Самые широкие возможности по обеспечению безопасности, соблюдению законодательных требований и аудиту

Храните свои данные в Amazon S3 и защитите их от несанкционированного доступа с помощью шифрования и инструментов ограничения доступа. S3 шифрует все объекты, передаваемые во все корзины. S3 – это единственный сервис хранения объектов с возможностью блокирования публичного доступа ко всем объектам в корзине или на уровне учетной записи с помощью функции S3 Block Public Access. S3 соответствует нормативам таких стандартов, как PCI-DSS, HIPAA/HITECH, FedRAMP, директивы ЕС по защите данных и FISMA, что позволяет выполнить законодательные требования. AWS поддерживает также разнообразные возможности аудита, чтобы отслеживать запросы доступа к вашим ресурсам в S3.

Введение в управление доступом и безопасностью Amazon S3 (3:05)

Управление безопасностью и доступом на Amazon S3

Для защиты данных в Amazon S3 по умолчанию пользователям предоставляется доступ только к созданным ими ресурсам S3. Доступ другим пользователям можно предоставить с помощью одного или нескольких из следующих возможностей управления доступом: AWS Identity and Access Management (IAM) для создания пользователей и управления правами доступа; списки управления доступом (ACL) для предоставления доступа к отдельным объектам авторизованным пользователям; политики корзины для настройки разрешений для всех объектов в одной корзине S3; аутентификация строки запроса для предоставления временного доступа другим пользователям с помощью краткосрочных URL-адресов. Amazon S3 также поддерживает журналы аудита, которые содержат запросы к ресурсам S3 для обеспечения полной визуализации действий пользователей и данных, которые они запрашивают.

Блокирование публичного доступа

Блокирование публичного доступа

Всего за несколько щелчков в консоли управления S3 можно применить функцию блокирования публичного доступа к S3 к любым корзинам в аккаунте – как к существующим, так и к тем, которые будут созданы в будущем – и больше не беспокоиться о том, что к каким‑то из этих объектов возможен публичный доступ. Параметры блокирования публичного доступа в S3 переопределяют другие разрешения S3, которые допускают публичный доступ. Благодаря этому администратору аккаунта просто обеспечить применение политики запрета публичного доступа, независимо от существующих разрешений доступа, способа добавления объекта или создания корзины.

Object Lock

Object Lock

Amazon S3 Object Lock блокирует удаление версий объектов в течение периода хранения, установленного клиентом. Эта возможность позволяет применять политики хранения в качестве дополнительного уровня защиты данных либо для выполнения нормативных требований. Рабочие нагрузки можно перенести из существующих систем WORM (однократной записи и многократного чтения) в Amazon S3 и настроить S3 Object Lock на уровне объектов или корзин, чтобы исключить удаление версий объектов до заданной даты, которую можно установить самостоятельно или в соответствии с нормативными требованиями.

Object Ownership

Object Ownership

Amazon S3 Object Ownership отключает списки контроля доступа (ACL) и устанавливает владельца корзины в качестве владельца всех объектов в ней, что позволяет упростить управление доступом к данным, сохраненным в S3. Когда вы настраиваете в S3 Object Ownership параметр Принудительное назначение владельца корзины, для этой корзины и размещенных в ней объектов более не применяются разрешения, заданные списками контроля доступа. Любой контроль доступа после этого определяется политиками на основе ресурсов, пользовательскими политиками или их сочетанием. Подробнее см. в статье Controlling Object Ownership.

Управление идентификацией и доступом

Управление идентификацией и доступом

По умолчанию все ресурсы Amazon S3 – корзины, объекты и связанные подресурсы – являются частными: доступ к ресурсу имеет только владелец ресурса (аккаунт AWS, создавший его). Amazon S3 предоставляет варианты политики доступа, разбитые на крупные категории, такие как политики на основе ресурсов и пользовательские политики. Для управления разрешениями доступа к ресурсам Amazon S3 можно выбрать политики на основе ресурсов, пользовательские политики или любые их сочетания. По умолчанию владельцем объекта в S3 считается аккаунт, который создал этот объект, даже если он отличается от аккаунта владельца корзины. С помощью S3 Object Ownership вы можете переопределить это поведение и отключить списки контроля доступа. В этом случае каждый объект в корзине будет принадлежать владельцу корзины. Дополнительную информацию см. на странице Identity and access management in Amazon S3.

Amazon Macie

Amazon Macie

Выявляйте и защищайте конфиденциальные данные в любом масштабе в Amazon S3 с помощью нового сервиса Amazon Macie. Macie автоматически предоставляет полный перечень корзин S3 посредством сканирования корзин для выявления и категоризации данных. Вы получаете полезные отчеты о безопасности, содержащие перечень любых данных, которые подходят для этих типов конфиденциальных данных, в том числе персональную информацию (PII) (например, имена клиентов и номера кредитных карт), а также категорий, определенных правилами конфиденциальности, например GDPR и HIPAA. Macie также автоматически и непрерывно оценивает средства профилактического контроля на уровне корзин для любых корзин, которые являются не зашифрованными, общедоступными или находящимися в общем пользовании с аккаунтами за пределами вашей организации, что обеспечивает быстрое устранение нежелательных настроек в корзинах.

Шифрование

Шифрование

Amazon S3 автоматически шифрует все объекты, передаваемые во все корзины. Для передачи объектов Amazon S3 поддерживает шифрование на стороне сервера с тремя вариантами управления ключами: SSE-KMS, SSE-C и SSE-S3 (базовый уровень шифрования), а также шифрование на стороне клиента. Amazon S3 предоставляет гибкие возможности обеспечения безопасности для предотвращения доступа неавторизованных пользователей к данным. Конечные точки VPC используются для подключения к ресурсам S3 из виртуального частного облака Amazon (Amazon VPC). Используйте S3 Inventory для проверки статуса шифрования объектов S3 (подробнее о S3 Inventory см. в разделе об управлении хранилищем).

AWS Trusted Advisor

AWS Trusted Advisor

Trusted Advisor проверяет среду AWS и предоставляет рекомендации при появлении возможностей для устранения слабых мест системы безопасности. 

Trusted Advisor выполняет такие проверки Amazon S3: проверка конфигурации ведения журналов для корзин Amazon S3, проверки безопасности корзин Amazon S3 с разрешениями на свободный доступ, проверки отказоустойчивости для корзин Amazon S3 с отключенным или приостановленным управлением версиями.

AWS PrivateLink для S3

Установите доступ к Amazon S3 напрямую как к частному адресу в вашей защищенной виртуальной сети с помощью AWS PrivateLink для S3. Упростите сетевую архитектуру, установив подключение к S3 из локальной сети или в облаке, используя частные IP-адреса из Virtual Private Cloud (VPC). Для получения доступа к S3 из локальной сети вам больше не придется использовать публичные IP-адреса, изменять правила брандмауэра или настраивать шлюз Интернета.

Проверка целостности данных

Проверка целостности данных

Выбирайте один из четырех поддерживаемых алгоритмов контрольных сумм (SHA-1, SHA-256, CRC32 или CRC32C) для проверки целостности данных в загружаемых и скачиваемых запросах. Автоматически считайте и проверяйте контрольные суммы при сохранении или извлечении данных из Amazon S3, а также получайте доступ к информации о контрольных суммах с помощью API S3 GetObjectAttributes или отчета S3 Inventory.

Tech Talk: Начните использовать контрольные суммы в Amazon S3 для проверки целостности данных » Блог: Построение масштабируемых контрольных сумм »

Как это работает

  • AWS PrivateLink для Amazon S3
  • Установите прямое частное соединение с Amazon S3 из локальной сети. Чтобы начать работу, ознакомьтесь с документацией AWS PrivateLink для S3

    Безопасность с помощью AWS PrivateLink для S3
  • Amazon Macie
  • Находите и защищайте конфиденциальные данные в любом масштабе. Чтобы начать работу с Amazon Macie, посетите веб-сайт.

    Безопасность с помощью Amazon Macie
  • Блокирование публичного доступа к S3
  • Заблокируйте публичный доступ к своим данным в Amazon S3 сразу и навсегда. Для получения дополнительных сведений о блокировании публичного доступа к S3 посетите веб-страницу.

    Безопасность с помощью блокирования публичного доступа к S3
  • Amazon GuardDuty для S3
  • Защитите свои данные в Amazon S3 с помощью интеллектуальных функций обнаружения угроз и непрерывного мониторинга. Для получения дополнительных сведений об Amazon GuardDuty для Amazon S3 посетите веб-страницу.

    Безопасность с помощью Amazon GuardDuty для S3

Рекомендации и руководства по управлению безопасностью и доступом

После создания все ресурсы S3 по умолчанию являются частными и доступными только владельцу ресурса и администратору учётной записи. Данная схема обеспечения безопасности предусматривает возможность настройки детализированных политик доступа в соответствии с нормами организации, стандартами управления и безопасности, а также нормативными требованиями. Чтобы блокировать запросы доступа к вашим данным, можно воспользоваться возможностью блокирования публичного доступа к S3. Кроме того, S3 предлагает на выбор ряд вариантов шифрования. Посмотрите видео ниже, чтобы узнать больше.

Рекомендации по управлению безопасностью и доступом на Amazon S3 (28:08)

Строгое следование лучшим практикам построения архитектуры и проактивным средствам контроля является основой безопасности хранения и контроля доступа. В этом видеоролике вы узнаете о передовых методах обеспечения безопасности данных в Amazon S3. Изучите основы архитектуры безопасности Amazon S3 и погрузитесь в последние усовершенствования в удобстве использования и функциональности. Рассмотрите варианты шифрования, контроля доступа, мониторинга безопасности, аудита и устранения последствий.

Лучшие методы обеспечения безопасности и контроля доступа Amazon S3 (45:47)

S3 рассчитан на долговечность 99,999999999%, отказоустойчивость и высокую доступность. Мощный механизм защиты данных не подлежит обсуждению, а надежность S3 – естественное состояние. Однако даже самое надежное хранилище не может защитить от неумышленного или случайного удаления. Кроме того, атаки программ-вымогателей являются основным поводом для оценки дополнительной защиты критически важных данных. Просмотрите это видео и узнайте о дополнительных уровнях защиты S3, включая управление версиями, межрегиональную репликацию (CRR) и блокировку объектов S3.

Beyond 11 9s of durability: Data protection with Amazon S3 (54:59)

Блоги о безопасности S3

Блог с новостями AWS


Сейчас Amazon Macie с упрощенным начислением платы

Amazon Macie представляет собой полностью управляемый сервис для поиска и защиты конфиденциальных данных, использующий машинное обучение для автоматического выявления и классификации данных. Теперь упрощенное образование цены: теперь плата начисляется по количеству оцениваемых корзин S3 и объему данных, обрабатываемых в рамках заданий по обнаружению конфиденциальных данных. 

Читать блог »

Блог с новостями AWS


Блокирование публичного доступа к сервисам S3 – защита аккаунтов и корзин

Возможность блокирования публичного доступа к Amazon S3 обеспечивает новый уровень защиты, работающий как на уровне аккаунта, так и с отдельными корзинами – включая те, которые будут созданы в будущем. Вы можете заблокировать существующий публичный доступ (определенный с помощью списка контроля доступа или политики) и гарантировать, что публичный доступ не будет предоставлен никаким сущностям, созданным в дальнейшем.

Читать блог »

Блог Вернера Вогелса


Providing security at scale with automated reasoning

Zelkova поддерживает возможность блокирования публичного доступа к Amazon S3. Блокирование публичного доступа отключает списки контроля публичного доступа (ACL) к корзинам и объектам в Amazon S3. Кроме того, эта возможность блокирует предоставление публичного доступа политиками использования корзин. В случае с существующими политиками, разрешающими публичный доступ, блокирование запрещает доступ из аккаунта, не относящегося к корзине.

Читать блог »

Блог о хранилище AWS


Узнайте, как использовать возможности блокирования публичного доступа к Amazon S3 и S3 Object Lock

Одна из причин успеха S3 состоит в том, что мы изначально сосредоточены на защите данных. Мы постоянно инвестируем в повышение уровня безопасности хранения данных и работаем над удовлетворением непрерывно растущих потребностей клиентов в безопасности, оставаясь при этом верными нашему базовому принципу простоты хранения.

Читать блог »
Подробнее об Amazon S3

Подробнее о возможностях Amazon S3.

Подробнее 
Зарегистрировать бесплатный аккаунт

Получите мгновенный доступ к уровню бесплатного пользования AWS. 

Регистрация 
Начало разработки в консоли

Начните разработку с помощью Amazon S3 в Консоли управления AWS.

Вход