Die kurze Antwort lautet: Wir haben keine Ahnung, wahrscheinlich keine.

Es könnte vor gestohlenen Backups schützen. Dies setzt jedoch voraus, dass Amazon sogar Backups erstellt. Das scheint sehr unwahrscheinlich. Wenn ja, warum konnten sie dann keine Daten von ihrem letzten S3-Datenverlust wiederherstellen? Es ist viel billiger und effizienter, nur mehrere Live-Kopien zu verwenden.

Außerdem würde Amazon die Schlüssel bei jedem Zugriff benötigen. Daher ist es sehr unwahrscheinlich, dass sie die Schlüssel an einem anderen Ort als an ungefähr denselben Orten speichern, an denen sie die Daten speichern. Wenn Sie sich also einen Diebstahl von Live-Datengeräten vorstellen, ist es genauso wahrscheinlich, dass diese auch die Schlüssel erhalten.

Wir wissen jedoch nicht, wie Amazon Daten speichert, repliziert und / oder sichert . Wir wissen auch nicht, wo sie die Schlüssel aufbewahren oder wie sie sie verteilen. Ich habe jedoch noch kein plausibles Argument dafür gehört, dass es eine realistische Bedrohung gibt, vor der sie schützen. Die Theorie der "gestohlenen Backups" scheint auf der falschen Annahme zu beruhen, dass Amazon Backups verwendet, wenn alle Beweise darauf hindeuten, dass mehrere Live-Kopien mit den Schlüsseln in der Nähe verwendet werden.

Die Verschlüsselung von Dropbox schützt jedoch davor ein echtes Bedrohungsmodell, wenn auch ein sehr unwahrscheinliches. Dropbox speichert ihre eigenen Schlüssel und sendet sie an Sie, damit Sie vor einem betrügerischen Amazon-Mitarbeiter geschützt sind. Im Gegenzug sind Sie anfällig für einen betrügerischen Dropbox-Mitarbeiter oder einen Dropbox-Sicherheitsfehler.

Meiner Meinung nach hat Amazon diese Funktion hinzugefügt, damit sie sagen können, dass Daten verschlüsselt gespeichert werden können. Einige Leute werden sinnlos Kontrollkästchen in Funktionslisten vergleichen, und Amazon wollte ein Kontrollkästchen in der Zeile "sicher / verschlüsselt". In beiden Fällen ist das schwächste Glied höchstwahrscheinlich das interne Netzwerk und die menschliche Sicherheit von Amazon sowie die Gültigkeit der Implementierung des Codes, der entscheidet, ob Zugriffe zulässig sind oder nicht.

Ich denke, es verhindert, dass jemand in das AWS-Rechenzentrum wandert und sich eine Festplatte schnappt, aber das scheint sehr unwahrscheinlich, und vermutlich könnte jeder mit einem solchen Zugriff auch die AES-Schlüssel erhalten, wo immer sie gespeichert sind.

Gilles 'Kommentar beantwortet Ihre Frage wirklich effektiv, aber ich werde selbst eine längere Antwort geben, weil ich nett bin. Die Festplattenverschlüsselung schützt Sie vor Datenverlust, wenn eine Festplatte gestohlen wird und der Schlüssel nicht damit gestohlen wird. Solche Beispiele könnten, wie Gilles sagt, gestohlene Backups sein, aber auch unterwegs in Laptops oder auf Festplatten entsorgt werden, um sinnvolle Versuche zu verhindern, Daten von Ihren stillgelegten Festplatten zu retten.

Die Festplattenverschlüsselung hilft Ihnen nicht viel, wenn Sie den Schlüssel und die Festplatte zusammenfügen, da die Sicherheit vom Schlüssel abhängt und die Daten entschlüsselt werden können, wenn der Schlüssel abgefangen werden kann. Der Schlüssel und die Festplatte befinden sich notwendigerweise immer in unmittelbarer Nähe, wenn das Betriebssystem eingeschaltet ist und die Festplatte verwendet (für jeden Lesevorgang ist dieser Schlüssel erforderlich), sodass jeder in der Nähe, der den Schlüssel vernünftigerweise abfangen kann, die Daten lesen kann. Natürlich müssen Sie in der Lage sein, den Schlüssel wiederherzustellen, um jede Art von Angriff auszuführen. Daher ist es etwas schwieriger als nur das Kopieren einer Festplatte (aber nicht viel). Im Grunde genommen haben Sie also Recht.

Es ist jedoch immer noch eine gute Idee, Ihre Festplatten zu schützen, um den potenziellen Datenverlust durch Diebstahl und Entsorgung von Festplatten zu minimieren. Sie wissen nicht, was oder wie Amazon diese Festplatten zerstört. Wenn Sie also wertvolle Informationen darüber haben, ist es eine gute Idee, sie verschlüsseln zu lassen.

Worum geht es also wirklich? Um nur zu sagen, die Daten sind "verschlüsselt"?

Das ist tatsächlich ein möglicher Faktor. Wie ich bereits sagte, hat die Verschlüsselung von Daten greifbare Vorteile, die nicht ganz den Erwartungen entsprechen, aber dennoch vorhanden sind. Ich hatte jedoch Kundenanforderungen, dass Daten auf dem Server in einem ähnlichen Szenario wie ein Marketingpunkt verschlüsselt werden (wir verschlüsseln Ihre Daten). Ich denke, es gibt dort eine pädagogische Herausforderung für Sicherheitsleute.

Einige Dinge, die Sie beachten sollten:

• Amazon wird von einer Vielzahl von Unternehmen verwendet.
• Viele wertvolle Daten: Finanzdaten, geistiges Eigentum usw.
• Kriminelle wie solche Ziele, die einen hohen Barwert erzielen können
• Kriminalitätsgruppen sind nicht abgeneigt, Personen in Rechenzentren zu platzieren oder Mitarbeiter zu zwingen, schändliche Aufgaben auszuführen

Übersehen Sie nicht das Problem, dass Ihre Daten absichtlich oder auf andere Weise von Dritten verloren gehen, auch von solchen, die so groß wie Amazon sind.

Wenn Sie S3 SSE verwenden, kann jeder mit den richtigen IAM-Anmeldeinformationen Ihre S3-Objekte lesen und / oder schreiben, genau wie wenn Sie SSE nicht verwenden. Auf den ersten Blick sieht es so aus, als ob der einzige zusätzliche Vorteil darin besteht, dass die Daten vor Situationen geschützt sind, in denen jemand offline auf S3 zugreifen kann, wie z. B. Festplatten oder Backups (von denen ich bezweifle, dass AWS sie erstellt, ist es viel wahrscheinlicher, dass sie sich darauf verlassen nur Replikation). Ich denke jedoch, dass Sie es mit der Alternative vergleichen müssen, um die tatsächlichen Vorteile zu erzielen:

Für die clientseitige Verschlüsselung mit S3 sind zwei Komponenten erforderlich: ein Verschlüsselungsschlüssel und IAM-Anmeldeinformationen für die Authentifizierung und Autorisierung. Bei Verwendung der serverseitigen Verschlüsselung benötigen Sie nur IAM-Anmeldeinformationen.

Bei Verwendung der clientseitigen Verschlüsselung müssen Sie den Verschlüsselungsschlüssel an alle Computer verteilen, die Lese- und / oder Schreibzugriff auf die verschlüsselten Daten in S3 haben. In beiden Fällen müssen Sie auch die IAM-Anmeldeinformationen verteilen.

Wenn Ihre Computer gefährdet sind, ist Ihr Verschlüsselungsschlüssel gefährdet. Sie können die IAM-Anmeldeinformationen ungültig machen, sobald Sie von dem Einbruch erfahren. Wenn Sie IAM-Rollen oder temporäre IAM-Anmeldeinformationen verwenden, hat der Angreifer nur Zugriff auf Ihre Daten, solange er die Kontrolle über den Computer hat (was jedoch schlimm genug ist Vielleicht ist es nicht das Ende der Welt, aber Sie müssen auch darüber nachdenken, was als nächstes passiert. Bei der clientseitigen Verschlüsselung verfügt der Angreifer über Ihren Verschlüsselungsschlüssel, und alle mit dem kompromittierten Verschlüsselungsschlüssel verschlüsselten Daten müssen erneut verschlüsselt werden. Bei der serverseitigen Verschlüsselung müssen Sie Ihre Daten nicht erneut verschlüsseln, da weder Sie noch der Angreifer über den Verschlüsselungsschlüssel verfügen.

Auch wenn Sie keine Pause haben, kann es vorkommen, dass Ihr Verschlüsselungsschlüssel kompromittiert wird, wenn ein Laptop verloren geht oder gestohlen wird, wenn jemand, der es nicht besser weiß, ihn per E-Mail an jemanden sendet oder wenn jemand beendet und Sie können nicht ganz sicher sein, dass sie Dinge nicht mitgenommen haben. Zu diesem Zeitpunkt ist Ihr Verschlüsselungsschlüssel kompromittiert und Sie sollten wahrscheinlich alle Ihre Daten neu verschlüsseln. Das kann viel Arbeit sein. Bei der serverseitigen Verschlüsselung müssen Sie lediglich die IAM-Anmeldeinformationen ungültig machen und neue ausstellen.

Es gibt wahrscheinlich Möglichkeiten, die oben erwähnten Probleme mit der clientseitigen Verschlüsselung zu verringern, aber für mich ist dies der Fall Die Verwendung von SSE mit S3 hat weniger Nachteile als die Verwaltung selbst.

Schließlich stellt sich die Frage, wie sicher es ist, dass AWS Ihre Verschlüsselungsschlüssel verwaltet:

Laut AWS ist das System Die Verwaltung der Verschlüsselungsschlüssel ist von S3 getrennt, mit der Absicht, dass jemand, der von außen in S3 einbricht, Ihre Daten nicht erhält, weil er nicht über die Verschlüsselungsschlüssel verfügt. Wenn sie nur in das Schlüsselverwaltungssystem eindringen (auf das von außen wahrscheinlich ohnehin nicht direkt zugegriffen werden kann), verfügen sie nicht über Ihre Daten, da sie in S3 keinen Zugriff darauf haben. Sie müssen in sowohl S3 als auch in das Schlüsselverwaltungssystem einbrechen, um auf Ihre Daten zuzugreifen.

Wenn sie stattdessen in das physische Rechenzentrum einbrechen, erhalten sie möglicherweise gleichzeitig Zugriff auf das Schlüsselverwaltungssystem und S3. Die Frage ist jedoch, ob dies die Dinge einfacher macht oder nicht. Ich denke, dass wir erstens darauf vertrauen müssen, dass AWS über geeignete Sicherheitsmaßnahmen verfügt, um zu verhindern, dass Benutzer ihre Rechenzentren betreten, und zweitens, dass Sie mehr tun müssen, als Schlüssel vom Schlüsselverwaltungssystem zu erhalten Ziehen Sie einfach einige Laufwerke heraus. Soweit ich gesehen habe, veröffentlicht AWS nicht genau, wie das Schlüsselverwaltungssystem geschützt ist, sondern sagt nur, dass es mit mehreren Sicherheitsebenen geschützt ist. Es ist Spekulation, aber die Festplattenverschlüsselung ist wahrscheinlich eine davon.

Wie viele von Ihnen bereits erwähnt haben, bietet dies in der Tat ein zusätzliches Maß an Sicherheit (erinnern Sie sich an Ebenen?), Wenn die Festplatten verloren gehen oder irgendwie darauf zugegriffen wird. Aber ich finde es unglaublich, dass noch niemand Sicherheitszertifizierungen erwähnt hat.

Ich weiß. Einige von Ihnen, die dies lesen, denken möglicherweise bereits "Zertifizierungen sind Schwachsinn". Nun ... sie können es sein. Aber wenn sie richtig gemacht werden, können sie einige wichtige Funktionen sicherstellen und sind eine wirklich große Sache in der Unternehmenswelt. Insbesondere für IaaS-Anbieter, bei denen ihre Mitarbeiter nur einen geringen Zugriff auf alle Ihre Daten und Codes benötigen, um den Service bereitzustellen.

Die Bedrohung besteht hier also nicht darin, dass AWS Zugriff auf die Daten hat (sie haben), sondern dass ein bestimmter AWS-Mitarbeiter Zugriff auf die Daten hat.

Ich kenne nicht alle hier aufgeführten Programme . Aber ich bin mir ziemlich sicher, dass einige von ihnen Aufgabentrennung erfordern. Dies würde bedeuten, dass AWS einen externen Prüfer davon überzeugen musste, dass er die Aufgabentrennung ordnungsgemäß umsetzt, wenn Sicherheitsmerkmale dies erfordern. In diesem speziellen Fall würde dies bedeuten, dass die AWS-Mitarbeiter, die Zugriff auf die verschlüsselten Daten haben, niemals Zugriff auf die Verschlüsselungsschlüssel haben und die Mitarbeiter, die Zugriff auf die Verschlüsselungsschlüssel haben können, niemals Zugriff auf die Daten haben

Ja, Sie müssen AWS bereits sowohl die Schlüssel als auch die Daten anvertrauen, aber diese Zertifizierungen sollen Ihnen versichern, dass sie steuern, wer (innerhalb des Unternehmens) Zugriff auf was hat. Ein zusätzliches Maß an Vertrauen, das auch einen großen Teil der Sicherheit ausmacht.

Andererseits benötigen AWS-Kunden, die ebenfalls zertifiziert werden möchten, dies auch, um die Verschlüsselung ruhender Daten einzuhalten. Dies kann nur gültig sein, wenn sie auch sicherstellen, dass die Schlüssel ordnungsgemäß gespeichert und verwaltet werden. Mit dieser Funktion und AWS-Zertifizierungen können sie diese an AWS delegieren.

Da andere Antworten weitgehend implizieren, dass die Funktion nahezu unbrauchbar ist, müssen Sie sich das Gesamtbild der Best Practices und Vorschriften für die Informationssicherheit ansehen, um zu verstehen, warum sie vorhanden ist.

Aktuelle Interpretationen der US-Datenschutzgesetze (z. B. HIPAA, PCI) erfordern, dass alle Kundendaten im Ruhezustand verschlüsselt werden. Wenn Sie der Meinung sind, dass bei Amazon gespeicherte Daten von dieser Anforderung ausgenommen sein sollten, erläutern Sie Ihre Argumentation Ihrem Rechtsberater. Viel Glück damit. Die Regeln sind einheitlich und gelten für eine Festplatte in einem Laptop gleichermaßen wie für ein Festplattenarray in einem "sicheren" Rechenzentrum.

Während Amazon-Mitarbeiter möglicherweise gestohlen werden Für einige ist es das Hauptverkaufsargument der Funktion, Unternehmen vor der Nichteinhaltung geltender Best Practices und Vorschriften zu schützen, die möglicherweise die Verschlüsselung ruhender Daten erfordern.

Sie können auch vor jemandem geschützt werden, der bei S3 in die Festplatten einbricht - sagen Sie (humorvoll), dass die Festplatte, auf der die S3-Daten gespeichert wurden, auch ein Startlaufwerk für eine funktionierende Windows XP-Box ist und jemand in den XP-Computer einbricht (nicht physisch - durch einen Hack). Sie haben dann alle Dateien auf dem Computer, aber Ihre sind mit Schlüsseln verschlüsselt, die auf einer anderen Box gespeichert sind, sodass alle Diebe nur digitalen Müll bekommen.

Vielleicht ist die Wahrscheinlichkeit, dass jemand in ein S3-Array einbricht, gering, aber ich stehe auf der Seite anderer Poster und wette, dass sich die Schlüssel hinter einer anderen Wand befinden. Außerdem verwenden sie wahrscheinlich unterschiedliche Schlüssel für jedes Konto.

Es ist zwar keine Menge Sicherheit, aber es ist vorhanden. Dropbox hat eine riesige de-duplizierte Karte für sein Geschäft, daher sehe ich nicht, wie sie mit unterschiedlichen Schlüsseln für jedes Konto verschlüsseln könnten.