我目前正在为AWS DynamoDB设置加密,以便对被视为敏感的表上的各个列进行设置。从我的研究中,我已经决定使用AWS KMS很可能是最好的方法。由此发出了一个关于这样做的基本工作的(也许是非常基本的)问题。使用AWS KMS加密数据的目的是什么?
我想,加密这些数据的真正目的是为了防止人们通过受到威胁的AWS账户访问我的数据(也许AWS本身受到威胁,但我想这是次要的)。但是,如果我的AWS账户受到攻击......攻击者是否不能访问我的KMS密钥(不是直接访问,而是使用API来加密和解密数据的能力?)
这是一个非常基本的问题,我敢肯定,但我觉得我不能在我的知识面前出现一个漏洞。
拥有KMS的目的是保护您的数据,同时密钥永远不会被您的应用程序看到,因为密钥永远不会离开KMS。您可以将数据提交给AWS KMS,以便在您控制的密钥下进行加密或解密。您可以在这些密钥上设置使用策略,以确定哪些用户可以使用它们来加密和解密数据。所有使用这些密钥的请求均记录在AWS CloudTrail中,以便您了解谁在何时使用了哪个密钥。
让KMS使攻击者无法获取加密密钥。即使攻击者暂停您的AWS账户(假设他获得了Admin Access和KMS Access)并使用KMS解密邮件,您也将能够通过访问这些密钥的日志看到这是必要的安全措施识别这些威胁。因此,一般来说,如果您向用户提供最低权限(不允许每个人都可以访问KMS),同时通过MFA保护root帐户安全,攻击者访问KMS将非常困难。
我想我担心的是:我可以锁定我的EC2实例的KMS权限,这是我需要做数据加密/解密的地方。这受到我的私钥的保护 - 没有它,任何人都无法接受。但是我们的ElasticBeanstalk设置用于部署?看起来就像一个大漏洞 - 任何获得ELB许可的人都可以使用他们自己的自定义代码将一个版本部署到EC2,并将我们的数据解密并将其复制到某个外部源。对此有何想法? –
是的,如果一个人有权访问Elastic Beanstalk攻击者可以做他想做的事。但是KMS仍然在减少攻击面。 – Ashan
够公平的:)它确实如此 - 我想知道我是否也可以以某种方式锁定ELB。非常感谢您的帮助,我的朋友! –
您确实启用了双因素身份验证,对不对? – zaph