Breaking News

AWS ออกฟีเจอร์ด้านความมั่นคงปลอดภัยใหม่บน S3

AWS ออกฟีเจอร์ใหม่บน S3 เพื่อเพิ่มความสามารถด้านความมั่นคงปลอดภัย จำนวน 5 รายการ คือ Default Encryption, Permission Check, Cross-Region Replication ACL Overwrite, Cross-Region Replication with KMS และ Detailed Inventory Report ซึ่งมีรายละเอียดดังนี้

Default Encryption

ก่อนหน้านี้เรามีทางเลือกในการเข้ารหัสฝั่งเซิร์ฟเวอร์ได้ 3 ทางคือ 1. จัดการ Keys โดย S3 2. จัดการ Keys โดย AWS KMS 3.จัดการ Keys โดยผู้ใช้งานเอง แต่เนื่องด้วยข้อบังคับขององค์กรกำหนดให้ต้องเข้ารหัสทุก Object ใน Bucket ดังนั้นฟีเจอร์การปฏิเสธ Object ที่ไม่เข้ารหัสไม่แก้ปัญหา AWS จึงออกฟีเจอร์ใหม่ที่สามารถบังคับให้ Object ที่อยู่ใน Bucket ถูกเข้ารหัสเมื่อมีการนำ Object เข้ามา อย่างไรก็ตามมีข้อกำหนดการใช้งานดังนี้
  • การใช้งาน Bucket Policy ผ่าน S3 REST API ต้องใช้งาน Sig4 ซึ่งเป็นกระบวนการเพิ่มข้อมูลเพื่อพิสูจน์ตัวตนกับ AWS และทำบน SSL เท่านั้น
  • ผู้ใช้งานต้องคิดให้ดีก่อนเปลี่ยนแปลงแก้ไข Bucket Policy ที่ปัจจุบันมีการเปิดฟังก์ชันปฏิเสธ Object ที่ไม่เข้ารหัส
  • ถ้าผู้ใช้งานซึ่งปัจจุบันมีการใช้งาน SSE-KMS ที่มีการอัพโหลด Object หลักร้อยถึงหลักพันต่อวินาที อาจจะติดข้อจำกัดของ KMS ได้ ควรเปิดเคส Support กับ AWS เพื่อขยายขีดจำกัด
  • Object ที่ไม่ถูกเข้ารหัสเมื่อถูกย้ายมาใน Bucket ที่มีการเซ็ต Default Encryption จะถูกเข้ารหัสตาม

Permission Check

ก่อนหน้านี้ AWS ได้ออกฟังก์ชันเพื่อการตรวจสอบสิทธิ์ใน ACL การใช้งานแล้วเพราะว่ามีการกำหนด ACL หลายระดับเพื่อให้แน่ใจว่า Object จะสามารถเข้าถึงได้ ตอนนี้มีฟีเจอร์ใหม่ออกมาคือจะมีการแจ้งเตือนเมื่อมีการเปลี่ยนแปลง Policy และ ACL บน Bucket ว่าจะมีผลกระทบอย่างไรบ้าง

Cross-Region Replication ACL Overwrite

ปกติแล้วผู้ใช้งาน AWS จะใช้งาน Replicate ข้อมูลข้าม Region โดยใช้บัญชีต้นทางและปลายทางเป็นคนละบัญชีกันทำให้ต้องมีการจัดการ ACL และ Tag ที่เชื่อมโยงกับแต่ละ Object อีกครั้งหนึ่ง แต่ตอนนี้ด้วยฟีเจอร์ใหม่นี้สามารถอนุญาติให้ผู้ใช้งานทดแทน ACL อีกฝั่งได้ไม่ต้องมาจัดการ ACL ให้ยุ่งยากเหมือนที่เคยเป็น

Cross-Region Replication with KMS

การ Replicate Object ที่ถูกเข้ารหัสแบบเดิมไม่สามารถทำได้โดยตรงเพราะมี KMS Keys คนละอันกัน ดังนั้นตอนนี้ AWS ออกฟีเจอร์ใหม่ที่สามารถเลือกให้ใช้ KMS Keys ปลายทางเป็นอันเดียวกันต้นทางได้ อย่างไรก็ตามหากต้องการใช้งานหนักๆ ต้องแจ้งทาง AWS เสียก่อนเพื่อเพิ่มขีดจำกัดของ KMS Keys

Detailed Inventory Report

การออกรายงานของ S3 เพิ่มการแสดงสถานะของการเข้ารหัสแต่ละ Object และสามารถทำได้เป็นรายวันหรือรายสัปดาห์ก็ได้



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

STelligence เผยเปิดตัว Splunk Insights for Infrastructure รุ่นใช้ฟรี วิเคราะห์ข้อมูลระบบ IT ได้ถึง 200GB

Splunk ได้ออกมาประกาศเปิดตัว Free Tier สำหรับ Splunk Insights for Infrastructure เพื่อให้เหล่าองค์กรต่างๆ ได้เริ่มต้นนำเทคโนโลยี Big Data Analytics ไปใช้ติดตามการทำงานและวิเคราะห์การทำงานของระบบ …

เด็กอายุ 16 ปีถูกจับ ฐาน Hack ระบบของ Apple ได้สำเร็จ

หลังจากที่สื่อออสเตรเลียได้ออกมานำเสนอข่าวเกี่ยวกับประเด็นที่ว่ามีเยาวชนชาวออสเตรเลียอายุ 16 ปีถูกจับเนื่องจากลักลอบเข้าถึงข้อมูลต่างๆ บน Server ของ Apple โดยไม่ได้รับอนุญาต ทาง Apple เองก็จึงต้องออกมาแถลงว่ากรณีดังกล่าวไม่ส่งผลกระทบใดๆ ต่อข้อมูลของลูกค้า Apple แต่อย่างใด