以前、チェックリストを使用することで設定ミスを回避できることをご紹介しましたが、これはデータ保護に役立つプラクティスです。暗号化はデータ保護において最も基本的なプラクティスの1つであり、紛失、盗難、その他不適切なアクセスがあった場合にデータを読めなくするからだ。従って、AWS S3の主要な設定ミスは、サーバー側の暗号化を有効にしていないことである。
データの暗号化は、データアットレスト(S3に保存されたデータ)とデータイントランジット(S3との間でやり取りされるデータ)を保護する。送信中のデータはSSL/TLSで保護され、送信中のデータはサーバーサイドの暗号化またはクライアントサイドの暗号化で保護される。
クライアントサイドの暗号化は、顧客が暗号化プロセス、ツール、キーを管理する必要があり、IT 管理者が管理するには時間とコストがかかり、複雑すぎることも多い。その結果、ほとんどの組織はサーバーサイドの暗号化を好む。なぜなら、Amazonはデータを保存する前に暗号化し、認証されたユーザーによってアクセスされたときに復号化するプロセスを管理するからだ。
アマゾンは、サーバーサイドの暗号化を導入する3つの方法を提供している:
- Amazon S3-Managed Keys (SSE-S3) - Amazonは各オブジェクトを一意の256ビットのAES-256 (Advanced Encryption Standard)キーで暗号化し、そのキーを頻繁に入れ替わるルート・キーで暗号化する。SSE-S3には追加料金がかからないため、魅力的なサービスとなっている。データ・セキュリティに関心のある組織は、このエントリー・レベルの製品を受け入れるべきである。
- AWS鍵管理サービス(SSE-KMS)に保管されたKMS鍵- KMSは、追加コストで鍵管理システムを追加するアマゾンのプレミアム・サービスである。このソリューションは、アクセス許可を設定したり、コンプライアンスのために監査証跡を提供する必要がある成熟した組織にとってより魅力的である。
- Customer-Provided Keys (SSE-C) - クライアント側での暗号化と同様、顧客が提供する鍵は、顧客が暗号鍵を管理する必要があるが、データの暗号化はAmazonが行う。この種のアプローチは、1つのバスケットにすべての卵を入れることを避けたいセキュリティ意識の高い組織にとってより魅力的かもしれないが、クライアント側暗号化と同じ管理上の問題が発生する。
SSE-Cを使用するアマゾンの顧客は、応用暗号技術を十分に理解している必要がある。もしHTTPを使って接続すれば、アマゾンはリクエストを拒否し、彼らの鍵が漏洩する可能性がある。さらに悪いことに、顧客が暗号鍵を紛失した場合、データにアクセスできなくなる。その結果、SSE-S3やSSE-KMSの方が、ほとんどの組織にとって管理しやすいアプローチとなる。
SSE-S3を使用している組織は、バケット・ポリシーを使用してバケット内の全てのオブジェクトを暗号化することもできるし、RESTAPI コマンドを使用して特定のオブジェクトを暗号化することもできる。オプションが多すぎてすべてを説明できないので、組織はAmazon SSE-S3 のドキュメントを確認する必要がある。同様に、SSE-KMS は同様の暗号化機能を提供し、高度な柔軟性と制御(そしてコスト)を提供する。Amazonは、バケット・キーでSSE-KMSのコストを抑える方法についてのアドバイスも提供している。
よくある設定ミスを防ぐOPSWAT
サーバーサイドの暗号化の有効化など、よくある設定ミスに関しては、組織はチェックリストを使用して、ベストプラクティスを確実に実施する必要がある。このプロセスをテクノロジーで自動化すれば、時間とコストのかかる手作業によるミスを避けることができる。
MetaDefender Storage Securityサイバーセキュリティの専門家が、組織のクラウドストレージがプロビジョニングされる際(クラウドストレージの開発段階と本番段階を含む)に、誤った設定がされていないことを確認できるように、統合されたセキュリティ・チェックリストでクラウドストレージ・セキュリティ・ソリューションを強化する。
サーバーサイドの暗号化を有効にすることは、MetaDefender Storage Security における主要なチェック項目ですが、それだけではありません。今後のブログでは、静止状態のデータを保護するためのその他の主要な設定エラーについて説明します。
詳細については、OPSWAT サイバーセキュリティの専門家にお問い合わせください。
このシリーズの過去のブログを読む
