Proteggi i dati in ambiente AWS con la crittografia (lato server)

Proteggi i dati in ambiente AWS con la crittografia (lato server)

In attesa della piena entrata in vigore del GDPR le aziende stanno cominciando a individuare i servizi in linea con l’adempimento delle regole per la tutela dei dati.

AWS fornisce funzionalità e servizi specifici che consentono ai clienti di soddisfare i requisiti della normativa.

Ne segnaliamo tre, in particolare:

  • Controllo degli accessi: gestisci utenti e amministratori autorizzati che possono accedere alle applicazioni;
  • Monitoraggio e accessi: ottieni una panoramica delle attività sulle tue risorse AWS;
  • Crittografia: crittografa i tuoi dati su AWS;

Ci occuperemo in due tutorial dell’ultimo aspetto: la protezione dei dati mediante crittografia. Capiremo come utilizzare la crittografia per proteggere i dati da due diverse prospettive:

  • Lato server
  • Lato client

La protezione offerta dalla crittografia quindi è completa poichè garantisce sicurezza mentre i dati sono in transito (durante il tragitto da e verso Amazon S3) e quando sono a riposo (in storage nei data center di Amazon S3).

Per la protezione dei dati in transito è possibile utilizzare SSL ( Secure Sockets Layer) o la crittografia lato client.

Invece per i dati a riposo in Amazon S3 hai due diverse opzioni che riportiamo qui di seguito:

  • Utilizzare la crittografia lato server: puoi richiedere ad Amazon S3 di crittografare il tuo oggetto prima di salvarlo sui suoi data center e decrittarlo una volta che verrà scaricato.
  • Usare la crittografia lato client: puoi crittografare i dati lato client e caricare i dati crittografati su Amazon S3. In questo caso, sei tu a gestire il processo di crittografia, le chiavi di crittografia e gli strumenti correlati.

In questo tutorial ci occuperemo della protezione lato server.

Protezione dei dati utilizzando la crittografia lato server

La crittografia lato server come già detto riguarda la crittografia dei dati a riposo.

Amazon S3 crittografa i dati a livello di oggetto mentre li scrive sui dischi nei suoi data center e si occupa automaticamente di decrittografarli al momento dell’accesso.

Se la richiesta viene autenticata e si dispone delle autorizzazioni di accesso, non vi è alcuna differenza nella modalità di accesso fra oggetti crittografati e non.

Ad esempio, se condividi i tuoi oggetti utilizzando una URL preselezionata, quella URL funzionerà allo stesso modo sia per gli oggetti crittografati che per quelli non lo sono.

Nota
Non è possibile applicare contemporaneamente diversi tipologie di crittografia lato server allo stesso oggetto.

Quindi a disposizione hai tre diverse soluzioni per utilizzare la crittografia, sottolineiamo che queste si escludono a vicenda, le riportiamo di seguito.

  • Con chiavi gestite da Amazon S3 (SSE-S3) – Ogni oggetto viene crittografato con una key univoca che utilizza una crittografia a più fattori. Ad ulteriore salvaguardia, anche la chiave stessa viene crittografata con una key master che cambia regolarmente. Ma, non è tutto: S3 per il servizio utilizza uno dei più potenti codici a blocchi disponibili: 256-bit Advanced Encryption Standard (AES-256).
  • Con chiavi gestite da AWS KMS (SSE-KMS) – Il servizio è simile SSE-S3, ma presenta alcuni vantaggi in più e anche dei costi aggiuntivi. Esistono autorizzazioni separate per l’utilizzare una envolepe key (chiave che protegge quella di crittografia dei dati). Questa tecnica garantisce un’ulteriore sicurezza per gli oggetti in S3 impedendone l’accesso non autorizzato. Inoltre, SSE-KMS ti permette di avere traccia e controllare la tua key, di sapere quando è stata utilizzata e da chi. A questo si aggiunge un altro vantaggio: avere la possibilità tu stesso di creare e di gestire le chiavi e anche di utilizzare una key predefinita solo per te, il servizio che stai utilizzando e la regione in cui stai lavorando.
  • Con le chiavi fornite dal cliente (SSE-C) – In questo caso sei tu a gestire le key ed Amazon S3 si occuperà invece della crittografia una volta che scriverà sui dischi e li decrittograferà quando accederai ai tuoi oggetti.

Nota
Quando si elencano gli oggetti nel bucket, l’API dell’elenco restituirà un elenco di tutti gli oggetti, indipendentemente dal fatto che siano crittografati o meno.

Comments are closed.

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi