyfrowania w chmurze i ich odpowiedzi na AWS

27 stycznia 2021

W Amazon Web Services (AWS) klienci zachęcani są do tego, aby wykorzystać szyfrowanie w celu ochrony swoich danych. Szyfrowanie jest podstawowym elementem dobrej strategii ochrony danych, jednakże czasami pojawiają się pytania odnośnie tego, w jaki sposób zarządzać szyfrowaniem w chmurze, aby spełniać wymagania związane z tempem wzrostu i złożonością dzisiejszych przedsiębiorstw.

Szyfrowanie może wydawać się trudnym zadaniem – ludzie często wychodzą z założenia, że muszą doskonale opanować skomplikowane systemy, aby szyfrować dane, jednak chmura może to znacznie ułatwić.

W odpowiedzi na najczęściej zadawane pytania od kierowników i managerów IT, ten post gwarantuje ogólny przegląd tego, w jaki AWS sprawia, że szyfrowanie staje się mniej skomplikowane dla wszystkich. W tekście zostały przedstawione zalety szyfrowania w chmurze, typowe pytania dotyczące szyfrowania oraz wybrane usługi AWS, które mogą okazać się pomocne.

Zalety szyfrowania w chmurze

Najważniejszą rzeczą, jaką należy zapamiętać na temat szyfrowania w AWS, jest to, że zawsze jesteś w posiadaniu swoich danych i możesz je kontrolować. To rozszerzenie modelu współdzielonej odpowiedzialności AWS, który sprawia, że za bezpieczne dostarczanie i działanie Twoich aplikacji jesteś odpowiedzialny zarówno Ty, jak i AWS. Kontrolujesz bezpieczeństwo w chmurze, a więc szyfrowanie treści, aplikacji, systemów i sieci. AWS zarządza bezpieczeństwem chmury, co znaczy, że jest odpowiedzialny za ochronę infrastruktury, która uruchamia wszystkie usługi, jakie są oferowane w chmurze AWS.

Szyfrowanie w chmurze, oprócz opcji dostępnych w środowiskach lokalnych, oferuje wiele korzyści. Obejmują one dostęp na żądanie do zarządzanych usług, które umożliwiają łatwiejsze tworzenie oraz kontrolowanie kluczy użytych w operacjach kryptograficznych, zarządzanie zintegrowaną tożsamością i dostępem, a także automatyczne szyfrowanie w trakcie przesyłania jak i spoczynku. Wraz z chmurą nie zarządzasz fizycznym bezpieczeństwem lub cyklem życia sprzętu. Zamiast kupowania, konfigurowania, wdrażania i wycofywania sprzętu AWS oferuje zarządzany serwis wspierany sprzętem, który spełnia wymagania bezpieczeństwa FIPS 140-2. Jeśli musisz skorzystać z tego klucza dziesiątki razy na sekundę, elastyczność usług AWS może być skalowana, aby spełnić Twoje wymagania. W końcu możesz korzystać ze zintegrowanych możliwości szyfrowania z usługami AWS, których używasz do przechowywania i przetwarzania danych. Płacisz tylko za to, z czego korzystasz i możesz zamiast tego skupić się na konfigurowaniu i monitorowaniu bezpieczeństwa logicznego oraz na wprowadzaniu innowacji w imieniu swojej firmy.

Rozwiązania trzech typowych pytań dotyczących szyfrowania

Dla wielu liderów technologicznych sprawność i ograniczenie ryzyka stanowią najważniejsze cele biznesowe branży IT. Szyfrowanie w chmurze i strategia ochrony danych dotycząca całego przedsiębiorstwa pozwala określić, w jaki sposób osiągnąć precyzyjną kontrolę dostępu, utrzymując niemal ciągły wgląd w stan ryzyka. W połączeniu z szerokim zakresem usług AWS, które integrują się bezpośrednio z AWS Key Management Service (AWS KMS), usługi szyfrowania AWS pomogą Ci w osiągnięciu lepszej sprawności i dodatkowej kontroli swoich danych w czasie, gdy przechodzisz przez kolejne etapy wdrażania chmury.

Konfiguracja usług szyfrowania AWS stanowi część modelu współdzielonej odpowiedzialności. Jesteś odpowiedzialny za swoje dane, konfigurację AWS Identity and Access Management (IAM), obsługę systemów operacyjnych i sieci, szyfrowanie po stronie klienta, serwera i sieci. AWS odpowiada za ochronę infrastruktury, która obsługuje wszystkie usługi oferowane w AWS.

To wciąż pozostawia Cię z obowiązkami dotyczącymi szyfrowania – mogą wydawać się skomplikowane, jednak usługi AWS w tej sytuacji będą pomocne. Trzy z najczęstszych pytań otrzymywanych od klientów, dotyczących szyfrowania w chmurze, to:

  • W jaki sposób mogę używać szyfrowania, aby uniknąć nieupoważnionego dostępu do danych w mojej chmurze?
  • W jaki sposób mogę korzystać z szyfrowania, aby spełnić wymogi zachowania zgodności w chmurze?
  • W jaki sposób mogę zademonstrować moim interesariuszom zgodność z zasadami firmy lub innymi standardami w chmurze?

Przyjrzyjmy się bliżej tym trzem pytaniom i kilku sposobom, dzięki którym możesz rozwiązać je w AWS.

W jaki sposób mogę używać szyfrowania, aby uniknąć nieupoważnionego dostępu do danych w mojej chmurze? Zacznij od IAM

Podstawowy sposób ochrony dostępu Twoich danych to kontrola dostępu. W przypadku AWS często oznacza to korzystanie z IAM w celu opisania, którzy z użytkowników lub ról mogą posiadać dostęp do zasobów, jak zasobniki Amazon Simple Storage Service (Amazon S3). IAM umożliwia Ci dokładnie określić dostęp dla każdego użytkownika, zarówno człowieka, jak i systemu, a do tego ustalić warunki, w jakich dostęp jest dozwolony. Może to oznaczać konieczność skorzystania z uwierzytelniania wieloskładnikowego lub udostępnianie danych tylko z Amazon Virtual Private Cloud (Amazon VPC).

Szyfrowanie umożliwia wprowadzenie dodatkowego warunku autoryzacji przed udzieleniem dostępu do danych. Kiedy korzystasz z AWS KMS wraz z innymi usługami, możesz uzyskać większą kontrolę nad dostępem do poufnych danych. Dla przykładu, w przypadku obiektów S3 szyfrowanych przez KMS, każdy użytkownik IAM musi posiadać nie tylko dostęp do samego magazynu, ale również uprawnienia umożliwiające mu skorzystanie z klucza KMS, który ochrania dane. Działa to w podobny sposób do Amazon Elastic Block Store (Amazon EBS). Przykładowo możesz zezwolić całemu zespołowi operacyjnemu na zarządzanie woluminami i migawkami (zrzutami) Amazon EBS, jednak dla konkretnych woluminów Amazon EBS, które zawierają poufne dane, możesz skorzystać z innego klucza głównego KMS z innymi uprawnieniami, które zostały udzielone tylko jednostkom określonym przez Ciebie. Ta zdolność do definiowania bardziej szczegółowej kontroli dostępu poprzez niezależne pozwolenie szyfrowania kluczy jest wspomagana przez wszystkie usługi AWS, które integrują się z KMS.

Kiedy konfigurujesz IAM dla swoich użytkowników, aby uzyskać dostęp do swoich danych i źródeł, kluczowe jest rozważenie zasady najmniejszego uprzywilejowania. Oznacza to, że przyznajesz dostęp niezbędny dla każdego użytkownika tylko do pracy i niczego więcej. Przykładowo, zamiast przyznawania dostępu użytkownikom do całego kontenera S3, możesz skorzystać z polityki językowej (języka zasad) IAM, aby dookreślić tylko konkretne prefiksy Amazon S3, które są wymagane. To ważne przy rozważaniu różnic pomiędzy skorzystaniem z usługi – zdarzenia płaszczyzny danych, a zarządzaniem usługą – płaszczyzną zarządzania zdarzenia. Aplikacja może przechowywać oraz pobierać obiekty w kontenerze S3, jednak w tym przypadku rzadko się zdarza, że ta sama aplikacja potrzebuje listy wszystkich kontenerów na koncie lub skonfigurowania ustawień i uprawnień kontenera.

Wyraźne rozróżnienie pomiędzy tym, kto może korzystać z zasobów i kto może nimi zarządzać, często określane jest jako zasada rozdziału obowiązków. Należy bowiem rozważyć okoliczności posiadania pojedynczej aplikacji z dwiema tożsamościami, które są z nią powiązane – tożsamość aplikacji, która korzysta z klucza do szyfrowania i deszyfrowania danych oraz tożsamość managera (zarządzająca), która może dokonać zmian konfiguracji w kluczu. Korzystając z AWS KMS, razem z usługami takimi jak Amazon EBS, Amazon S3 i wiele innych, możesz dokładnie określić, jakie działania zostaną użyte przez daną osobę. Zapobiega to sytuacjom, w których tożsamość aplikacji zmienia konfigurację lub uprawnienia, jednocześnie pozwalając managerowi dokonać tych zmian, ale nie pozwala na korzystanie z usług w celu rzeczywistego dostępu do danych lub używania kluczy szyfrowania.

Używaj AWS KMS i key policy wraz zasadami IAM

AWS KMS zapewnia widoczność i szczegółową kontrolę uprawnień określonego klucza w hierarchii kluczy wykorzystywanych do ochrony Twoich danych. Kontrolowanie dostępu do kluczy w KMS odbywa się za pomocą key policy IAM. Customer Master Key – CMK, posiada swój własny dokument, znany jako polityka klucza. Polityki klucza AWS KMS mogą pracować razem z zasadami tożsamości IAM lub można zarządzać uprawnieniami do KMS CMK tylko i wyłącznie za pomocą zasad kluczy. Gwarantuje to większą elastyczność w oddzielnym przyporządkowywaniu uprawnień w korzystaniu z klucza lub zarządzaniu kluczem, w zależności od przypadku użycia.

Szyfrowanie jest wszędzie

AWS zaleca, aby szyfrować tak wiele, jak to możliwe. Oznacza to szyfrowanie danych zarówno w trakcie ich przesyłania, jak i w trakcie spoczynku.

Klienci, którzy chcą szyfrować dane w trakcie ich przesyłania do swoich publicznych aplikacji, powinni skorzystać z AWS Certificate Manager (ACM). Usługa ta automatyzuje tworzenie, wdrażanie i wznawianie publicznych certyfikatów TLS. Jeśli korzystałeś SSL/TLS w przypadku swoich witryn i aplikacji, powinieneś być zaznajomiony z pewnymi wyzwaniami związanymi z obsługą tych certyfikatów. ACM został zaprojektowany tak, aby zarządzanie certyfikatami stało się łatwiejsze i tańsze.

Jednym ze sposobów, w jaki ACM tego dokonuje, jest generowanie dla Ciebie certyfikatu. Ze względu na to, że AWS obsługuje urząd certyfikacji, który jest zaufany przez standardowe przeglądarki internetowe i systemy operacyjne, publiczne certyfikaty stworzone przez ACM mogą zostać użyte w publicznych witrynach i aplikacjach mobilnych. ACM może utworzyć publicznie zaufany certyfikat, który następnie może zostać wdrożony w API Gateaway, Elastic Load Balancing lub Amazon CloudFront (globalnej, rozproszonej sieci dostarczania treści). Nie musisz zajmować się materiałem klucza prywatnego ani wymyślać skomplikowanych narzędzi, aby wdrożyć certyfikaty do swoich zasobów. ACM pomaga we wdrażaniu Twoich certyfikatów przez AWS Management Console (konsola zarządzania AWS) lub za pomocą automatyzacji, która wykorzystuje AWS Command Line Interface (AWS CLI) lub AWS SDKs.

Jednym z wyzwań związanych z certyfikatami jest regularna rotacja i odnawianie ich, dzięki czemu niespodziewanie nie wygasną i nie uniemożliwią korzystania z witryny lub aplikacji przez Twoich użytkowników. Na szczęście ACM posiada funkcję, która aktualizuje certyfikat zanim ulegnie wygaśnięciu i automatycznie wdraża nowy certyfikat do zasobów z nim związanych. Koniec z tworzeniem przypomnienia w kalendarzu, aby poinformować swój zespół o konieczności odnowienia certyfikatów i, co najważniejsze, nigdy więcej przestoju z powodu wygasłych certyfikatów.

Wielu klientów chce zabezpieczyć swoje dane przesyłane do serwisów przy użyciu prywatnie zaufanych certyfikatów TLS zamiast zaufanych publicznie. W tym przypadku można wykorzystać AWS Certificate Manager Private Certificate Authority (ACM PCA) do wystawiania certyfikatów zarówno klientom, jak i serwerom. ACM PCA zapewnia niedrogie rozwiązanie w wystawianiu wewnętrznie zaufanych certyfikatów i może być zintegrowane z ACM wraz z tymi samymi integracyjnymi benefitami, które ACM zapewnia publicznym certyfikatom, w tym automatycznemu odnawianiu.

 

Do szyfrowania danych w trakcie spoczynku zaleca się korzystanie z AWS KMS. Dostępna jest szeroka gama usług przechowywania baz danych AWS, które obsługują integrację z KMS, dzięki czemu możesz wdrożyć solidne szyfrowanie w celu ochrony swoich danych w trakcie spoczynku w usługach AWS. W ten sposób możesz korzystać z możliwości KMS w zakresie szyfrowania i kontroli dostępu w celu stworzenia złożonych rozwiązań z różnymi usługami AWS, bez kompromisu w korzystaniu z szyfrowania jako części Twojej strategii ochrony danych.

W jaki sposób mogę korzystać z szyfrowania, aby spełnić wymogi zachowania zgodności w chmurze?

Pierwszy krok to określenie wymagań dotyczących zgodności. Można tego dokonać poprzez współpracę z zespołem do spraw zgodności i ryzyka, aby zrozumieć strukturę i mechanizmy kontroli, których musi przestrzegać firma. Podczas gdy wymagania mogą różnić się w zależności od branży i regionu, najpopularniejszym wymogiem zgodności szyfrowania jest szyfrowanie danych i upewnienie się, że kontrola dostępu dla kluczy szyfrowania (przykładowo: korzystanie z AWS KMS CMK key policies) jest oddzielona od kontroli dostępu do szyfrowanych danych (na przykład poprzez kontener Amazon S3).

Innym częstym wymaganiem jest posiadanie oddzielnych kluczy szyfrowania do różnych klas danych lub dla różnych klientów czy najemców. Jest bezpośrednio obsługiwane przez AWS KMS, ponieważ na jednym koncie możesz posiadać dowolną liczbę kluczy. Jeśli musisz użyć więcej niż 10,000 kluczy, które domyślnie dopuszcza AWS KMS, skontaktuj się z pomocą techniczną AWS w celu zwiększenia limitu.

W przypadku kwestii lub wątpliwości związanych ze zgodnością, istnieje kilka możliwości, które są warte zbadania jako opcje mające na celu zwiększenie zakresu kontroli zabezpieczeń:

  • Amazon S3 może automatycznie szyfrować wszystkie nowe przedmioty umieszczone w kontenerze, nawet jeśli użytkownik lub oprogramowanie nie określa szyfrowania;
  • możesz użyć trybu wsadowego w Amazon S3 w celu zaszyfrowania istniejących przedmiotów, nawet jeśli pierwotnie nie były przechowywane z szyfrowaniem;
  • możesz wykorzystać raport inwentaryzacji Amazon S3 w celu stworzenia listy wszystkich przedmiotów S3 w kontenerze, w tym ich stanu szyfrowania.

Usługi AWS, które śledzą konfiguracje szyfrowania w celu spełnienia Twoich wymagań

Każdy, kto pod koniec roku wkleił zrzut ekranu konfiguracji do edytora tekstu w celu zapamiętania zgodności, wie, jak kruche mogą być tradycyjne, miejscowe formy poświadczania zgodności. Wszystko mogło wyglądać w porządku w dniu, w którym zostało zainstalowane, jak i pod koniec roku, jednak w jaki sposób możesz być pewny, że wszystko było poprawnie skonfigurowane przez cały czas?

AWS zapewnia kilka różnych usług, które mają za zadanie pomóc Ci w poprawnym skonfigurowaniu Twojego środowiska i monitorować tę konfigurację w trakcie. Usługi AWS mogą również zostać skonfigurowane do wykonywania automatycznych działań naprawczych w celu skorygowania jakichkolwiek odstępstw od żądanego stanu konfiguracji. AWS pomaga zautomatyzować gromadzenie dowodów zgodności i zapewnia niemal ciągłą zgodność migawek.

AWS Config jest usługą, która umożliwia Ci ocenę, audyt i ewaluację konfiguracji Twoich zasobów AWS. AWS Config nieustannie monitoruje i rejestruje Twoje konfiguracje zasobów AWS i pomaga w zautomatyzowaniu ewaluacji rejestrowanych konfiguracji wobec pożądanych konfiguracji. Jedną z najsilniejszych funkcji AWS Config są AWS Config Rules. Podczas gdy AWS Config bez przerwy śledzi zmiany konfiguracji, które pojawiają się wśród Twoich zasobów, jednocześnie sprawdza, czy te zmiany naruszają jakiekolwiek warunki określone w Twoich regułach. Jeśli dany zasób narusza regułę, AWS Config oznacza regułę i źródło jako niezgodne. AWS Config posiada szeroką ofertę wstępnie napisanych reguł zarządzanych, które pomogą Ci zachować zgodność dla wielu różnych usług AWS. Reguły zarządzania obejmują sprawdzenie statusu szyfrowania w różnorodnych zasobach, utratę ważności certyfikatu ACM, konfiguracje polityki IAM i wiele więcej.

W celu uzyskania dodatkowych możliwości monitorowania rozważ wybór Amazon Macie i AWS Security HUB. Amazon Macie to usługa, która pomaga w zrozumieniu zawartości Twoich kontenerów S3 poprzez analizę i klasyfikację danych zawartych w obiektach S3. Oprócz tego może zostać użyta w celu raportowania statusu szyfrowania kontenerów S3, umożliwiając Ci główny wgląd w konfigurację wszystkich kontenerów na Twoim koncie, w tym domyślne ustawienia szyfrowania. Amazon Macie integruje się z AWS Security Hub, który może przeprowadzać zautomatyzowane kontrole konfiguracji, w tym poszczególne kontrole, które skupiają się na ustawieniach szyfrowania.

Inną, istotną usługą dla wyników zgodności jest AWS CloudTrial. CloudTrial umożliwia zarządzanie, zgodność, audyt operacyjny oraz audyt ryzyka na koncie AWS. Z CloudTrial możesz logować, stale monitorować oraz przechowywać aktywność konta powiązaną z czynnościami w całej infrastrukturze AWS. AWS KMS rejestruje całą swoją aktywność w CloudTrial, umożliwiając Ci zidentyfikowanie tego, kto korzystał z kluczy szyfrowania, w jakim kontekście i z jakimi zasobami. Te informacje są przydatne w celach operacyjnych i pomocy przy spełnianiu wymagań dotyczących zgodności.

W jaki sposób mogę zademonstrować moim interesariuszom zgodność z zasadami firmy lub innymi standardami z chmurze?

Prawdopodobnie posiadasz wewnętrznych i zewnętrznych partnerów, którzy dbają o zgodność i wymagają od Ciebie dokumentowania stanu zgodności systemu. Do tych osób może należeć szereg potencjalnych podmiotów i ról, w tym zewnętrzni i wewnętrzni audytorzy, departamenty zarządzania ryzykiem, regulatorzy branżowi i rządowi, zespoły analityczne związane z finansowaniem, nabywaniem i nie tylko.

Niestety relacja pomiędzy zespołem technicznym a audytu i zgodności bywa czasami sporna. AWS jest przeświadczony, że te dwie grupy, powinny pracować razem – zależy im na tych samych rzeczach. Te same usługi i udogodnienia, których zespoły inżynierów używają do wspierania doskonałości operacyjnej, mogą także zapewnić wyniki odpowiadające na pytania interesariuszy dotyczące zgodności zabezpieczeń.

Możesz zapewnić dostęp do konsoli dla AWS Config i CloudTrial swoim odpowiednikom w rolach audytu i zarządzania ryzykiem. Użyj AWS Config do ciągłego monitorowania konfiguracji i tworzenia tymczasowych raportów, które mogą zostać dostarczone właściwym interesariuszom. Ewolucja w kierunku ciągłej zgodności sprawia, że zgodność z Twoimi zasadami firmy dotyczącymi AWS jest nie tylko możliwa, ale często lepsza niż w tradycyjnych środowiskach lokalnych. AWS Config obejmuje kilka zarządzanych reguł, które sprawdzają ustawienia szyfrowania w Twoim środowisku.

CloudTrial zawiera ciągły zapis, w którym za każdym razem klucze AWS KMS zostają użyte do zaszyfrowania lub deszyfrowania Twoich zasobów. Treści CloudTrial zawierają ID klucza KMS, umożliwiając Twoim interesantom przeglądanie i łączenie działań zarejestrowanych w CloudTrial wraz z konfiguracjami oraz pozwoleniami ustalonymi w Twoim środowisku. Możesz także użyć raportów tworzonych przez automatyczną kontrolę zgodności Security Hub w celu zweryfikowania i zatwierdzania ustawień szyfrowania oraz innych mechanizmów kontroli.

Twoi interesariusze mogą mieć dodatkowe wymagania dotyczące zgodności, które znajdują się poza Twoim zakresem kontroli, ponieważ AWS obsługuje te kontrole za Ciebie. AWS zapewnia System and Organization Controls (SOC) Reports, będące niezależnymi raportami z badań osób postronnych, które demonstrują, w jakiś sposób AWS osiąga kluczowe kontrole zgodności i zamiary. Celem tych raportów jest pomoc Tobie oraz Twoim audytorom w zrozumieniu mechanizmów kontrolnych AWS utworzonych w celu wsparcia operacji i zgodności. Możesz uwzględnić raport AWS SOC3 dostępny poprzez AWS Artifact w celu uzyskania większej ilości informacji o tym, w jaki sposób AWS działa w chmurze i zapewnia ubezpieczenie wokół procedur bezpieczeństwa AWS. Raport SOC2 zawiera różne specyficzne dla AMS KMS kontrole, które mogą zainteresować Twoich współpracowników zajmujących się audytem.

Podsumowanie

Szyfrowanie w chmurze jest łatwiejsze niż szyfrowanie lokalne, bardziej wydajne i może pomóc Ci w osiągnięciu najwyższych standardów kontroli i zgodności. Chmura zapewnia bardziej wyczerpujące i wszechstronne możliwości ochrony dla klientów, którzy chcą szybko skalować i wprowadzać innowacje, niż ma to miejsce w przypadku systemów lokalnych. Ten tekst zawiera wskazówki na temat tego, w jaki sposób postrzegać szyfrowanie w AWS. Możesz korzystać z IAM, AWS KMS i ACM, aby zapewnić szczegółową kontrolę dostępu do swoich najbardziej poufnych danych i wspierać ochronę swoich danych w trakcie przesyłania, jak i przechowywania. Kiedy już poznasz wymagania zgodności, możesz skorzystać z AWS Config i CloudTrail w celu przejrzenia zgodności z polityką firmy w trakcie niż poprzez migawki z określonego momentu w czasie, uzyskane poprzez tradycyjne metody audytu. AWS może zapewnić dostarczenie dowodów zgodności na żądanie za pomocą narzędzi takich jak raportowanie z CloudTrial i AWS Config oraz poświadczeń takich jak aporty SOC.

Zaleca się zapoznanie się z obecnym sposobem szyfrowania i porównanie go z krokami opisanymi w tym tekście. Podczas gdy każda branża i firma jest inna, podstawowe koncepcje, które zostały tutaj przedstawione, dotyczą wszystkich scenariuszy. Jeśli masz jakiekolwiek pytania, uwagi lub opinie na temat omawianej tutaj metody, pozostaw komentarz pod postem.

 

Źródło: https://aws.amazon.com/blogs/aws/