Nous avons déjà expliqué comment l'utilisation de listes de contrôle permet d'éviter les erreurs de configuration, ce qui est une pratique utile pour la protection des données. Le chiffrement est l'une des pratiques les plus fondamentales en matière de protection des données, car il rend les données illisibles en cas de perte, de vol ou d'accès inapproprié. Par conséquent, l'une des principales erreurs de configuration d'AWS S3 consiste à ne pas activer le chiffrement côté serveur, car en le négligeant, on risque de laisser des informations confidentielles exposées en clair.
Le cryptage des données protège les données au repos (données stockées sur S3) et les données en transit (données voyageant vers/depuis S3). Les données en transit peuvent être protégées par SSL/TLS, tandis que les données au repos peuvent être protégées par un chiffrement côté serveur ou côté client.
Le chiffrement côté client exige que le client gère le processus de chiffrement, les outils et les clés, ce qui peut s'avérer assez long et coûteux à gérer pour les administrateurs de IT , et souvent trop complexe. Par conséquent, la plupart des organisations préfèrent le cryptage côté serveur, car Amazon gère les processus de cryptage de leurs données avant le stockage et de décryptage lorsqu'un utilisateur autorisé et authentifié y accède.
Amazon propose trois façons de déployer le chiffrement côté serveur :
- Amazon S3-Managed Keys (SSE-S3 ) - Amazon chiffre chaque objet avec une clé unique AES-256 (Advanced Encryption Standard) de 256 bits, puis chiffre cette clé avec une clé racine qui change fréquemment. Le SSE-S3 n'entraîne pas de frais supplémentaires, ce qui en fait une offre attrayante. Les organisations soucieuses de la sécurité des données devraient adopter cette offre d'entrée de gamme.
- Clés KMS stockées dans AWS Key Management Service (SSE-KMS) - KMS est l'offre premium d'Amazon, qui ajoute un système de gestion des clés pour un coût supplémentaire. Cette solution est plus intéressante pour les organisations matures qui ont besoin de définir des autorisations d'accès ou de fournir une piste d'audit pour la conformité.
- Clés fournies par le client (SSE-C ) - Semblables au chiffrement côté client, les clés fournies par le client exigent que ce dernier gère les clés de chiffrement, mais Amazon s'occupe toujours du chiffrement des données. Ce type d'approche peut être plus intéressant pour les organisations soucieuses de la sécurité et qui veulent éviter de mettre tous leurs œufs dans le même panier, mais il posera les mêmes problèmes de gestion que le chiffrement côté client.
Tout client d'Amazon utilisant SSE-C doit avoir une bonne compréhension de la cryptographie appliquée, sous peine de mettre en péril les données de son organisation. S'il se connecte par HTTP, Amazon rejettera la demande et sa clé risque d'être exposée. Pire encore, si le client perd sa clé de chiffrement, il ne peut pas accéder aux données. Par conséquent, SSE-S3 ou SSE-KMS peut être une approche plus facile à gérer pour la plupart des organisations.
Les organisations qui utilisent le SSE-S3 peuvent utiliser une stratégie pour les godets afin de chiffrer tous les objets d'un godet ou utiliser les commandes REST API pour chiffrer des objets spécifiques. Les options étant trop nombreuses pour être toutes expliquées, les organisations doivent consulter la documentation d'Amazon SSE-S3. De même, SSE-KMS offre des fonctionnalités de chiffrement similaires, ainsi qu'une flexibilité et un contrôle avancés (et des coûts), il est donc conseillé aux entreprises de consulter la documentation d'Amazon SSE-KMS. Amazon fournit même des conseils sur la manière de réduire les coûts de SSE-KMS grâce à des clés à godets.
Éviter les erreurs de configuration courantes avec OPSWAT
Lorsqu'il s'agit d'erreurs de configuration courantes, telles que l'activation du chiffrement côté serveur, les organisations devraient utiliser des listes de contrôle pour s'assurer qu'elles mettent en œuvre les meilleures pratiques. L'automatisation de ce processus à l'aide de la technologie permet d'éviter les erreurs manuelles coûteuses en temps et en argent.
MetaDefender Storage Security améliore sa solution de sécurité pour le stockage en nuage avec une liste de contrôle de sécurité intégrée, afin que les professionnels de la cybersécurité puissent s'assurer que le stockage en nuage de leur organisation n'est pas mal configuré lorsqu'il est approvisionné, ce qui inclut les étapes de développement et de production du stockage en nuage.
L'activation du chiffrement côté serveur est un élément important de la liste de contrôle de MetaDefender Storage Security , mais ce n'est pas le seul. Dans les prochains blogs, nous explorerons d'autres erreurs de configuration majeures pour la protection des données au repos.
Contactez un expert en cybersécurité à l'adresse OPSWAT pour en savoir plus.
Lire les blogs précédents de cette série :
