AWS ออกฟีเจอร์ด้านความมั่นคงปลอดภัยใหม่บน S3

AWS ออกฟีเจอร์ใหม่บน S3 เพื่อเพิ่มความสามารถด้านความมั่นคงปลอดภัย จำนวน 5 รายการ คือ Default Encryption, Permission Check, Cross-Region Replication ACL Overwrite, Cross-Region Replication with KMS และ Detailed Inventory Report ซึ่งมีรายละเอียดดังนี้

Default Encryption

ก่อนหน้านี้เรามีทางเลือกในการเข้ารหัสฝั่งเซิร์ฟเวอร์ได้ 3 ทางคือ 1. จัดการ Keys โดย S3 2. จัดการ Keys โดย AWS KMS 3.จัดการ Keys โดยผู้ใช้งานเอง แต่เนื่องด้วยข้อบังคับขององค์กรกำหนดให้ต้องเข้ารหัสทุก Object ใน Bucket ดังนั้นฟีเจอร์การปฏิเสธ Object ที่ไม่เข้ารหัสไม่แก้ปัญหา AWS จึงออกฟีเจอร์ใหม่ที่สามารถบังคับให้ Object ที่อยู่ใน Bucket ถูกเข้ารหัสเมื่อมีการนำ Object เข้ามา อย่างไรก็ตามมีข้อกำหนดการใช้งานดังนี้
  • การใช้งาน Bucket Policy ผ่าน S3 REST API ต้องใช้งาน Sig4 ซึ่งเป็นกระบวนการเพิ่มข้อมูลเพื่อพิสูจน์ตัวตนกับ AWS และทำบน SSL เท่านั้น
  • ผู้ใช้งานต้องคิดให้ดีก่อนเปลี่ยนแปลงแก้ไข Bucket Policy ที่ปัจจุบันมีการเปิดฟังก์ชันปฏิเสธ Object ที่ไม่เข้ารหัส
  • ถ้าผู้ใช้งานซึ่งปัจจุบันมีการใช้งาน SSE-KMS ที่มีการอัพโหลด Object หลักร้อยถึงหลักพันต่อวินาที อาจจะติดข้อจำกัดของ KMS ได้ ควรเปิดเคส Support กับ AWS เพื่อขยายขีดจำกัด
  • Object ที่ไม่ถูกเข้ารหัสเมื่อถูกย้ายมาใน Bucket ที่มีการเซ็ต Default Encryption จะถูกเข้ารหัสตาม

Permission Check

ก่อนหน้านี้ AWS ได้ออกฟังก์ชันเพื่อการตรวจสอบสิทธิ์ใน ACL การใช้งานแล้วเพราะว่ามีการกำหนด ACL หลายระดับเพื่อให้แน่ใจว่า Object จะสามารถเข้าถึงได้ ตอนนี้มีฟีเจอร์ใหม่ออกมาคือจะมีการแจ้งเตือนเมื่อมีการเปลี่ยนแปลง Policy และ ACL บน Bucket ว่าจะมีผลกระทบอย่างไรบ้าง

Cross-Region Replication ACL Overwrite

ปกติแล้วผู้ใช้งาน AWS จะใช้งาน Replicate ข้อมูลข้าม Region โดยใช้บัญชีต้นทางและปลายทางเป็นคนละบัญชีกันทำให้ต้องมีการจัดการ ACL และ Tag ที่เชื่อมโยงกับแต่ละ Object อีกครั้งหนึ่ง แต่ตอนนี้ด้วยฟีเจอร์ใหม่นี้สามารถอนุญาติให้ผู้ใช้งานทดแทน ACL อีกฝั่งได้ไม่ต้องมาจัดการ ACL ให้ยุ่งยากเหมือนที่เคยเป็น

Cross-Region Replication with KMS

การ Replicate Object ที่ถูกเข้ารหัสแบบเดิมไม่สามารถทำได้โดยตรงเพราะมี KMS Keys คนละอันกัน ดังนั้นตอนนี้ AWS ออกฟีเจอร์ใหม่ที่สามารถเลือกให้ใช้ KMS Keys ปลายทางเป็นอันเดียวกันต้นทางได้ อย่างไรก็ตามหากต้องการใช้งานหนักๆ ต้องแจ้งทาง AWS เสียก่อนเพื่อเพิ่มขีดจำกัดของ KMS Keys

Detailed Inventory Report

การออกรายงานของ S3 เพิ่มการแสดงสถานะของการเข้ารหัสแต่ละ Object และสามารถทำได้เป็นรายวันหรือรายสัปดาห์ก็ได้

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] พลิกโฉม DevSecOps ด้วย Dynatrace – เสริมศักยภาพระบบ IT ด้วยการมอนิเตอร์อัตโนมัติและความปลอดภัยอัจฉริยะ

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย AskMe Webinar เรื่อง “พลิกโฉม DevSecOps ด้วย Dynatrace – เสริมศักยภาพระบบ IT ด้วยการมอนิเตอร์อัตโนมัติและความปลอดภัยอัจฉริยะ” พร้อมกรณีศึกษาการใช้ DevSecOps ลดเวลาในการตรวจจับและแก้ไขปัญหา …

Connecty AI เปิดตัวพร้อมเงินทุน 1.8 ล้านเหรียญ มุ่งช่วยองค์กรวิเคราะห์ข้อมูลอย่างมีประสิทธิภาพ

Connecty AI สตาร์ทอัพจากซานฟรานซิสโก เปิดตัวพร้อมเงินทุน 1.8 ล้านเหรียญในรอบ preseed มุ่งเน้นช่วยให้ธุรกิจวิเคราะห์ข้อมูลได้ง่ายและรวดเร็วยิ่งขึ้นด้วยพลังของ AI