Funzionalità di audit, conformità e sicurezza senza uguali
Archivia i dati in Amazon S3 e proteggili da accessi non autorizzati con funzioni di crittografia e strumenti di gestione degli accessi. S3 crittografa tutti i caricamenti di oggetti su tutti i bucket. S3 è l'unico servizio di storage di oggetti che consente di bloccare l'accesso pubblico a tutti i tuoi oggetti a livello di bucket o di account con l'accesso pubblico del blocco S3. S3 gestisce programmi di conformità, quali PCI-DSS, HIPAA/HITECH, FedRAMP, EU Data Protection Directive e FISMA, per aiutarti a soddisfare i requisiti normativi. AWS supporta inoltre diverse funzionalità di auditing per monitorare le richieste di accesso alle risorse S3.
Gestione della sicurezza e degli accessi di Amazon S3
Per impostazione predefinita, al fine di proteggere i dati in Amazon S3 gli utenti hanno accesso solo alle risorse S3 da loro create. Puoi garantire l'accesso ad altri utenti utilizzando una o più delle seguenti caratteristiche di gestione degli accessi: AWS Identity and Access Management (IAM), per creare utenti e gestirne gli accessi; liste di controllo accessi (ACL), per rendere singoli oggetti accessibili a utenti autorizzati; policy bucket, per configurare le autorizzazioni per tutti gli oggetti all'interno di un singolo bucket S3; autenticazione stringa di query, per consentire ad altri accesso a tempo limitato tramite URL temporanei. Amazon S3 supporta anche i log di audit che elencano le richieste effettuate sulle risorse S3 per una visibilità completa su chi accede a quali dati.
S3 Blocco dell'accesso pubblico
Con pochi clic nella console di gestione S3 è ora possibile applicare S3 Blocco dell'accesso pubblico a ogni bucket del proprio account, sia esistente che di futura creazione, e assicurarsi che non venga effettuato l'accesso pubblico ad alcun oggetto. Di default, in tutti i nuovi bucket è abilitato il Blocco dell'accesso pubblico. Per limitare l'accesso a tutti i bucket esistenti nel tuo account, puoi abilitare Blocco dell'accesso pubblico a livello di account. Le impostazioni S3 Blocco dell'accesso pubblico sovrascrivono le autorizzazioni S3 che consentono tale accesso; ciò semplifica l’impostazione, da parte dell’amministratore, di un controllo centralizzato che impedisca modifiche nella configurazione della sicurezza indipendentemente dalla modalità di aggiunta di un oggetto o dalla creazione di un bucket.
S3 Object Lock
Amazon S3 Object Lock blocca l'eliminazione della versione degli oggetti durante un periodo di conservazione definito dal cliente, consentendogli di applicare criteri di conservazione come il livello aggiuntivo di protezione dei dati o la conformità normativa. Puoi migrare i carichi di lavoro dai sistemi WORM (Write-Once-Read-Many) esistenti ad Amazon S3 e configurare S3 Object Lock a livello di oggetto e di bucket per prevenire l'eliminazione della versione degli oggetti prima della data di fine conservazione o della data di conservazione di carattere legale predefinita.
S3 Proprietà dell'oggetto
La proprietà degli oggetti di Amazon S3 ha disabilitato la lista di controllo accessi (ACL), modificando la proprietà di tutti gli oggetti al proprietario del bucket e semplificando la gestione degli accessi per i dati archiviati in S3. Nel configurare l'impostazione forzata del proprietario del bucket di proprietà degli oggetti S3, gli ACL non influiranno più sulle autorizzazioni per il bucket e gli oggetti in esso contenuti. Tutto il controllo degli accessi verrà definito utilizzando criteri basati sulle risorse, criteri utente o una combinazione dei due. Le ACL vengono automaticamente disabilitate per i nuovi bucket. Puoi utilizzare S3 Inventory per esaminare l'utilizzo delle ACL nei bucket prima di abilitare S3 Object Ownership durante la migrazione a policy dei bucket basate su IAM. Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti.
Identity and Access Management
Per impostazione predefinita, tutte le risorse di Amazon S3 (bucket, oggetti e relative sottorisorse) sono private: solo il proprietario della risorsa, l'account AWS che l'ha creata, può accedervi. Amazon S3 offre opzioni di policy ampiamente categorizzate come policy basate sulle risorse e policy utente. Puoi scegliere di utilizzare le policy basate sulle risorse, le policy utente o alcune combinazioni delle suddette per gestire le autorizzazioni alle tue risorse di Amazon S3. Di default, un oggetto S3 è di proprietà dell'account che ha creato l'oggetto, anche quando questo account è diverso dal proprietario del bucket. È possibile utilizzare Proprietà oggetto S3 per disabilitare la lista di controllo accessi e modificare questo comportamento. Se è così, ogni oggetto in un bucket è proprietà del proprietario del bucket. Per ulteriori informazioni, consulta Identity and Access Management su Amazon S3..
Amazon Macie
Individua e proteggi i tuoi dati sensibili su vasta scala in Amazon S3 con Amazon Macie. Macie fornisce automaticamente un inventory completo di bucket S3 scansionando i bucket per identificare e categorizzare i dati. Fai scoperte sulla sicurezza direttamente realizzabili elencando tutti i dati corrispondenti ai tipi di dati sensibili, come quelli che consentono l'identificazione personale (ad esempio i nomi dei clienti o delle carte di credito) e le categorie definite dai regolamenti sulla privacy, come il GDPR e gli standard HIPAA. Inoltre, Macie valuta automaticamente e continuamente i controlli preventivi a livello di bucket per tutti i bucket non crittografati, accessibili pubblicamente o condivisi con gli account al di fuori dell'organizzazione, permettendo di identificare rapidamente le impostazioni indesiderate sui bucket.
Crittografia
Amazon S3 crittografa automaticamente tutti i caricamenti di oggetti su tutti i bucket. Per i caricamenti di oggetti, Amazon S3 supporta la crittografia lato server con quattro opzioni di gestione delle chiavi: DSSE-KMS, SSE-KMS, SSE-C e SSE-S3 (il livello base di crittografia), nonché la crittografia lato client. Amazon S3 offre funzionalità di sicurezza flessibili per impedire a utenti non autorizzati di accedere ai tuoi dati. Utilizza gli endpoint VPC per connettere le risorse S3 dal tuo Amazon Virtual Private Cloud (Amazon VPC). Utilizza S3 Inventory per controllare lo stato della crittografia dei tuoi oggetti S3 (consulta gestione dello storage per ulteriori informazioni su S3 Inventory).
AWS Trusted Advisor
Trusted Advisor esamina l'ambiente AWS e invia suggerimenti se riscontra dei modi per aiutare a risolvere problemi relativi alla sicurezza.
Trusted Advisor prevede i seguenti controlli relativi ad Amazon S3: configurazione di log dei bucket di Amazon S3, controlli di sicurezza per i bucket di Amazon S3 con autorizzazioni di accesso libero e controlli di tolleranza ai guasti per i bucket di Amazon S3 con controllo di versione disabilitato o sospeso.
AWS PrivateLink per S3
Accedi ad Amazon S3 direttamente come endpoint privato all'interno della tua rete virtuale sicura con AWS PrivateLink per S3. Semplifica l'architettura della tua rete connettendoti a S3 in locale o al cloud, utilizzando indirizzi IP privati dal Virtual Private Cloud (VPC). Non devi più utilizzare IP pubblici, configurare le regole del firewall o un gateway Internet per accedere a S3 da ambienti On-Premise.
Verifica l’integrità dei dati
Per impostazione predefinita, gli SDK AWS più recenti calcolano automaticamente checksum efficienti basati sul CRC per tutti i caricamenti. S3 verifica in modo indipendente tale checksum e accetta gli oggetti solo dopo aver confermato che l'integrità dei dati è stata mantenuta durante il transito sulla rete Internet pubblica. Quando, per caricare un oggetto, viene utilizzata una versione dell'SDK che non fornisce checksum precalcolati, S3 ne calcola uno basato sul CRC dell'intero oggetto, anche per i caricamenti in più parti. I checksum sono memorizzati nei metadati degli oggetti e sono quindi disponibili per verificare l'integrità dei dati in qualsiasi momento. È possibile scegliere tra cinque algoritmi checksum supportati (SHA-1, SHA-256, CRC32, CRC32C o CRC64NVME) per il controllo dell’integrità dei dati nelle richieste di caricamento e download. Calcola e verifica automaticamente i checksum mentre archivi o recuperi dati da Amazon S3, accedendo alle informazioni relative al checksum in qualunque momento tramite l'API S3 HeadObject, l'API S3 GetObjectAttributes o il report sull’inventario S3.
Come funziona
-
AWS PrivateLink per Amazon S3
-
Amazon Macie
-
Blocco dell'accesso pubblico S3
-
Amazon GuardDuty per S3
-
AWS PrivateLink per Amazon S3
-
Stabilisci una connessione privata diretta da locale ad Amazon S3. Per iniziare a usarlo, leggi la documentazione AWS PrivateLink per S3.
-
Amazon Macie
-
Individua e proteggi i tuoi dati sensibili su vasta scala. Per iniziare a usare Amazon Macie, visita il sito Web.
-
Blocco dell'accesso pubblico S3
-
Blocca tutti gli accessi pubblici ad Amazon S3, ora e in futuro. Per ulteriori informazioni sul blocco dell'accesso pubblico S3, visita la pagina Web.
-
Amazon GuardDuty per S3
-
Proteggi i dati di Amazon S3 con il rilevamento intelligente di minacce, il monitoraggio continuo e la scansione dei malware. Per ulteriori informazioni su Amazon GuardDuty per Amazon S3, visita la pagina Web.
Risorse di sicurezza, gestione degli accessi, crittografia e protezione dei dati di Amazon S3
Leggi l'eBook Protezione di sicurezza e dati di Amazon S3 per scoprire gli strumenti e le best practice relativi a gestione degli accessi, monitoraggio e audit, e protezione dei dati.
In questo video di panoramica sulla protezione dei dati di Amazon S3, scoprirai le funzionalità di protezione dei dati native in Amazon S3, tra cui Controllo delle versioni S3, S3 Object Lock e Replica S3. Otterrai una breve panoramica di ciascuna di queste funzionalità di protezione dei dati di S3, scoprirai come queste funzionalità possono aiutarti a raggiungere i tuoi obiettivi di protezione dei dati e riceverai suggerimenti utili su come proteggere i tuoi dati utilizzando Amazon S3.
Le organizzazioni creano e migrano costantemente risorse digitali business-critical in Amazon S3. Poiché le risorse vengono migrate e utilizzate nei flussi di lavoro, è importante garantire che i file rimangano inalterati da danneggiamenti della rete, guasti del disco rigido o altri problemi non intenzionali. Gli algoritmi vengono utilizzati per scansionare i file byte per byte per generare impronte digitali univoche per loro, note come checksum. In questo tech talk, scopri come utilizzare i checksum per verificare che le risorse non vengano alterate quando vengono copiate. Esplora diverse opzioni di checksum di Amazon S3 per accelerare il controllo dell'integrità dei dati e scopri come verificare che ogni byte venga trasferito senza alterazioni, consentendoti di mantenere l'integrità dei dati end-to-end.
La forte aderenza alle best practice di architettura e ai controlli proattivi è il fondamento della sicurezza dello storage e dei controlli degli accessi. In questo video, scopri le best practice per la sicurezza dei dati in Amazon S3. Rivedi i principi fondamentali dell'architettura di sicurezza di Amazon S3 e approfondisci gli ultimi miglioramenti in termini di usabilità e funzionalità. Valuta le opzioni per la crittografia, il controllo degli accessi, il monitoraggio della sicurezza, il controllo e la correzione.
Amazon S3 crittografa automaticamente tutti i caricamenti di oggetti su tutti i bucket. Per i caricamenti di oggetti, Amazon S3 supporta la crittografia lato server con quattro opzioni di gestione delle chiavi: DSSE-KMS, SSE-KMS, SSE-C e SSE-S3 (il livello base di crittografia), nonché la crittografia lato client. Amazon S3 offre controlli di accesso granulari adatti a qualsiasi carico di lavoro. In questo video scoprirai le best practice per la crittografia e il controllo degli accessi di Amazon S3.
Al momento della creazione e per impostazione predefinita, tutte le risorse S3 sono private e possono accedervi solo il proprietario della risorsa o l’amministratore dell’account. Questa misura di sicurezza consente di configurare policy di accesso ottimizzate che soddisfano i requisiti in termini di organizzazione, governance, sicurezza e conformità. In questo video, scopri i diversi modi in cui puoi gestire l'accesso ai tuoi dati utilizzando AWS Identity and Access Management (IAM) e le policy dei bucket S3.
S3 è progettato per garantire il 99,999999999% di durabilità, resilienza affidabile e alta disponibilità. Tuttavia, nemmeno l'archiviazione più resistente può proteggere dalle eliminazioni involontarie o accidentali. Inoltre, gli eventi ransomware sono uno dei motivi principali per valutare un'ulteriore protezione per i dati più importanti. Scopri le funzionalità di S3 che forniscono ulteriori livelli di protezione, tra cui il controllo delle versioni S3, la replica tra regioni di S3 (S3 CRR) e S3 Object Lock.
Blog sulla sicurezza S3
Blog AWS News
Amazon S3 crittografa i nuovi oggetti per impostazione predefinita
Amazon S3 crittografa tutti i nuovi oggetti per impostazione predefinita. A partire dal 5 gennaio 2023, S3 applica automaticamente la crittografia lato server (SSE-S3) per ogni nuovo oggetto a meno che non si specifichi un'opzione di crittografia diversa. Questa modifica mette automaticamente in atto un'altra best practice di sicurezza, senza alcun impatto sulle prestazioni e nessuna azione richiesta da parte tua.
Blog AWS News
Avviso: le modifiche alla sicurezza di Amazon S3 arriveranno nell'aprile del 2023
A partire da aprile 2023, apporteremo due modifiche ad Amazon S3 per applicare automaticamente le nostre best practice più recenti per la sicurezza dei bucket. Una volta che le modifiche sono entrate in vigore per una regione di destinazione, per impostazione predefinita tutti i bucket appena creati nella regione avranno Blocco dell'accesso pubblico S3 abilitato e le ACL disabilitate.
Blog AWS News
Semplifica la gestione degli accessi per i dati archiviati in Amazon S3
La nuova impostazione Proprietà oggetto Amazon S3, Proprietario del bucket applicato, consente di disabilitare tutte le ACL associate a un bucket e agli oggetti in esso contenuti. Quando applichi questa impostazione a livello di bucket, tutti gli oggetti nel bucket diventano di proprietà dell'account AWS che ha creato il bucket e le ACL non vengono più utilizzate per concedere l'accesso.
BLOG AWS NEWS
Novità – Crittografia lato server a doppio livello di Amazon S3 con chiavi archiviate in AWS Key Management Service (DSSE-KMS)
I clienti possono ora applicare due livelli indipendenti di crittografia lato server agli oggetti in Amazon S3. La crittografia lato server a doppio livello con chiavi archiviate in AWS Key Management Service (DSSE-KMS) è progettata per soddisfare le linee guida della National Security Agency CNSSP 15 per la conformità FIPS e le linee guida Data-at-Rest Capability Package (DAR CP) versione 5.0 per due livelli di crittografia CNSA. Amazon S3 è l'unico servizio di storage di oggetti nel cloud in cui i clienti possono applicare due livelli di crittografia a livello di oggetto e controllare le chiavi di dati utilizzate per entrambi i livelli.
Ulteriori informazioni sulle caratteristiche di Amazon S3.
Ottieni l'accesso immediato al piano gratuito di AWS.
Inizia subito a utilizzare Amazon S3 nella Console di gestione AWS.