Tại AWS, bảo mật là ưu tiên hàng đầu. Bắt đầu từ hôm nay, Amazon Simple Storage Service (Amazon S3) mã hóa tất cả các đối tượng mới theo mặc định. Giờ đây, S3 tự động áp dụng mã hóa phía máy chủ (SSE-S3) cho từng đối tượng mới, trừ khi bạn chỉ định một tùy chọn mã hóa khác. SSE-S3 được ra mắt lần đầu tiên vào năm 2011. Như Jeff đã viết vào thời điểm đó : “Mã hóa từ phía máy chủ Amazon S3 xử lý tất cả quá trình mã hóa, giải mã và quản lý khóa theo cách hoàn toàn minh bạch. Khi bạn PUT một đối tượng, chúng tôi sẽ tạo một khóa duy nhất, mã hóa dữ liệu của bạn bằng khóa đó và sau đó mã hóa khóa bằng khóa [root].
Thay đổi này đặt một phương pháp bảo mật tốt nhất tự động có hiệu lực—không ảnh hưởng đến hiệu suất và bạn không cần thực hiện hành động nào. Các bộ chứa S3 không sử dụng mã hóa mặc định giờ đây sẽ tự động áp dụng SSE-S3 làm cài đặt mặc định. Các bộ chứa hiện có đang sử dụng mã hóa mặc định của S3 sẽ không thay đổi.
Như thường lệ, bạn có thể chọn mã hóa các đối tượng của mình bằng một trong ba tùy chọn mã hóa mà AWS cung cấp: S3 default encryption (SSE-S3, the new default), customer-provided encryption keys (SSE-C), hoặc AWS Key Management Service keys (SSE-KMS). Để có một lớp mã hóa bổ sung, bạn cũng có thể mã hóa các đối tượng ở phía máy khách, sử dụng các thư viện máy khách như Amazon S3 encryption client.
Mặc dù kích hoạt rất đơn giản nhưng bản chất của SSE-S3 có nghĩa là bạn phải chắc chắn rằng nó luôn được định cấu hình trên các bộ chứa mới và xác minh rằng nó vẫn được định cấu hình đúng theo thời gian. Đối với các tổ chức yêu cầu tất cả các đối tượng của họ vẫn được mã hóa khi lưu trữ với SSE-S3, bản cập nhật này giúp đáp ứng các yêu cầu tuân thủ mã hóa của họ mà không cần bất kỳ công cụ bổ sung hoặc thay đổi cấu hình máy khách nào.
Với thông báo ngày hôm nay, giờ đây chúng tôi đã biến nó thành “không cần nhấp chuột” để bạn áp dụng mức mã hóa cơ bản này trên mọi bộ chứa S3.
Xác minh các đối tượng của bạn được mã hóa
Thay đổi hiện có trong nhật ký sự kiện dữ liệu AWS CloudTrail. Bạn sẽ thấy các thay đổi trong phần S3 của AWS Management Console, Amazon S3 Inventory, Amazon S3 Storage Lens và dưới dạng tiêu đề bổ sung trong AWS CLI và AWS SDK trong vài tuần tới. AWS sẽ cập nhật tài liệu và bài đăng trên blog này khi trạng thái mã hóa khả dụng trong các công cụ này ở tất cả các AWS Regions.
Để xác minh thay đổi có hiệu lực trên các bộ chứa của bạn hôm nay, bạn có thể định cấu hình CloudTrail để ghi lại các sự kiện dữ liệu. Theo mặc định, các trails không ghi lại các sự kiện dữ liệu và bạn phải trả thêm phí để kích hoạt nó. Sự kiện dữ liệu hiển thị các thao tác tài nguyên được thực hiện trên hoặc trong tài nguyên, chẳng hạn như khi người dùng tải tệp lên bộ chứa S3. Bạn có thể ghi nhật ký sự kiện dữ liệu cho Amazon S3 buckets, AWS Lambda functions, Amazon DynamoDB tables hoặc kết hợp những thứ đó.
Sau khi được bật, hãy tìm kiếm PutObject API để tải tệp lên hoặc InitiateMultipartUpload tải lên nhiều phần. Khi Amazon S3 tự động mã hóa một đối tượng bằng cài đặt mã hóa mặc định, nhật ký sẽ bao gồm trường sau dưới dạng name-value: “SSEApplied”:”Default_SSE_S3″. Dưới đây là ví dụ về nhật ký CloudTrail (có bật ghi nhật ký sự kiện dữ liệu) khi tôi tải tệp lên một trong các bộ chứa của mình bằng lệnh AWS CLI aws s3 cp backup.sh s3://private-sst.
Tùy chọn mã hóa Amazon S3
Như tôi đã viết trước đó, SSE-S3 hiện là mức mã hóa cơ sở mới khi không có loại mã hóa nào khác được chỉ định. SSE-S3 sử dụng mã hóa Advanced Encryption Standard (AES) với các khóa 256 bit do AWS quản lý.
Bạn có thể chọn mã hóa các đối tượng của mình bằng SSE-C hoặc SSE-KMS thay vì bằng SSE-S3 , dưới dạng cài đặt mã hóa mặc định “một cú nhấp chuột” trên bộ chứa hoặc cho các đối tượng riêng lẻ trong các PUT requests.
SSE-C cho phép Amazon S3 thực hiện mã hóa và giải mã đối tượng của bạn trong khi bạn vẫn giữ quyền kiểm soát các khóa dùng để mã hóa đối tượng. Với SSE-C, bạn không cần triển khai hoặc sử dụng thư viện phía máy khách để thực hiện mã hóa và giải mã các đối tượng bạn lưu trữ trong Amazon S3, nhưng bạn cần quản lý các khóa mà bạn gửi tới Amazon S3 để mã hóa và giải mã các đối tượng.
Với SSE-KMS , AWS Key Management Service (AWS KMS) quản lý các khóa mã hóa của bạn. Sử dụng AWS KMS để quản lý mang lại một số lợi ích bổ sung. Với AWS KMS, có các quyền riêng biệt để sử dụng KMS key, cung cấp lớp kiểm soát bổ sung cũng như bảo vệ chống truy cập trái phép vào các đối tượng được lưu trữ trong Amazon S3. AWS KMS cung cấp một lộ trình kiểm tra để có thể biết ai đã sử dụng khóa của mình để truy cập vào đối tượng nào và khi nào, cũng như xem những nỗ lực truy cập dữ liệu không thành công từ người dùng mà không được phép giải mã dữ liệu.
Khi sử dụng thư viện máy khách mã hóa, chẳng hạn như the Amazon S3 encryption client, bạn giữ quyền kiểm soát các khóa và hoàn tất quá trình mã hóa cũng như giải mã các đối tượng phía máy khách bằng cách sử dụng thư viện mã hóa do bạn chọn. Mã hóa các đối tượng trước khi chúng được gửi tới Amazon S3 để lưu trữ. SDK AWS Java, .Net, Ruby, PHP, Go và C++ hỗ trợ mã hóa phía máy khách.
Bạn có thể làm theo hướng dẫn trong bài đăng trên blog này nếu muốn mã hóa hồi tố các đối tượng hiện có trong bộ chứa của mình.
Về TechX Corp.
TechX Corp. là đối tác AWS tại Việt Nam được thành lập năm 2019 bởi các chuyên gia có trên 15 năm kinh nghiệm đến từ các công ty đa quốc gia và tập đoàn đi đầu về chuyển đổi số. Sứ mệnh của TechX là tạo lập môi trường cho những con người đầy đam mê, nhiệt huyết thỏa sức khám phá và kiến tạo, mang đến những sản phẩm công nghệ đơn giản và thân thiện, góp phần đẩy nhanh quá trình xây dựng một Việt Nam số trên nền tảng công nghệ điện toán đám mây.
TechX 2 năm liền nhận danh hiệu Đối tác AWS của năm – AWS Partner of the Year tại Việt Nam
