我目前正在爲AWS DynamoDB設置加密,以便對被視爲敏感的表上的各個列進行設置。從我的研究中,我已經決定使用AWS KMS很可能是最好的方法。由此發出了一個關於這樣做的基本工作的(也許是非常基本的)問題。使用AWS KMS加密數據的目的是什麼?
我想,加密這些數據的真正目的是爲了防止人們通過受到威脅的AWS賬戶訪問我的數據(也許AWS本身受到威脅,但我想這是次要的)。但是,如果我的AWS賬戶受到攻擊......攻擊者是否不能訪問我的KMS密鑰(不是直接訪問,而是使用API來加密和解密數據的能力?)
這是一個非常基本的問題,我敢肯定,但我覺得我不能在我的知識面前出現一個漏洞。
擁有KMS的目的是保護您的數據,同時密鑰永遠不會被您的應用程序看到,因爲密鑰永遠不會離開KMS。您可以將數據提交給AWS KMS,以便在您控制的密鑰下進行加密或解密。您可以在這些密鑰上設置使用策略,以確定哪些用戶可以使用它們來加密和解密數據。所有使用這些密鑰的請求均記錄在AWS CloudTrail中,以便您瞭解誰在何時使用了哪個密鑰。
讓KMS使攻擊者無法獲取加密密鑰。即使攻擊者暫停您的AWS賬戶(假設他獲得了Admin Access和KMS Access)並使用KMS解密郵件,您也將能夠通過訪問這些密鑰的日誌看到這是必要的安全措施識別這些威脅。因此,一般來說,如果您向用戶提供最低權限(不允許每個人都可以訪問KMS),同時通過MFA保護root帳戶安全,攻擊者訪問KMS將非常困難。
我想我擔心的是:我可以鎖定我的EC2實例的KMS權限,這是我需要做數據加密/解密的地方。這受到我的私鑰的保護 - 沒有它,任何人都無法接受。但是我們的ElasticBeanstalk設置用於部署?看起來就像一個大漏洞 - 任何獲得ELB許可的人都可以使用他們自己的自定義代碼將一個版本部署到EC2,並將我們的數據解密並將其複製到某個外部源。對此有何想法? –
是的,如果一個人有權訪問Elastic Beanstalk攻擊者可以做他想做的事。但是KMS仍然在減少攻擊面。 – Ashan
夠公平的:)它確實如此 - 我想知道我是否也可以以某種方式鎖定ELB。非常感謝您的幫助,我的朋友! –
您確實啓用了雙因素身份驗證,對不對? – zaph