.
A Amazon aproveitou a dica sobre a segurança de seu serviço baseado em nuvem Serviço de Armazenamento Simples (S3) e o atualizei para que todos os objetos recém-adicionados sejam criptografados por padrão. A mudança ocorre depois que a gigante da nuvem anunciou novas configurações de segurança de balde padrão em dezembro.
S3 – inicialmente conhecido como Simple Storage Service – foi o primeiro serviço disponibilizado quando a Amazon lançou a AWS como uma nuvem pública em 2006. Embora a plataforma de armazenamento de objetos tenha se mostrado popular, a política da Amazon de deixar o usuário definir as configurações de segurança desempenhou seu papel em várias violações de dados ao longo dos anos, quando os baldes foram involuntariamente expostos ao mundo exterior.
A partir de 5 de janeiro, a plataforma S3 agora criptografa todos os novos objetos adicionados aos depósitos por padrão, aplicando criptografia do lado do servidor (SSE-S3) usando AES de 256 bits para cada novo objeto, a menos que o usuário especifique uma opção de criptografia diferente. Essa alteração está em vigor agora em todas as regiões da AWS.
Na verdade, o SSE-S3 tem suporte há muito tempo, como a Amazon diz em seu blogue, mas anteriormente cabia ao usuário ativá-lo. “Essa mudança coloca outra prática recomendada de segurança em vigor automaticamente – sem impacto no desempenho e nenhuma ação necessária de sua parte”, escreveu Sébastien Stormacq, da Amazon.
Embora fosse simples de habilitar, a natureza opcional do SSE-S3 significava que os usuários tinham que garantir que ele sempre fosse configurado em novos baldes e verificar se ele permanecia configurado corretamente ao longo do tempo, de acordo com a Amazon. Para organizações que exigem que todos os seus objetos permaneçam criptografados em repouso com SSE-S3, a atualização mais recente os ajuda a atender aos requisitos de conformidade de criptografia sem ferramentas adicionais ou alterações de configuração.
Como alternativa, os clientes podem atualizar essa configuração padrão usando suas próprias chaves de criptografia (SSE-C) ou usando as chaves do AWS Key Management Service (SSE-KMS).
De maneira um tanto confusa, a AWS já oferecia suporte a um recurso chamado S3 Default Encryption como uma configuração de nível de bucket que os clientes poderiam usar para especificar um nível de criptografia padrão. Os baldes existentes que já usam esse recurso não serão alterados, disse a Amazon, mas a configuração não pode mais ser desativada para garantir que todos os novos dados carregados no S3 sejam criptografados em repouso.
A AWS se esforça para tornar o Simple Storage Service não tão simples de estragar
A mudança para a criptografia automática para novos uploads de objetos e configuração S3 Default Encryption agora está visível nos logs do AWS CloudTrail, de acordo com a Amazon.
Nas próximas semanas, esse status também começará a aparecer no console de gerenciamento S3, S3 Inventory, S3 Storage Lens e como um cabeçalho S3 API adicional na AWS CLI e AWS SDK.
As configurações padrão de segurança do bucket anunciadas em dezembro não entrarão em vigor até abril. Uma das alterações bloqueia o acesso público a blocos recém-criados por padrão para evitar que os usuários criem acidentalmente um bloco disponível abertamente, como Strong The One detalhado no momento. ®
.
