¿Contra qué protege el cifrado del lado del servidor S3 de Amazon?

La respuesta corta es esta: no tenemos idea, probablemente ninguna.

podría proteger contra copias de seguridad robadas. Pero eso supone que Amazon incluso hace copias de seguridad. Eso parece muy improbable. Si lo hicieron, ¿por qué no pudieron recuperar los datos de su última pérdida de datos S3? Es mucho más barato y más eficiente solo para usar múltiples copias en vivo.

Además, Amazon necesitaría las claves en cada acceso. Por lo tanto, parece muy poco probable que almacenen las claves en cualquier lugar que no sea aproximadamente los mismos lugares donde almacenan los datos. Entonces, si está imaginando un robo de dispositivos de datos en vivo, es muy probable que ellos también obtengan las llaves.

Pero no sabemos cómo Amazon almacena, replica y / o realiza copias de seguridad de los datos. Tampoco sabemos dónde almacenan las llaves o cómo las distribuyen. Sin embargo, todavía no he escuchado un argumento plausible de que exista una amenaza realista contra la que protejan. La teoría de las "copias de seguridad robadas" parece basarse en la falsa premisa de que Amazon utiliza las copias de seguridad cuando todas las pruebas sugieren que usan copias múltiples en vivo con las claves muy cerca.

El cifrado de Dropbox, sin embargo, protege contra un modelo de amenaza real, aunque es muy poco probable que sea muy . Dropbox almacena sus propias claves y las envía a usted, por lo que lo protege de un empleado deshonesto de Amazon. A cambio, eres vulnerable a un empleado falso de Dropbox o error de seguridad de Dropbox.

Mi propia opinión es que Amazon agregó esta función solo para que puedan decir que los datos se pueden almacenar encriptados. Algunas personas compararán sin pensar las casillas de verificación en las listas de funciones y Amazon quiso una casilla de verificación en la línea "segura / encriptada". De cualquier manera, el vínculo más débil es, probablemente, la red interna y la seguridad humana de Amazon y la validez de la implementación del código que decide si se deben permitir los accesos o no.

  

Supongo que evita que alguien entre al centro de datos de AWS y agarre un disco duro, pero eso parece muy improbable, y presumiblemente cualquiera con acceso así podría obtener las claves AES, donde sea que estén almacenadas.

El comentario de Gilles responde efectivamente a tu pregunta, de verdad, pero iré con una respuesta más larga porque soy agradable. El cifrado del disco lo protege contra la pérdida de datos cuando un disco se roba y la clave no se lo roban. Dichos ejemplos podrían ser, como dice Gilles, copias de seguridad robadas, pero también podrían estar en computadoras portátiles en movimiento, o desechar discos duros para evitar intentos significativos de recuperar datos de sus discos retirados.

El cifrado del disco no es de gran ayuda cuando se juntan la clave y el disco, porque la seguridad se basa en la clave y si la clave puede ser interceptada, los datos se pueden descifrar. La clave y el disco están siempre muy cerca por necesidad cuando el sistema operativo está encendido y está usando el disco (cada lectura requiere esa clave) para que cualquier persona cercana que pueda interceptar razonablemente la clave pueda leer los datos. Por supuesto, debe poder recuperar la clave para realizar cualquier tipo de ataque, por lo que es un poco más difícil que solo copiar un disco duro (pero no mucho). Así que básicamente, sí, tienes razón.

Sin embargo, sigue siendo una buena idea proteger sus discos para minimizar la pérdida potencial de datos a través de cosas como el robo y la eliminación de discos. No sabes qué o cómo lo hace Amazon para destruir esos discos, por lo que si tienes información valiosa de algún tipo, tenerlos cifrados es una gran idea.

  

Entonces, ¿cuál es el punto, realmente? ¿Solo para decir que los datos están "encriptados"?

Eso es realmente un factor posible. Como digo, hay beneficios tangibles de encriptar los datos que no son exactamente los que usted podría esperar, pero aún existen. Dicho esto, he tenido los requisitos de los clientes de que los datos se cifren en el servidor finalizando en un escenario similar a un punto de marketing (ciframos sus datos). Creo que hay un desafío educativo para las personas de seguridad.

Algunas cosas para recordar:

• Amazon es utilizado por un gran número de compañías
• Gran cantidad de datos valiosos: datos financieros, propiedad intelectual, etc.
• A los delincuentes les gustan objetivos como este, que pueden devolver un alto valor en efectivo
• Los grupos delictivos no son reacios a colocar individuos dentro de los centros de datos, o obligar a los empleados a realizar tareas infames

No pase por alto el problema de que sus datos sean filtrados, de forma deliberada o no, por terceros, incluso los tan grandes como Amazon.

Cuando usas S3 SSE, cualquier persona con las credenciales IAM adecuadas puede leer y / o escribir tus objetos S3, como si no estuvieras usando SSE. A primera vista, parece que el único beneficio adicional es que los datos están protegidos de situaciones en las que alguien obtiene acceso a S3 de forma desconectada, como unidades de disco o copias de seguridad (lo cual dudo que haga AWS, es mucho más probable que confíen en) sólo replicación). Sin embargo, creo que necesita compararlo con la alternativa para obtener los beneficios reales:

Hay dos componentes necesarios para el cifrado del lado del cliente con S3: una clave de cifrado y credenciales IAM para la autenticación y autorización. Cuando utilice el cifrado del lado del servidor, solo necesita las credenciales IAM.

Al usar el cifrado del lado del cliente, debe distribuir la clave de cifrado a todas las máquinas que tengan acceso de lectura y escritura a los datos cifrados en S3. En ambos casos, también debe distribuir las credenciales de IAM.

Si sus máquinas están comprometidas, su clave de cifrado está comprometida. Puede invalidar las credenciales de IAM tan pronto como sepa de la interrupción, y si usa roles de IAM o credenciales de IAM temporales, el atacante solo tendrá acceso a sus datos siempre que tengan el control de la máquina (lo que es suficientemente malo, pero Puede que no sea el fin del mundo, también debes pensar en lo que sucederá a continuación. Con el cifrado del lado del cliente, el atacante tendrá su clave de cifrado, y todos los datos cifrados con la clave de cifrado comprometida deben volver a cifrarse. Con el cifrado del lado del servidor, no tendrá que volver a cifrar sus datos, ya que ni usted ni el atacante tendrán la clave de cifrado.

Incluso si no tiene una interrupción, hay situaciones en las que su clave de cifrado puede verse comprometida, si se pierde o le roban una computadora portátil, si alguien que no sabe mejor se la envía por correo electrónico a alguien o si alguien deja de fumar y no puedes estar completamente seguro de que no se llevaron cosas con ellos. En este punto, su clave de cifrado está comprometida y probablemente debería volver a cifrar todos sus datos. Eso puede ser mucho trabajo. Con el cifrado del lado del servidor, todo lo que tiene que hacer es invalidar las credenciales de IAM y emitir nuevas.

Probablemente hay maneras de mitigar los problemas con el cifrado del lado del cliente que he mencionado anteriormente, pero para mí es como si usar SSE con S3 tenga menos inconvenientes que administrarlo usted mismo.

Finalmente, está el problema de lo seguro que es permitir que AWS administre sus claves de cifrado:

Según AWS, el sistema que administra las claves de cifrado es independiente de S3, con la intención de que si alguien ingresa al S3 desde el exterior no obtendrá sus datos porque no tendrán las claves de cifrado. Si se introducen solo en el sistema de administración de claves (al que probablemente no se puede acceder directamente desde el exterior), no tendrán sus datos porque no tienen acceso a ellos en S3. Deben entrar en ambos S3 y el sistema de administración de claves para obtener sus datos.

Si, por el contrario, ingresan al centro de datos físico, podrían obtener acceso al sistema de administración de claves y al S3 al mismo tiempo, pero la pregunta es si esto facilita las cosas o no. Creo que primero debemos confiar en que AWS tiene implementadas las medidas de seguridad adecuadas para impedir que las personas ingresen a sus centros de datos y, en segundo lugar, que para obtener las claves del sistema de administración de claves, tendría que hacer algo más que simplemente jala algunas unidades de disco. Por lo que he visto, AWS no publica exactamente cómo se protege el sistema de administración de claves, más que decir que está protegido con varias capas de seguridad. Es una especulación, pero el cifrado del disco es probablemente uno de estos.

También puede estar protegido contra alguien que irrumpe en los discos en S3; diga (con humor) que el disco en el que se almacenaron los datos de S3 también es una unidad de arranque para una caja de Windows XP que funciona, y alguien ingresa en la máquina XP. (no físicamente - a través de un hack). Luego tienen todos los archivos en la máquina, pero los suyos están encriptados con las claves almacenadas en alguna otra caja, por lo que todos los ladrones son basura digital.

Tal vez la probabilidad de que alguien se rompa en una matriz S3 sea pequeña, pero me pongo del lado de otros carteles y apuesto a que las llaves están detrás de otra pared. También es probable que utilicen claves diferentes para cada cuenta.

Entonces, si bien no es un montón de seguridad, está ahí. Dropbox tiene un mapa gigante desduplicado para su tienda, por lo que no veo cómo podrían cifrarse con claves diferentes para cada cuenta.

Como muchos de ustedes mencionaron, esto sí le brinda un nivel adicional de seguridad (¿recuerda las capas?) si los discos se pierden o se accede de alguna manera. Pero Me parece increíble que nadie haya mencionado aún las certificaciones de cumplimiento de seguridad.

Lo sé. Algunos de ustedes que leen esto pueden estar pensando ya que "las certificaciones son una tontería". Bueno ... pueden ser. Pero cuando se hacen correctamente, pueden asegurar algunas características importantes y son un gran negocio en el mundo empresarial. Especialmente a los proveedores de IaaS donde sus empleados necesitan tener un bajo nivel de acceso a todos sus datos y códigos para proporcionar el servicio.

Entonces, la amenaza aquí no es que AWS tenga acceso a los datos (tienen), sino un empleado de AWS en particular que tenga acceso a los datos.

No conozco todos los programas enumerados aquí con seguridad. Pero estoy bastante seguro de que algunos de ellos requieren separación de tareas . Esto significaría que AWS tuvo que convencer a un auditor externo de que implementan la separación de tareas correctamente cuando las características de seguridad lo requieren. En este caso particular, esto significaría que los individuos de AWS que tienen acceso a los datos cifrados nunca tendrán acceso a las claves de cifrado, y los individuos que pueden tener acceso a las claves de cifrado, nunca tendrán acceso a los datos .

Entonces, sí, ya tiene que confiar en AWS tanto con las claves como con los datos, pero estas certificaciones deben garantizarle que controlan quiénes (dentro de la empresa) tienen acceso a qué. Un nivel adicional de confianza que también es una gran parte de la seguridad.

Por otra parte, los clientes de AWS que también quieran certificarse también necesitarán esto para cumplir con el cifrado de datos en reposo . Esto solo puede ser válido si también brindan seguridad de que las claves se almacenan y administran adecuadamente. Con esta función y las certificaciones de AWS, pueden delegar eso en AWS.

Como otras respuestas implican en gran medida que la función es casi inútil, debe ver el panorama más amplio de las mejores prácticas y regulaciones de seguridad de la información para comprender por qué existe.

Las mejores prácticas y regulaciones de seguridad de la información están escritas para compañías de todos los tamaños y niveles de madurez.

Por lo general, no hay ninguna excepción escrita en las reglas que diga, si es Amazon u otro proveedor de nube grande, no necesita seguir estas reglas .

El resultado es que los casos extremos como este fueron las mejores prácticas que tienen mucho sentido en una pequeña empresa que todavía baraja los discos duros y las cintas de copia de seguridad, puede parecer gracioso a primera vista cuando se aplica a AWS.

Si bien el robo de empleados de Amazon puede ser motivo de preocupación para algunos, el principal punto de venta de la función es proteger a las empresas contra el incumplimiento de las mejores prácticas y regulaciones aplicables.

Si Amazon no se molestara en implementar esta funcionalidad aparentemente inútil, muchos negocios regulados (piense en HIPAA, PCI, etc.) se verían obligados a continuar usando sus propios centros de datos o proveedores de nube más pequeños.