Já disponível na AWS há mais de uma década, agora o Amazon S3 criptografará todos os novos dados com AES-256 por padrão.
Sim. O Amazon Simple Storage Service (S3) agora criptografará automaticamente todos os novos objetos adicionados em baldes no lado do servidor, usando AES-256 por padrão.
Amazon S3 criptografará todos os novos dados com AES-256 por padrão
Embora o sistema de criptografia do lado do servidor esteja disponível na AWS há mais de uma década, a gigante da tecnologia o habilitou por padrão para reforçar a segurança.
Os administradores não terão que tomar nenhuma ação para que o novo sistema de criptografia afete seus baldes, e a Amazon promete que não terá nenhum impacto negativo no desempenho.
“Essa mudança coloca outra prática recomendada de segurança em vigor automaticamente – sem impacto no desempenho e nenhuma ação necessária de sua parte”, diz o anúncio da Amazon.
“Os depósitos S3 que não usam criptografia padrão agora aplicarão SSE-S3 automaticamente como configuração padrão. Os depósitos existentes que usam atualmente a criptografia padrão S3 não serão alterados.”
Os administradores podem deixar o sistema criptografar no AES padrão de 256 bits ou escolher um dos métodos alternativos, ou seja, SSE-C ou SSE-KMS.
A primeira opção (SSE-C) dá aos proprietários do bucket o controle das chaves, enquanto a segunda (SSE-KMS) permite que a Amazon faça o gerenciamento das chaves.
No entanto, os proprietários de buckets podem definir permissões diferentes para cada chave KMS para manter um controle mais granular sobre o sistema de acesso de ativos.
Para confirmar que as alterações foram aplicadas aos seus depósitos, os administradores podem configurar o CloudTrail para registrar eventos de dados sem custo adicional.
Em seguida, execute um upload de objeto de teste e procure nos logs de eventos o “SSEApplied”: “Default_SSE_S3.” campo no log para o arquivo carregado.
Para criptografar retroativamente objetos que já estão em buckets do S3, siga este guia oficial.
Resolvendo um grande problema de segurança
Vazamentos de banco de dados têm sido uma ruína para a segurança há muitos anos, com práticas inadequadas e erros de configuração frequentemente expondo os detalhes confidenciais de milhões de pessoas.
Dois exemplos notáveis sobre os baldes de armazenamento do Amazon S3 são o vazamento de dados de 123 milhões de residências em dezembro de 2017 e o vazamento de 540 milhões de registros de usuários do Facebook em abril de 2019.
Se esses dados tivessem sido criptografados, os vazamentos não teriam consequências tão terríveis para os indivíduos expostos, mas, infelizmente, devido aos custos indiretos, à complexidade operacional e aos sacrifícios de desempenho, a criptografia do banco de dados costuma ser evitada.
O movimento da Amazon para tornar a criptografia do lado do servidor um processo de “clique zero” é um passo fundamental para uma melhor segurança e deve diminuir o impacto dos próximos incidentes de dados que inevitavelmente acontecerão.
Quanto à força do algoritmo de criptografia AES de 256 bits, ainda é considerado um dos mais fortes disponíveis, com o governo dos EUA recomendando seu uso. Além disso, apesar das inúmeras tentativas de quebrá-lo, o esquema não tem pontos fracos conhecidos.