Самые широкие возможности по обеспечению безопасности, соблюдению законодательных требований и аудиту
Храните свои данные в Amazon S3 и защитите их от несанкционированного доступа с помощью шифрования и инструментов ограничения доступа. S3 шифрует все объекты, передаваемые во все корзины. S3 – это единственный сервис хранения объектов с возможностью блокирования публичного доступа ко всем объектам в корзине или на уровне учетной записи с помощью функции S3 Block Public Access. S3 соответствует нормативам таких стандартов, как PCI-DSS, HIPAA/HITECH, FedRAMP, директивы ЕС по защите данных и FISMA, что позволяет выполнить законодательные требования. AWS поддерживает также разнообразные возможности аудита, чтобы отслеживать запросы доступа к вашим ресурсам в S3.
Управление безопасностью и доступом на Amazon S3
Для защиты данных в Amazon S3 по умолчанию пользователям предоставляется доступ только к созданным ими ресурсам S3. Доступ другим пользователям можно предоставить с помощью одного или нескольких из следующих возможностей управления доступом: AWS Identity and Access Management (IAM) для создания пользователей и управления правами доступа; списки управления доступом (ACL) для предоставления доступа к отдельным объектам авторизованным пользователям; политики корзины для настройки разрешений для всех объектов в одной корзине S3; аутентификация строки запроса для предоставления временного доступа другим пользователям с помощью краткосрочных URL-адресов. Amazon S3 также поддерживает журналы аудита, которые сохраняют запросы к ресурсам S3 для контроля действий пользователей и данных, которые они запрашивают.
Блокирование публичного доступа к S3
Всего несколькими щелчками в консоли управления S3 можно применить функцию блокирования публичного доступа к S3 к любым корзинам в аккаунте – как к существующим, так и тем, которые будут созданы в будущем, – и больше не беспокоиться о том, что к каким‑то из этих объектов возможен публичный доступ. Во всех новых корзинах по умолчанию включена функция блокировки публичного доступа. Чтобы ограничить доступ ко всем существующим корзинам в вашем аккаунте, вы можете включить блокировку публичного доступа на уровне аккаунта. Параметры блокирования публичного доступа в S3 переопределяют другие разрешения S3, которые его допускают. Благодаря этому администратор аккаунта легко обеспечит применение политики запрета публичного доступа, независимо от существующих разрешений доступа, способа добавления объекта или создания корзины.
Блокировка объектов S3
Блокировка объектов Amazon S3 делает невозможным удаление версий объектов в течение периода хранения, установленного клиентом. Эта возможность позволяет применять политики хранения в качестве дополнительного уровня защиты данных либо для соблюдения нормативных требований. Рабочие нагрузки можно перенести из существующих систем WORM (однократная запись, многократное считывание) в Amazon S3 и настроить Блокировку объектов S3 на уровне объектов или корзин, чтобы исключить удаление версий объектов до заданной даты, которую можно установить самостоятельно или в соответствии с нормативными требованиями.
Владение объектом S3
Amazon S3 Object Ownership отключает списки контроля доступа (ACL) и устанавливает владельца корзины в качестве владельца всех объектов в ней, что позволяет упростить управление доступом к данным, сохраненным в S3. Когда вы настраиваете в S3 Object Ownership параметр Принудительное назначение владельца корзины, для этой корзины и размещенных в ней объектов более не применяются разрешения, заданные списками контроля доступа. Любой контроль доступа после этого определяется политиками на основе ресурсов, пользовательскими политиками или их сочетанием. Для новых корзин списки управления доступом автоматически отключаются. С помощью S3 Inventory можно проверить использование списков управления доступом в корзинах, прежде чем включить право владения объектами S3 при переходе на политики корзин на основе IAM. Подробнее см. в этой статье.
Управление идентификацией и доступом
По умолчанию все ресурсы Amazon S3 – корзины, объекты и связанные подресурсы – являются частными: доступ к ресурсу имеет только владелец ресурса (аккаунт AWS, создавший его). Amazon S3 предоставляет варианты политики доступа, разбитые на крупные категории, такие как политики на основе ресурсов и пользовательские политики. Для управления разрешениями доступа к ресурсам Amazon S3 можно выбрать политики на основе ресурсов, пользовательские политики или любые их сочетания. По умолчанию владельцем объекта в S3 считается аккаунт, который создал этот объект, даже если он отличается от аккаунта владельца корзины. С помощью S3 Object Ownership вы можете переопределить это поведение и отключить списки контроля доступа. В этом случае каждый объект в корзине будет принадлежать владельцу корзины. Дополнительную информацию см. на странице Identity and access management in Amazon S3.
Amazon Macie
Выявляйте и защищайте конфиденциальные данные в любом масштабе в Amazon S3 с помощью нового сервиса Amazon Macie. Macie автоматически предоставляет полный перечень корзин S3 посредством сканирования корзин для выявления и категоризации данных. Вы получаете полезные отчеты о безопасности, содержащие перечень любых данных, которые подходят для этих типов конфиденциальных данных, в том числе персональную информацию (PII) (например, имена клиентов и номера кредитных карт), а также категорий, определенных правилами конфиденциальности, например GDPR и HIPAA. Macie также автоматически и непрерывно оценивает средства профилактического контроля на уровне корзин для любых корзин, которые являются не зашифрованными, общедоступными или находящимися в общем пользовании с аккаунтами за пределами вашей организации, что обеспечивает быстрое устранение нежелательных настроек в корзинах.
Шифрование
Amazon S3 автоматически шифрует все объекты, передаваемые во все корзины. Для передачи объектов Amazon S3 поддерживает шифрование на стороне сервера с четырьмя вариантами управления ключами – SSE-S3 (базовый уровень шифрования), SSE-KMS, DSSE-KMS и SSE-C – а также шифрование на стороне клиента. Amazon S3 предоставляет гибкие возможности обеспечения безопасности для предотвращения доступа неавторизованных пользователей к данным. Конечные точки VPC используются для подключения к ресурсам S3 из виртуального частного облака Amazon (Amazon VPC). Используйте S3 Inventory для проверки статуса шифрования объектов S3 (подробнее об S3 Inventory см. в разделе об управлении хранилищем).
Доверенный советник AWS
Trusted Advisor проверяет среду AWS и предоставляет рекомендации при появлении возможностей для устранения слабых мест системы безопасности.
Trusted Advisor выполняет такие проверки Amazon S3: проверка конфигурации ведения журналов для корзин Amazon S3, проверки безопасности корзин Amazon S3 с разрешениями на свободный доступ, проверки отказоустойчивости для корзин Amazon S3 с отключенным или приостановленным управлением версиями.
AWS PrivateLink для S3
Установите доступ к Amazon S3 напрямую как к частному адресу в вашей защищенной виртуальной сети с помощью AWS PrivateLink для S3. Упростите сетевую архитектуру, установив подключение к S3 из локальной сети или в облаке, используя частные IP-адреса из Virtual Private Cloud (VPC). Для получения доступа к S3 из локальной сети вам больше не придется использовать публичные IP-адреса, изменять правила брандмауэра или настраивать шлюз Интернета.
Проверка целостности данных
Пакеты AWS SDK новейших версий автоматически вычисляют для загрузок эффективные контрольные суммы на основе CRC. S3 самостоятельно проверяет контрольные суммы и принимает объекты только после подтверждения сохранения целостности данных при передаче через общедоступный Интернет. Если для загрузки объекта используется версия SDK без предварительного расчета контрольных сумм, S3 вычисляет контрольную сумму всего объекта на основе CRC даже при загрузке несколькими частями. Контрольные суммы хранятся в метаданных объекта, поэтому доступны для проверки целостности данных в любое время. Выбирайте один из пяти поддерживаемых алгоритмов контрольных сумм (SHA-1, SHA-256, CRC32, CRC32C или CRC64NVME) для проверки целостности данных в загружаемых и выгружаемых запросах. Автоматически считайте и проверяйте контрольные суммы при сохранении или извлечении данных из Amazon S3, а также получайте доступ к информации о контрольных суммах с помощью API S3 HeadObject, API S3 GetObjectAttributes или отчета S3 Inventory.
Как это работает
-
AWS PrivateLink для Amazon S3
-
Amazon Macie
-
Блокирование публичного доступа к S3
-
Amazon GuardDuty для S3
-
AWS PrivateLink для Amazon S3
-
Установите прямое частное соединение с Amazon S3 из локальной сети. Чтобы начать работу, ознакомьтесь с документацией AWS PrivateLink для S3.
-
Amazon Macie
-
Находите и защищайте конфиденциальные данные в любом масштабе. Чтобы начать работу с Amazon Macie, посетите веб-сайт.
-
Блокирование публичного доступа к S3
-
Заблокируйте публичный доступ к своим данным в Amazon S3 сразу и навсегда. Для получения дополнительных сведений о блокировании публичного доступа к S3 посетите веб-страницу.
-
Amazon GuardDuty для S3
-
Защитите свои данные в Amazon S3 с помощью интеллектуальных функций обнаружения угроз, непрерывного мониторинга и сканирования вредоносного ПО. Дополнительные сведения об Amazon GuardDuty для Amazon S3 см. на этой веб-странице.
Ресурсы Amazon S3 для обеспечения безопасности, управления доступом, шифрования и защиты данных
Прочитайте электронную книгу Безопасность и защита данных Amazon S3, чтобы узнать об инструментах и лучших практиках управления доступом, аудита и мониторинга, а также защиты данных.
В этом видеоролике с обзором защиты данных Amazon S3 вы узнаете о встроенных функциях защиты данных в Amazon S3, включая управление версиями S3, блокировку объектов S3 и репликацию S3. Вы получите краткий обзор каждой из этих функций защиты данных S3, узнаете, как они могут помочь вам достичь целей защиты данных, а также получите полезные советы по защите данных с помощью Amazon S3.
Организации постоянно создают и переносят критически важные для бизнеса цифровые ресурсы в Amazon S3. По мере переноса и использования ресурсов в рабочих процессах важно обеспечить неизменность файлов в результате повреждения сети, сбоя жесткого диска или других непреднамеренных проблем. Алгоритмы используются для сканирования файлов побайтно с целью создания для них уникальных отпечатков пальцев, известных как контрольные суммы. На этом вебинаре вы узнаете, как можно использовать контрольные суммы для проверки того, что ресурсы не были изменены при копировании. Ознакомьтесь с несколькими вариантами контрольных сумм Amazon S3 для ускорения проверки целостности данных и узнайте, как можно подтвердить, что каждый байт передается без изменений, что позволяет поддерживать непрерывную целостность данных.
Строгое следование лучшим практикам построения архитектуры и проактивным средствам контроля является основой безопасности хранения и контроля доступа. В этом видеоролике вы узнаете о передовых методах обеспечения безопасности данных в Amazon S3. Изучите основы архитектуры безопасности Amazon S3 и погрузитесь в последние усовершенствования в удобстве использования и функциональности. Рассмотрите варианты шифрования, контроля доступа, мониторинга безопасности, аудита и устранения последствий.
Amazon S3 автоматически шифрует все объекты, передаваемые во все корзины. Для передачи объектов Amazon S3 поддерживает шифрование на стороне сервера с четырьмя вариантами управления ключами – SSE-S3 (базовый уровень шифрования), SSE-KMS, DSSE-KMS и SSE-C – а также шифрование на стороне клиента. Amazon S3 предлагает детальное управление доступом для любой рабочей нагрузки. В этом видео вы узнаете о передовых методах шифрования и контроля доступа в Amazon S3.
После создания все ресурсы S3 по умолчанию являются частными и доступными только владельцу ресурса и администратору аккаунта. Данная схема обеспечения безопасности предусматривает возможность настройки детализированных политик доступа в соответствии с нормами организации, стандартами управления и безопасности, а также нормативными требованиями. В этом видео вы узнаете о различных способах управления доступом к данным с помощью политик Управления идентификацией и доступом AWS (IAM) и корзин S3.
S3 рассчитан на долговечность 99,999999999 %, отказоустойчивость и высокую доступность. Однако даже самое надежное хранилище не может защитить от неумышленного или случайного удаления. Кроме того, атаки программ-вымогателей являются основным поводом для оценки дополнительной защиты критически важных данных. Узнайте о дополнительных уровнях защиты S3, включая управление версиями, межрегиональную репликацию (CRR) и блокировку объектов S3.
Блоги о безопасности S3
Блог с новостями AWS
Amazon S3 по умолчанию шифрует новые объекты
Amazon S3 по умолчанию шифрует все новые объекты. Начиная с 5 января 2023 года, S3 автоматически применяет шифрование на стороне сервера (SSE-S3) для каждого нового объекта, если вы не укажете другой вариант шифрования. Это изменение автоматически вводит в действие еще один передовой метод обеспечения безопасности, не влияя на производительность и не требуя никаких действий с вашей стороны.
Блог с новостями AWS
Внимание: Изменения в системе безопасности Amazon S3 произойдут в апреле 2023 года
Начиная с апреля 2023 года, мы внесем два изменения в Amazon S3, чтобы автоматически ввести в действие наши последние передовые методы обеспечения безопасности корзин. Когда изменения вступят в силу для целевого региона, все вновь созданные корзины в регионе по умолчанию будут включать блокирование публичного доступа S3 и отключать списки контроля доступа.
Блог с новостями AWS
Упростите управление доступом к данным, хранящимся в Amazon S3
Новый параметр Amazon S3 Object Ownership, Bucket owner enforced, позволяет отключить все ACL, связанные с корзиной и объектами в ней. Когда вы применяете этот параметр на уровне корзины, все объекты в корзине становятся собственностью аккаунта AWS, который создал ее, и списки контроля доступа больше не используются для предоставления доступа.
БЛОГ AWS NEWS
Новое – двухуровневое шифрование Amazon S3 на стороне сервера с ключами, хранящимися в Сервисе управления ключами AWS (DSSE-KMS)
Теперь клиенты могут применять два независимых уровня шифрования на стороне сервера к объектам в Amazon S3. Двухуровневое шифрование на стороне сервера с ключами, хранящимися в сервисе управления ключами AWS (DSSE-KMS), разработано в соответствии с рекомендациями Агентства национальной безопасности CNSSP 15 для удовлетворения требованиям FIPS и пакету возможностей хранения данных (DAR CP) версии 5.0 по двухуровневому шифрованию CNSA. Amazon S3 — единственный облачный сервис хранения объектов, где клиенты могут применять два уровня шифрования на уровне объекта и управлять ключами данных, используемыми для обоих уровней.
Получите мгновенный доступ к уровню бесплатного пользования AWS.