Please enable JavaScript.
Coggle requires JavaScript to display documents.
AWS Security - Coggle Diagram
AWS Security
existem 3 formas de criptograr os dados
Encryption in flight (SSL)
as duas partes trocam as chaves necessárias para criptografar e descriptografar os dados
o emissor da informação
criptografa os dados antes do envio
o receptor
descriptografa após o recebimento dos dados
previne o ataque Man in the Middle
Server side encryption
os dados são criptografados após serem recebidos pelo servidor
é utilizado uma
data key
para criptografar e descriptografar as informações
a chave de criptografia deve ser acessível aos processos de abertura e fechamento
Client side encryption
os dados são criptografados no emissor e nunca descriptografados no receptor
a descriptografia ocorre do lado do emissor
Envelope Encryption
KSM
Key Management Service
serviço
regional
gerenciado que fornece chaves para controle de acesso a recursos
pode ser utilizado para autorização junto ao IAM e com CLI e SDK
Integrações
EBS para criptografia de volumes
S3 criptografia de objetos server side
Redshift criptografia de dados
RDS criptografia de dados
SSM armazenamento de parametros
AWS CLI e SDKs
é limitado a criptografar 4KB de dados por chamada
se o conteúdo a ser criptografado é maior, é precisso utilizar
envelope encryption
Customer Master Key (CMK)
Simétrica (AES-256)
padrão recomendável para criptografia e descriptografia de informaçoes
os serviços integrados com o KMS usam CMKs
2 more items...
Tipos de CMK
3 more items...
Assimétrica (RSA e ECC key pair)
possuir dois pares de chaves, um público e outro privado
a chave pública é acessível a todos (criptografia) mas a chave privada não é acessível por ninguém (descriptografia)
2 more items...
API
Encrypt
utilizado para conteúdos < 4KB
1 more item...
Decrypt
descriptografia ocorre no serviço para conteúdos < 4KB
descriptografia no client para conteúdos > 4KB
1 more item...
GenerateDataKey
utilizado para
dados > 4KB
1 more item...
GenerateDataKeyWithoutPlainText
não retorna a DEK aberta, mas está disponível para uso futuro no CMK
GenerateRandom
retorna uma string randomica
SDK
implementação das funções de criptografia em diversas linguagens
Data Key Caching
1 more item...
Limitações
as quotas de uso são compartilhadas por contra por região, ou seja, todas as operações criptográficas consomem a quota sem distinção
para evitar o throttling é possível utilizar backoff exponencial, cache de DEK quando aplicável, requisitar um automento de quota pela API ou ticket
2 more items...
KMS Key Policies
controla o acesso as chaves KMS e
por padrão ninguém está autorizado a acessar uma chave, a menos que informado na policy
Default KSM Key Policy
usuário root tem acesso total as chaves
Custom KMS Key Policy
define os usuários e roles que tem acesso a chave
define quem são os admin da chave
útil para acesso entre contas
é preciso incluir uma policy para autorizar o uso das APIs
AWS Managed Keys
chaves geradas pela própria AWS e específicas para cada serviço que fornecem criptografia com chaves padrão
essas chaves são grátis, mas os usuários não tem ação sobre elas
Funcionalidades
criar chaves
politica de rotação
desabilitar chaves
habilitar chaves
auditoria de uso com o CloudTrail