web-dev-qa-db-ja.com

AmazonのS3サーバー側の暗号化は何を防ぎますか?

AmazonのS3ストレージサービスは、オブジェクトのサーバー側の暗号化を提供し、ユーザーのために自動的に管理されます( Amazonのドキュメント )。有効にするのは簡単なので、「なぜしないのですか?」と思っていますが、これは本当にどのようなセキュリティを提供しますか?

だれかがAWSデータセンターに移動してハードドライブを取得するのを防ぐと思いますが、それは非常にありそうもないことであり、おそらくそのようなアクセス権を持つ誰もが、どこに保存されていてもAESキーを取得する可能性があります。

ドライブから取り出されるとデータは保護されないようです。その時点でデータが復号化されるため、資格情報を持っているか、トラフィックを傍受できる人は誰でもデータを平文で見ることができるからです。それで、本当にポイントは何ですか?データが「暗号化」されていると言うだけですか?

cryptographydisk-encryption
70
Hank

簡単に言えば、これはわかりません。

それはmight盗まれたバックアップから保護します。しかし、それはAmazonがバックアップさえすることを前提としています。 veryはありそうにありません。もしそうなら、なぜ最後のS3データ損失からデータを回復できなかったのですか?複数のライブコピーを使用するだけの方がはるかに安価で効率的です。

また、Amazonはすべてのアクセスでキーを必要とします。したがって、データを保存する場所とほぼ同じ場所以外にキーを保存することはほとんどありません。したがって、ライブデータデバイスの盗難を想像している場合は、キーも入手できる可能性が高くなります。

しかし、Amazonがデータをどのように保存、複製、および/またはバックアップするかはわかりません。また、鍵の保管場所や配布方法もわかりません。しかし、彼らが防御する現実的な脅威が存在するというもっともらしい議論はまだ聞いていません。 「盗まれたバックアップ」の理論は、Amazonがバックアップを使用するという誤った前提に基づいているようです。

ただし、Dropboxの暗号化はveryありそうもないものの、1つの実際の脅威モデルから保護します。 Dropboxは独自のキーを格納して送信するため、不正なAmazon従業員から保護されます。その代わりに、Dropboxの不正な従業員やDropboxのセキュリティバグに対して脆弱です。

私の意見では、Amazonがこの機能を追加したのは、データを暗号化して保存できると彼らが言うためです。一部の人々は機能リストのチェックボックスを無頓着に比較し、Amazonは「セキュア/暗号化」行のチェックボックスを望んでいました。いずれにせよ、最も弱いリンクは、Amazonの内部ネットワークと人間のセキュリティ、およびアクセスを許可するかどうかを決定するコードの実装の妥当性です。

43
David Schwartz

だれかがAWSデータセンターに移動してハードドライブを取得するのを防ぐと思いますが、それは非常にありそうになく、おそらくそのようなアクセス権を持つ誰もが、どこに保存されていてもAESキーを取得する可能性があります。

Gillesのコメントは実際にあなたの質問に効果的に答えますが、私はニースなので、私は自分でもっと長い答えを選びます。ディスク暗号化は、ディスクが盗まれ、キーが盗まれない場合のデータ損失から保護します。 Gillesが言うように、そのような例はバックアップの盗難ですが、移動中のラップトップにある場合や、廃棄されたディスクからデータを回収する有意義な試みを防ぐためにハードディスクを破棄する場合もあります。

セキュリティはキーに依存しており、キーが傍受される可能性がある場合、データを復号化できるため、ディスクの暗号化は、キーとディスクを組み合わせるときにあまり役に立ちません。 OSがオンでディスクを使用している場合、キーとディスクは常に必要に応じて常に近接しているため(読み取りごとにそのキーが必要です)、キーを合理的に傍受できるその近くの誰でもデータを読み取ることができるはずです。もちろん、あらゆる種類の攻撃を実行するには、キーを回復できる必要があります。そのため、ハードディスクをコピーするよりも少し難しくなります(それほどではありません)。つまり、基本的には、そうです。

ただし、盗難やディスクの廃棄などによってデータが失われる可能性を最小限に抑えるために、ディスクを保護することをお勧めします。 Amazonがそれらのディスクを破壊するために何をどのように行うかはわからないので、何らかの種類の貴重な情報がある場合、それらを暗号化することは素晴らしいアイデアです。

それで、本当にポイントは何ですか?データが「暗号化」されていると言うだけですか?

それは実際に考えられる要因です。私が言うように、データを暗号化することによる具体的な利点は、あなたが期待するかもしれないものではありませんが、まだ存在しています。そうは言っても、マーケティングポイントと同様のシナリオでサーバーエンドでデータを暗号化するというお客様の要件がありました(データを暗号化します)。セキュリティの人々には教育上の課題があると思います。

10
user2213

覚えておくべきこと:

  • Amazonは膨大な数の企業で使用されています
  • そこにたくさんの貴重なデータ:財務データ、知的財産など
  • このようなターゲットのような犯罪者は、高い現金価値を返す可能性があります
  • 犯罪グループは、個人をデータセンター内に配置したり、従業員に悪質なタスクを強制することを嫌いません

アマゾンほどの大きさのサードパーティによっても、故意にまたはその他の方法でデータが漏洩するという問題を見落とさないでください。

6
Rory Alsop

S3を使用する場合SSE SAMを使用していない場合と同じように、適切なIAM認証情報を持つユーザーはS3オブジェクトを読み書きできます。一見すると、追加された唯一の利点のように見えますディスクドライブやバックアップなど、誰かがオフラインでS3にアクセスする状況からデータが保護されるということです(AWSが作成しているとは思えませんが、レプリケーションのみに依存している可能性がはるかに高いです)。それを他の方法と比較して、真のメリットを得ます。

S3を使用したクライアント側の暗号化に必要なコンポーネントは2つあります。それは、認証と承認のための暗号化キーとIAM認証情報です。サーバー側の暗号化を使用する場合は、IAM認証情報のみが必要です。

クライアント側の暗号化を使用する場合は、S3の暗号化されたデータへの読み取りおよび/または書き込みアクセス権を持つすべてのマシンに暗号化キーを配布する必要があります。どちらの場合も、IAM認証情報を配布する必要もあります。

マシンが侵害された場合、暗号化キーが侵害されます。侵入を知ったらすぐにIAM資格情報を無効にすることができます。IAMロールまたは一時的なIAM資格情報を使用する場合、攻撃者がアクセスできるのは、マシンを制御できる限りです(これは十分に悪いですが、世界の終わりではないかもしれません、あなたはまた次に何が起こるかを考える必要があります)。クライアント側の暗号化を使用すると、攻撃者は暗号化キーを入手し、侵害された暗号化キーで暗号化されたすべてのデータを再暗号化する必要があります。サーバー側の暗号化では、データを再暗号化する必要はありません。あなたも攻撃者も暗号化キーを持っていないためです。

休憩していなくても、ラップトップを紛失したり盗まれたり、知らない人が誰かに電子メールを送信したり、誰かが辞めたりして、暗号化キーが危険にさらされる可能性がある場合があります。彼らが物を持っていなかったことを完全に確信することはできません。この時点で暗号化キーは危険にさらされているため、おそらくすべてのデータを再暗号化する必要があります。それは大変な作業になる可能性があります。サーバー側の暗号化を使用すると、IAM認証情報を無効にして、新しい認証情報を発行するだけです。

上で述べたクライアント側の暗号化の問題を軽減する方法はおそらくあるでしょうが、私にとっては、S = 3でSSEを使用すると、自分で管理するよりも欠点が少ないように感じます。

最後に、AWSに暗号化キーを管理させることの安全性の問題があります。

AWSによると、暗号化キーを管理するシステムはS3とは別であり、誰かが外部からS3に侵入した場合、暗号化キーがないためデータを取得できません。キー管理システムのみに侵入した場合(おそらく外部から直接アクセスできない場合)、S3でデータにアクセスできないため、データを入手できません。データにアクセスするには、両方 S3とキー管理システムに侵入する必要があります。

代わりに物理データセンターに侵入した場合、キー管理システムとS3の両方に同時にアクセスする可能性がありますが、問題はこれにより状況が容易になるかどうかです。まず第一に、AWSを信頼して、人々がデータセンターに入らないようにする適切なセキュリティ対策を講じる必要があると思います。次に、実際にキー管理システムからキーを取得するには、それ以上のことを行う必要があります。単にいくつかのディスクドライブをヤンクします。 AWSは、キー管理システムがどのように保護されているかを正確に公開していない限り、複数のセキュリティ層で保護されていると言っているだけではありません。推測ですが、ディスク暗号化はおそらくその1つです。

5
Theo

多くの人が述べたように、ディスクが失われたり、何らかの方法でアクセスされた場合、これは確かにセキュリティのレベルを高めます(レイヤーを覚えていますか?)。しかし、セキュリティコンプライアンスの認定についてまだ誰も言及していないことは驚くべきことです。

知っている。これを読んでいる人の中には、すでに「認定はでたらめである」と考えているかもしれません。まあ...彼らはすることができます。しかし、適切に実行すれば、重要な機能を保証することができ、エンタープライズの世界では非常に重要です。特に、サービスを提供するために従業員がすべてのデータとコードに低レベルでアクセスする必要があるIaaSのプロバイダーにとっては。

したがって、ここでの脅威は、AWSがデータにアクセスできる(彼らが持っている)ではなく、特定のAWS従業員がデータにアクセスできることです。

記載されているすべてのプログラムを知っているわけではありません ここ は確かです。しかし、私はそれらのいくつかが職務の分離を必要とすると確信しています。これは、セキュリティ機能が必要とする場合、AWSが外部監査人に職務分離を適切に実装するよう説得する必要があることを意味します。この特定のケースでは、暗号化されたデータにアクセスできるAWSの担当者は暗号化キーにアクセスできず、暗号化キーにアクセスできる担当者はデータにアクセスできません。 。

したがって、はい、すでにキーとデータの両方でAWSを信頼する必要がありますが、これらの認定は、(会社内の)誰が何にアクセスできるかを制御することを保証することになっています。セキュリティの重要な部分でもある追加の信頼レベル。

一方、認定を希望するAWSのお客様も、保存されているデータの暗号化暗号化に準拠するために、これが必要になります。これは、鍵が適切に保管および管理されていることを保証する場合にのみ有効です。この機能とAWS認定があれば、AWSにそれを委任できます。

2
rui

S3で誰かがディスクに侵入するのを防ぐこともできます-(ユーモラスに)S3データが保存されたディスクが、作業中のウィンドウのブートドライブでもあると言いますXPボックス、そして誰かがXP=マシンに侵入します(物理的にはハックではありません)。その後、すべてのファイルがマシンに保存されますが、あなたのファイルは他のボックスに格納されているキーで暗号化されているため、すべての泥棒入手はデジタルゴミです。

たぶん、誰かがS3アレイに侵入する可能性は小さいですが、私は他のポスターを傍観し、キーが別の壁の後ろにあることに賭けます。また、アカウントごとに異なるキーを使用する可能性があります。

したがって、セキュリティはそれほど高くありませんが、存在します。 Dropboxにはストア用に1つの巨大な重複排除マップがあるため、アカウントごとに異なるキーで暗号化できる方法がわかりません。

1
Tom Andersen

他の回答は主に機能がほとんど役に立たないことを示唆しているため、情報セキュリティのベストプラクティスと規制の全体像を見て、それが存在する理由を理解する必要があります。

米国のプライバシー法(HIPAA、PCIなど)の現在の解釈では、すべての顧客データを保管時に暗号化する必要があります。 Amazonに保存されているデータをこの要件から除外する必要があると思われる場合は、その理由を企業の法務顧問に説明してみてください。頑張ってください。ルールは万能であり、ラップトップのハードドライブにも「安全な」データセンターのディスクアレイにも等しく適用されます。

Amazonの従業員の盗難が懸念される場合もありますが、この機能の主なセールスポイントは、保管中のデータの暗号化を必要とする可能性のある該当するベストプラクティスや規制の違反から企業を保護することです。

1
Alex R