🥇 Encriptación en S3.

Es altamente recomendable encriptar todos los datos en S3, tanto en movimiento como en reposo.

Para encriptar S3 en movimiento, se puede utilizar SSL, esto asegura que los datos enviados a S3 estan encriptados mientras transitan usando el protocolo HTTPS.

Para encriptar los datos en reposo, se pueden utilizar varios tpos de encriptación del lado del servidor (Server Side Encryption SSE). S3 encripta los datos a nivel de los objetos mientras escribe en el disco, y los desencripta mientras son accesados. Toda esta SSE es realizada por S3 y KMS utilizando encriptacion estandar avanzada de 256 bit (Advanced Encryption Standard AES). Tambien es posible realizar encriptacion de los datos antes de enviar la información a S3.

🍿 SSE-S3 (AWS Managed Keys).

Estes es una solucion de encriptacion en donde AWS maneja la administración de la llave y su protección. Cada objeto es encriptado con una llave unica. Y la propia llave es a su ves encriptada por una llave maestra. Una nueva llave maestra es generada cada mes. Los datos encriptados, las llaves encriptadas y las llaves maestras son almacenadas en hosts seguros para mayor protección.

🍿 SSE-KMS (AWS KMS Keys).

Esta es una solucion completamente integrada en donde Amazon maneja la administración y protección de las llaves de S3, pero el usuario maneja las llaves. SSE-KMS ofrece beneficios adiciones comparados como SSE-S3 como permisos para uso de llaves maestras, lo que provee proteccion contra acceso no autorizado a los objetos en Amazon S3, y una capa adicional de control. Tambien provee auditorias, de forma que puede saber quien usa su llave para accesar que objeto y cuando se intento acceder a el. KSM tambien permite ver cualquier fallo en un intento de acceder datos para usuarios que no tenian permiso de desencriptarlos.

🍿 SSE-C (Llaves provistas por el cliente “C - Customer”).

Este es utilizado cuando se desea mantener sus propias llaves de encriptación, pero no se desea implementar su propia libreria de encriptación. Con SSE-C, AWS ejecutara la encriptación y desencriptación de los objetos, mientras mantiene control completo de las llaves utilizadas para encriptar o desencriptar objetos en S3.

🍿 Client Side Encription (Encriptacion por parte del cliente).

Se refiere a la encriptacion de datos en el lado del cliente de su aplicación, es decir antes de enviarlo a S3, para lo cual se tienen dos opciones.

Administración del ciclo de vida en S3. Otros aspectos de S3.
comments powered by Disqus