Amazon Simple Storage Service (S3) będzie od dzisiaj automatycznie szyfrować wszystkie nowe obiekty po stronie serwera, domyślnie stosując algorytm AES-256. Chociaż usługa jest dostępna w AWS od ponad dekady, gigant technologiczny włączył ją teraz domyślnie, aby wzmocnić bezpieczeństwo.
Administratorzy nie będą musieli podejmować żadnych działań, aby uruchomić szyfrowanie, a Amazon obiecuje, iż nie będzie to miało negatywnego wpływu na wydajność.
Ta zmiana automatycznie wprowadza w życie kolejną najlepszą praktykę bezpieczeństwa – bez wpływu na wydajność i bez konieczności podejmowania działań po stronie użytkownika” – czytamy w komunikacie Amazona.
Kontenery [buckets] S3, które nie korzystają z domyślnego szyfrowania, będą teraz automatycznie stosować SSE-S3 jako ustawienie domyślne. Już istniejące, korzystające w tej chwili z domyślnego szyfrowania S3, nie ulegną zmianie.
Administratorzy mogą pozostawić systemowi szyfrowanie domyślnym 256-bitowym kluczem AES lub wybrać jedną z alternatywnych metod, czyli SSE-C lub SSE-KMS.
Pierwsza opcja (SSE-C) daje właścicielom danych kontrolę nad kluczami, natomiast druga (SSE-KMS) pozwala Amazonowi zająć się zarządzaniem kluczami. Właściciele mogą jednak ustawić różne uprawnienia dla wszystkich klucza KMS, aby zachować bardziej granularną kontrolę nad systemem dostępu do zasobów.
Amazon rozwiązuje duży problem bezpieczeństwa cyfrowego
Wycieki baz danych od wielu lat są zmorą bezpieczeństwa cyfrowego, a złe praktyki i błędy w konfiguracji często narażają wrażliwe dane milionów ludzi. Dwa godne uwagi przykłady dotyczące baz w pamięci masowej Amazon S3 to wyciek danych 123 milionów gospodarstw domowych w grudniu 2017 r. i, w kwietniu 2019 roku, 540 milionów rekordów użytkowników Facebooka.
Gdyby te dane były zaszyfrowane, wycieki nie miałyby pewnie tak tragicznych konsekwencji dla narażonych osób, ale niestety ze względu na koszty ogólne, złożoność operacyjną i obniżenie wydajności, szyfrowanie baz danych nie jest powszechną praktyką.
Posunięcie firmy Amazon, aby szyfrowanie po stronie serwera stało się procesem „zero-click”, jest krokiem w kierunku większego bezpieczeństwa i z pewnością zmniejszy zagrożenie ze strony nadchodzących incydentów związanych z danymi, które nieuchronnie będą miały miejsce.
Jeśli chodzi o siłę 256-bitowego algorytmu szyfrowania AES, to przez cały czas jest on uważany za jeden z najsilniejszych dostępnych, a rząd USA zaleca jego stosowanie. Co więcej, pomimo licznych prób jego złamania, algorytm ten nie ma żadnych znanych słabych punktów.