Về tính năng mã hóa mới của S3: Double Layer Server Side encryption (DSSE-KMS)
Thông báo ra mắt tính năng ngày 13/6/2023:
DSSE-KMS là gì?
DSSE-KMS là một lựa chọn mã hóa mới applies 2 layers mã hóa cho các object trong S3 bucket của bạn khi bạn upload lên.
DSSE-KMS được thiết kế để đáp ứng hướng dẫn National Security Agency CNSSP 15 về tuân thủ FIPS và Data-at-Rest Capability Package (DAR CP) phiên bản 5.0, nó giúp đáp ứng các yêu cầu quy định về áp dụng nhiều lớp mã hóa cho dữ liệu.
Mỗi lớp mã hóa DSSE-KMS sử dụng Tiêu chuẩn mã hóa 256-bit Advanced Encryption Standard với thuật toán Galois Counter Mode (AES-GCM).
CNSSP 15 và DAR CP phiên bản 5.0
CNSSP 15 và DAR CP phiên bản 5.0 nằm trong số các tiêu chuẩn bảo mật do chính phủ Hoa Kỳ đặt ra và có các yêu cầu nghiêm ngặt đối với công nghệ mã hóa và bảo vệ dữ liệu.
Đáp ứng các tiêu chuẩn này đảm bảo rằng dữ liệu nhạy cảm được bảo vệ đầy đủ và an toàn khỏi bị truy cập và giả mạo trái phép.
CNSSP 15
DSSE-KMS tuân thủ CNSSP 15, là đáp ứng các yêu cầu sau:
Thuật toán mã hóa: Sử dụng thuật toán được chấp nhận bởi cơ quan An ninh Quốc gia (Hoa Kỳ) – NSA (AES, ECDSA, Diffie-Hellman Key Exchange, etc.)
Key size: Sử dụng các khóa có độ dài khóa phù hợp để đảm bảo tính bảo mật cao (ví dụ: 256 bit cho AES-GCM).
Key management: Các chính sách key rotation và permission management được áp dụng.
DAR CP phiên bản 5.0
DAR CP (Data At Rest Cryptographic Protection) là hướng dẫn về các kỹ thuật mã hóa để bảo vệ data at rest.
DSSE-KMS tuân thủ DAR CP phiên bản 5.0 bằng việc đáp ứng các yêu cầu sau:
Double layer encryption (mã hóa 2 lớp): Hai lớp mã hóa khác nhau được sử dụng và có các khóa mã hóa dữ liệu độc lập giúp bảo vệ dữ liệu mạnh mẽ hơn.
Các implementations khác nhau của cùng 1 thuật toán mã hóa: Thuật toán được sử dụng trong mỗi lớp mã hóa là cùng một thuật toán, nhưng sử dụng các triển khai khác nhau để giảm thiểu các lỗ hổng tiềm ẩn. Ví dụ: một lớp có thể sử dụng mật khẩu, trong khi lớp kia phải sử dụng mã thông báo hoặc các yếu tố khác.
Nội dung của DAR CP phiên bản 5.0 có thể xem tại checlist trên trang web của cơ quan an ninh Quốc gia Hoa Kì:
Bằng cách tuân thủ các tiêu chuẩn này, DSSE-KMS đã được chứng minh là cung cấp các biện pháp bảo vệ an ninh nâng cao và đảm bảo tuân thủ và an toàn dữ liệu.
Các tùy chọn mã hóa phía máy chủ (server-side) do Amazon S3 cung cấp cho tới thời điểm hiện tại
Server-side encryption with Amazon S3 Managed Keys (SSE-S3)
Server-side encryption with AWS KMS customer-managed keys (SSE-KMS)
Server-side encryption with customer-provided keys (SSE-C)
Double-layer server-side encryption with keys stored in KMS (DSSE-KMS)
Thử sử dụng
Đầu tiên tạo S3 bucket và chọn chế độ mã hóa:
Thử tải lên tập tin sau đó sử dụng aws s3 api head-object để kiểm tra:
yen:~/environment $ aws s3api head-object \
> --bucket ewfjdsfdjks \
> --key 7.jpg
{
"AcceptRanges": "bytes",
"LastModified": "2023-07-06T13:26:18+00:00",
"ContentLength": 98558,
"ETag": "\"xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\"",
"ContentType": "image/jpeg",
"ServerSideEncryption": "aws:kms:dsse",
"Metadata": {},
"SSEKMSKeyId": "arn:aws:kms:ap-northeast-1:XXXXXXXXXXXX:key/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
}
Có thể thấy từ kết quả, ServerSideEncryption là DSSE.
Nếu bạn truy cập cùng 1 API từ môi trường nơi tất cả các quyền KMS bị từ chối:
yen:~/environment $ aws s3api head-object \
> --bucket ewfjdsfdjks \
> --key 7.jpg
An error occurred (AccessDenied) when calling the GetObject operation: The ciphertext refers to a customer master key that does not exist, does not exist in this region, or you are not allowed to access.
Bạn sẽ gặp lỗi AccessDenied.
DSSE-KMS hiện khả dụng ở tất cả các Khu vực AWS.
Giá
DSSE-KMS tính phí 0,003 USD mỗi gigabyte (Bắc Virginia), ngoài ra bạn
phải trả thêm phí mã hóa cho mỗi gigabyte cho lớp mã hóa và giải mã thứ hai đối với dữ liệu của bạn.
Amazon S3 bổ sung Mã hóa phía máy chủ hai lớp (DSSE-KMS), một cải tiến bổ sung trong việc tuân thủ và bảo vệ dữ liệu.
Các trường hợp cần sử dụng DSSE-KMS dường như vẫn còn hạn chế, nhưng nhu cầu có thể tăng lên như một biện pháp an ninh mạng trong tương lai.
Tài liệu tham khảo thêm: