AWS ออกฟีเจอร์ด้านความมั่นคงปลอดภัยใหม่บน S3

AWS ออกฟีเจอร์ใหม่บน S3 เพื่อเพิ่มความสามารถด้านความมั่นคงปลอดภัย จำนวน 5 รายการ คือ Default Encryption, Permission Check, Cross-Region Replication ACL Overwrite, Cross-Region Replication with KMS และ Detailed Inventory Report ซึ่งมีรายละเอียดดังนี้

Default Encryption

ก่อนหน้านี้เรามีทางเลือกในการเข้ารหัสฝั่งเซิร์ฟเวอร์ได้ 3 ทางคือ 1. จัดการ Keys โดย S3 2. จัดการ Keys โดย AWS KMS 3.จัดการ Keys โดยผู้ใช้งานเอง แต่เนื่องด้วยข้อบังคับขององค์กรกำหนดให้ต้องเข้ารหัสทุก Object ใน Bucket ดังนั้นฟีเจอร์การปฏิเสธ Object ที่ไม่เข้ารหัสไม่แก้ปัญหา AWS จึงออกฟีเจอร์ใหม่ที่สามารถบังคับให้ Object ที่อยู่ใน Bucket ถูกเข้ารหัสเมื่อมีการนำ Object เข้ามา อย่างไรก็ตามมีข้อกำหนดการใช้งานดังนี้
  • การใช้งาน Bucket Policy ผ่าน S3 REST API ต้องใช้งาน Sig4 ซึ่งเป็นกระบวนการเพิ่มข้อมูลเพื่อพิสูจน์ตัวตนกับ AWS และทำบน SSL เท่านั้น
  • ผู้ใช้งานต้องคิดให้ดีก่อนเปลี่ยนแปลงแก้ไข Bucket Policy ที่ปัจจุบันมีการเปิดฟังก์ชันปฏิเสธ Object ที่ไม่เข้ารหัส
  • ถ้าผู้ใช้งานซึ่งปัจจุบันมีการใช้งาน SSE-KMS ที่มีการอัพโหลด Object หลักร้อยถึงหลักพันต่อวินาที อาจจะติดข้อจำกัดของ KMS ได้ ควรเปิดเคส Support กับ AWS เพื่อขยายขีดจำกัด
  • Object ที่ไม่ถูกเข้ารหัสเมื่อถูกย้ายมาใน Bucket ที่มีการเซ็ต Default Encryption จะถูกเข้ารหัสตาม

Permission Check

ก่อนหน้านี้ AWS ได้ออกฟังก์ชันเพื่อการตรวจสอบสิทธิ์ใน ACL การใช้งานแล้วเพราะว่ามีการกำหนด ACL หลายระดับเพื่อให้แน่ใจว่า Object จะสามารถเข้าถึงได้ ตอนนี้มีฟีเจอร์ใหม่ออกมาคือจะมีการแจ้งเตือนเมื่อมีการเปลี่ยนแปลง Policy และ ACL บน Bucket ว่าจะมีผลกระทบอย่างไรบ้าง

Cross-Region Replication ACL Overwrite

ปกติแล้วผู้ใช้งาน AWS จะใช้งาน Replicate ข้อมูลข้าม Region โดยใช้บัญชีต้นทางและปลายทางเป็นคนละบัญชีกันทำให้ต้องมีการจัดการ ACL และ Tag ที่เชื่อมโยงกับแต่ละ Object อีกครั้งหนึ่ง แต่ตอนนี้ด้วยฟีเจอร์ใหม่นี้สามารถอนุญาติให้ผู้ใช้งานทดแทน ACL อีกฝั่งได้ไม่ต้องมาจัดการ ACL ให้ยุ่งยากเหมือนที่เคยเป็น

Cross-Region Replication with KMS

การ Replicate Object ที่ถูกเข้ารหัสแบบเดิมไม่สามารถทำได้โดยตรงเพราะมี KMS Keys คนละอันกัน ดังนั้นตอนนี้ AWS ออกฟีเจอร์ใหม่ที่สามารถเลือกให้ใช้ KMS Keys ปลายทางเป็นอันเดียวกันต้นทางได้ อย่างไรก็ตามหากต้องการใช้งานหนักๆ ต้องแจ้งทาง AWS เสียก่อนเพื่อเพิ่มขีดจำกัดของ KMS Keys

Detailed Inventory Report

การออกรายงานของ S3 เพิ่มการแสดงสถานะของการเข้ารหัสแต่ละ Object และสามารถทำได้เป็นรายวันหรือรายสัปดาห์ก็ได้


About nattakon

Check Also

Azure DNS สนับสนุน CAA record และ IPv6 Nameservers แล้ว

Azure ได้ออกมาประกาศสนับสนุน DNS Features ที่สามารถรองรับการใช้งาน CAA Record และ IPv6 Nameserver ได้แล้ว

เตือนช่องโหว่ RSA Implementation บน F5 Big-IP เสี่ยงถูกดักฟังข้อมูลที่เข้ารหัส

F5 Networks ผู้นำด้านเทคโนโลยี Application Delivery Networking ออกมาแจ้งเตือนถึงช่องโหว่ RSA Implementation บน F5 Big-IP ซึ่งช่วยให้แฮ็คเกอร์สามารถดักฟังข้อมูลที่ถูกเข้ารหัสหรือโจมตีแบบ Man-in-the-Middle โดยไม่จำเป็นต้องทราบ …