私は、運転免許証や保険証などの個人情報を保持して、サイトのユーザーが本人であり、住んでいるところに住んでいるかどうかを確認しようとしているクライアントがあります(サイトは一種の証券会社です)。
この情報をAmazon S3などのオフサイトソリューションに保存することを検討していました。明らかに、サーバーから送信される前に暗号化され、必要なときにプルダウンされて復号化されますが、これで十分ですか?満たす必要のある追加のコンプライアンスレベルはありますか?
これについての無知を許してください。私は決してセキュリティの専門家ではありません。これが私たちが考慮すべきものであるかどうかを知りたいだけです。
純粋に技術的な観点から、アップロードする前に適切に暗号化し、クラウド内にある間は常に暗号化されている場合、データは非常に安全です。
ただし、満たす必要のある法的コンプライアンスのレベルがおそらくさらに高くなります。これは"個人を特定できる情報"であり、その取り扱いには多くの法律や規制が適用されます。あなたはあなたがする必要があることについて法的助言をする必要があります。
クライアントの管轄区域だけでなく、データの管轄区域、およびユーザーの管轄区域も考慮する必要があることに注意してください。 (それだけでは、S3を使用するのがさらに難しくなる可能性があります。そこに入力したデータを、ニューアークまたは東京に保管するか、Amazonがまだ教えていない他の場所に保管するかを制御する方法がないからです。)
Amazon EC2では、データを保存する場所を指定できます。
[ http://docs.aws.Amazon.com/AmazonS3/latest/dev/LocationSelection.html] [1] AWSリージョンに保存されたオブジェクトは、明示的に転送しない限り、そのリージョンを離れることはありません>別の地域。たとえば、EU(アイルランド)リージョンに保存されているオブジェクトは、それを離れることはありません。
安全性が「十分」であるかぎり、Amazonにアップロードする前にすべての暗号化を行うことを想定して決定する必要があります。そうすれば、安全性を100%完全に制御(および責任)できます。
重要なデータのコピーを異なる場所に保管して、潜在的な損失や混乱を防ぐことをお勧めします。
@Graham Hillが指摘したように 彼の答えで 、それが回線を上る前に適切に暗号化します。
Amazonでは S3オブジェクトの暗号化を希望することを指定 を許可していますが、 ドキュメントで認められているように を使用すると、前に情報を暗号化できます(そしてすべきです)それは彼らに届きます。保存前または保存中にオブジェクトに追加する独自の暗号化は、悪意のあるユーザーがAmazonのサーバーにアクセスするのを潜在的に保護するだけです。攻撃者がAmazonの内部データセンターにアクセスすることを考えてください。この場合でも、攻撃者がマシンへのrootアクセス権を持っているかのように、暗号化キーを簡単に抽出できるように、保護されているかどうかは明確ではありません。
最善のアドバイスは、よく知られている実証済みの方法を使用してファイルを暗号化することです。この場合は、おそらくPGP/GPG暗号化です。ただし、PGP暗号化の落とし穴は、内容を調べることでファイルタイプを判別するのが簡単なことです。
# encrypt myfile.jpg using PGP encryption to a new file called "things"
$ gpg --output things --encrypt --recipient [email protected] myfile.jpg
# what kind of file is "things"?
$ file things
things: GPG encrypted data
ただし、それがPGP暗号化ファイルであることを知っているからといって、特にランダムなファイル名を付けた場合、その内容がわかっているとは限りません。
さらに良い1 物事を行う方法は、TrueCryptを使用してファイルバックアップコンテナーを作成することです2、これはすべての目的と目的のために、実際にはそれが何であるかを明らかにしないバイナリブロブです。さらに、TrueCryptの 隠しボリューム 機能を使用して、自分自身を獲得することもできます もっともらしい否認性 。次のような楽しい名前を付けます。
$ uuid | sha256sum - | cut -b 1-64
a42815e0a68efac65903cdbbbbf2875ee082d3e5f4f8ee831cbbe27606a8399f
また、TrueCryptボリュームである、ランダムに生成された一貫性のない名前のバイナリBLOBが作成されます(追加の非表示ボリュームが含まれる可能性があります)。このファイルをダウンロードする人は誰でもファイルが何であるかを推測することはできません。非常に強力なパスフレーズを使用する場合、安全である必要があります。
偏執狂になりたいですか?これらのボリュームを大量に生成し、それぞれに独自の名前と非常に強力なパスフレーズを付けて、PGP/GPG暗号化ファイルをボリューム内に配置します。ボリュームには静的なサイズがあり、ボリューム内のファイルを変更すると大幅に変化します。
1 たぶん。
2 TrueCryptボリュームのセキュリティを怖がっていますか? セキュリティ監査を読む 、そしてフェーズI監査を読んだ後でも Bruce Schneierがそれを使用している であることを知っています。