AWS 雲端資訊安全系列 3： Amazon S3 的儲存安全與實踐

前言

上一篇文章中，我們討論資安領域中的「權限控管」，本次文章會探討關於「雲端上的資料儲存安全」，以及 AWS 提供哪些機制來保障這些資料的安全。

隨著越來越多企業選擇將資料搬到公有雲上，使用者首要在意的便是「資料儲存的安全性」，而公有雲廠商在資料儲存服務提供一系列安全性管理的功能。

 

任何與資料儲存服務有關的資安事件，發生的原因不外乎幾種：存取權限管制不當、資料外洩、遭惡意竄改等，故我們能掌握幾個風險因素來強化其安全性。

• 適當的設定檔配置(Configuration)
• 加密(Encryption)
• 權限控管(Permission Control)
• 日誌與稽核(Logging and Auditing)

本篇將介紹 AWS 知名的雲端儲存服務 – Amazon Simple Storage Service (Amazon S3) 作為案例，它同時是一項廣泛地被應用於各個大企業的資料儲存方案，結合前面提到的幾個風險因素，來探討如何強化其安全性。

 

什麼是 Amazon S3

 

 

Amazon S3 是一項擴展性佳、儲存成本低、高可用性的資料儲存服務，同時支援多種檔案類型，不僅泛用性高，服務穩定度更是達到驚人的 99.99999999999%，能夠滿足大多數的使用案例。

延伸閱讀 – Nasdaq 率先將 AWS 運用在雲端證券交易所資料儲存

使用者可以將各式各樣的資料(如：日誌檔案、靜態圖片、影音檔等等)上傳至 S3 上進行長期保存，搭配不同類型的 S3 儲存方案來有效降低儲存成本。

 

在 S3 的設計概念裡，裡面存放的檔案資料視為一個個的「物件」(Object)，object 是存放在 S3 中最基本的實體，每個 object 有自己的 key，使用者可以透過 key 擷取相應的 object，而每個 object 的大小最多可達到 5TB。

除了 Object 之外， S3 用來儲存 object 的容器被稱作「儲存桶」(bucket)，使用者會上傳檔案至事先建立好的 S3 bucket 保存。

 

 

Amazon S3 的資料安全

Amazon S3 在安全方面，提供幾項功能來幫助我們強化資料儲存的安全性。

1. 存取控制：S3 提供了存取控制功能，讓使用者能夠控制對儲存在S3中的物件訪問權限。
2. 加密：將存在 S3 的資料進行加密。
3. 版本控制與生命週期管理：S3 提供了版本控制功能，可以幫助使用者維護資料的歷史版本。
4. 日誌存取：使用者可以根據需求啟用存取日誌，以便後續的安全稽核、風險分析等工作。

 

存取控制

使用者可以透過前面介紹的 IAM 服務、存取控制清單(ACLs)或存取政策(Policies)等方式，對 bucket 或 object 進行存取控制。

進一步來說，因為 IAM 靈活設計的優點，權限上我們能對 S3 做嚴格的範圍限縮，例如限制「某位使用者」只能「讀取」S3 bucket 上的「某個 object」，滿足「最小權限原則」的設計。

 

加密

S3支援多種加密方式，包括 SSE-S3 (S3 服務端的加密)、SSE-KMS (使用AWS Key Management Service 進行加密) 和客戶端加密等方式。

使用者可以根據需求選擇不同的加密方式，將敏感資料加密後儲存在 S3 中，以增強安全性。

 

版本控制與生命週期管理

Amazon S3 儲存的資料支援版本控制和多副本的功能，能有效地防止不小心刪除以及覆寫 bucket 中的資料。

啟用這項功能來保留、擷取和還原 Amazon S3 中存放之物件的每個版本，多副本功能也可以確保數據不會因為單點失效而遺失。

除此之外，搭配生命週期管理(Life cycle management)的功能，以自動化且「瀑布式」管理 S3 bucket 中的 object，瀑布式的生命週期管理可以幫助使用者自動識別這些需要轉換儲存類別的資料，並自動執行儲存類別轉換，減少儲存成本且能確保資料符合法規要求。

 

 

瀑布式的生命週期管理模型示意圖

 

不同儲存類別的價格和效能也不同，對於某些不再被頻繁地訪問的資料，轉換為更便宜的儲存類別來達成節省成本的目標。

這個功能定義不同的生命週期階段，將不再需要的 object 自動轉移到低成本的儲存層級或選擇永久刪除，從而釋放儲存空間，減少成本並提高效率。

 

日誌存取

 

S3 支援 Server Access Logging 和 AWS CloudTrail 兩種日誌記錄方式，能夠方便地監控 S3 bucket 的存取情況，以及追蹤特定事件的發生。

 

• Server Access Logging
  
  Server Access Logging 可以記錄 S3 bucket 內每一次的 request 紀錄，包括操作者、時間等資訊。舉例來說，存取記錄資訊在安全與存取稽核中相當實用。

 

• AWS CloudTrail
  
  AWS CloudTrail 是另一項日誌記錄的服務，記錄 AWS 帳號內的所有 API 操作事件，包含 S3 操作的行為。
  
  AWS CloudTrail 記錄事件的詳細訊息，包括操作者、時間、操作類型、目標資源等，把這些紀錄保存到 S3 bucket、Amazon CloudWatch Logs、Amazon SNS 等 AWS 服務做進一步處理。 

總結

Amazon S3 是一個極強大且靈活的儲存服務，提供多種功能，從資料傳輸、儲存，到資料的生命週期管理和安全性保護。

透過 Amazon S3，使用者可以輕鬆地儲存和管理資料，同時保持其安全性和可靠性。

 

前面的篇幅有談到三個安全性相關的使用案例包括 S3 bucket 加密，存取權控制以及日誌記錄，啟用 Amazon S3 提供的安全功能，以及如何使用這些功能來保護資料並遵守法規要求，更有效地提高資料管理的效率。

 

對於任何需要可靠和安全的雲端儲存解決方案的公司或組織來說，Amazon S3 都是一個值得考慮的選擇。

參考

• Security best practices for Amazon S3
• Amazon S3 Features