Perlindungan Data di AWS Snowball Edge - AWS Snowball Edge Panduan Pengembang
Melindungi Data di CloudMelindungi Data Pada Perangkat Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan Data di AWS Snowball Edge

AWS Snowball sesuai dengan model tanggung jawab AWS bersama, yang mencakup peraturan dan pedoman untuk perlindungan data. AWS bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS layanan. AWS Mempertahankan kontrol atas data yang dihosting di infrastruktur ini, termasuk kontrol konfigurasi keamanan untuk menangani konten pelanggan dan data pribadi. AWS pelanggan dan mitra APN, yang bertindak baik sebagai pengontrol data atau pengolah data, bertanggung jawab atas data pribadi apa pun yang mereka masukkan ke dalam. AWS Cloud

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS Identity and Access Management (IAM), sehingga setiap pengguna hanya diberikan izin yang diperlukan untuk memenuhi tugas pekerjaan mereka. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

  • Gunakan autentikasi multi-faktor (MFA) pada setiap akun.

  • Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami merekomendasikan TLS 1.2 atau versi yang lebih baru.

  • Siapkan API dan logging aktivitas pengguna dengan AWS CloudTrail.

  • Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default dalam AWS layanan.

  • Gunakan layanan keamanan terkelola lanjutan seperti Amazon Macie, yang membantu menemukan dan mengamankan data pribadi yang disimpan di Amazon S3.

  • Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-2 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Untuk informasi lebih lanjut tentang titik akhir FIPS yang tersedia, lihat Standar Pemrosesan Informasi Federal (FIPS) 140-2.

Kami sangat merekomendasikan agar Anda tidak memasukkan informasi identifikasi sensitif apapun, seperti nomor rekening pelanggan Anda, ke dalam kolom isian teks bebas seperti kolom Nama. Ini termasuk saat Anda bekerja dengan AWS Snowball atau AWS layanan lain menggunakan konsol, API AWS CLI, atau AWS SDK. Data apa pun yang Anda masukkan ke AWS Snowball atau layanan lain mungkin akan diambil untuk dimasukkan dalam log diagnostik. Saat Anda memberikan URL ke server eksternal, jangan menyertakan informasi kredensial di URL untuk memvalidasi permintaan Anda ke server tersebut.

Untuk informasi selengkapnya tentang perlindungan data, lihat postingan blog Model Tanggung Jawab Bersama AWS dan GDPR di Blog Keamanan AWS .

Melindungi Data di Cloud

AWS Snowball melindungi data Anda saat mengimpor atau mengekspor data ke Amazon S3, saat Anda membuat pekerjaan untuk memesan perangkat Keluarga Salju, dan saat perangkat Anda diperbarui. Bagian berikut menjelaskan bagaimana Anda dapat melindungi data Anda ketika Anda menggunakan Snowball Edge dan sedang online atau berinteraksi dengan AWS di cloud.

Enkripsi untuk AWS Snowball Edge

Saat Anda menggunakan Snowball Edge untuk mengimpor data ke S3, semua data yang ditransfer ke perangkat dilindungi oleh enkripsi SSL melalui jaringan. Untuk melindungi data at rest, AWS Snowball Edge menggunakan server side-enkripsi (SSE).

Enkripsi Sisi Server di Edge AWS Snowball

AWS Snowball Edge mendukung enkripsi sisi server dengan kunci enkripsi terkelola Amazon S3 (SSE-S3). Enkripsi sisi-server adalah tentang melindungi data at rest, dan SSE-S3 memiliki enkripsi multifaktor yang kuat untuk melindungi data at rest Anda dalam Amazon S3. Untuk informasi selengkapnya tentang SSE-S3, lihat Melindungi Data Menggunakan Enkripsi Sisi Server dengan Kunci Enkripsi Terkelola Amazon S3 (SSE-S3) di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Saat ini, AWS Snowball Edge tidak menawarkan enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C). Penyimpanan yang kompatibel dengan Amazon S3 pada perangkat Snow Family menawarkan SSS-C untuk pekerjaan komputasi dan penyimpanan lokal. Namun, Anda mungkin ingin menggunakan jenis SSE tersebut untuk melindungi data yang telah diimpor, atau Anda mungkin sudah menggunakannya pada data yang ingin diekspor. Dalam kasus ini, ingatlah hal-hal berikut:

  • Impor -

    Jika Anda ingin menggunakan SSE-C untuk mengenkripsi objek yang telah Anda impor ke Amazon S3, Anda harus mempertimbangkan untuk menggunakan enkripsi SSE-KMS atau SSE-S3 sebagai gantinya dibuat sebagai bagian dari kebijakan bucket tersebut. Namun, jika Anda harus menggunakan SSE-C untuk mengenkripsi objek yang telah Anda impor ke Amazon S3, maka Anda harus menyalin objek di dalam bucket Anda untuk mengenkripsi dengan SSE-C. Contoh perintah CLI untuk mencapai ini ditunjukkan di bawah ini:

    aws s3 cp s3://mybucket/object.txt s3://mybucket/object.txt --sse-c --sse-c-key 1234567891SAMPLEKEY

    atau

    aws s3 cp s3://mybucket s3://mybucket --sse-c --sse-c-key 1234567891SAMPLEKEY --recursive

  • Ekspor – Jika Anda ingin mengekspor objek yang dienkripsi dengan SSE-C, pertama-tama salin objek tersebut ke bucket lain yang tidak memiliki enkripsi sisi server, atau memiliki SSE-KMS atau SSE-S3 yang ditentukan dalam kebijakan bucket tersebut.

Mengaktifkan SSE-S3 untuk Data yang Diimpor ke Amazon S3 dari Snowball Edge

Gunakan prosedur berikut di Konsol Manajemen Amazon S3 untuk mengaktifkan SSE-S3 untuk data yang diimpor ke Amazon S3. Tidak ada konfigurasi yang diperlukan di Konsol Manajemen AWS Snow Family atau pada perangkat Snowball itu sendiri.

Untuk mengaktifkan enkripsi SSE-S3 untuk data yang Anda impor ke Amazon S3, cukup atur kebijakan bucket untuk semua bucket tempat Anda mengimpor data. Anda memperbarui kebijakan untuk menolak izin mengunggah objek (s3:PutObject) jika permintaan unggahan tidak termasuk header x-amz-server-side-encryption.

Untuk mengaktifkan SSE-S3 untuk data yang diimpor ke Amazon S3

  1. Masuk ke AWS Management Console dan buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.

  2. Pilih bucket tempat Anda ingin mengimpor data dari daftar bucket.

  3. Pilih Izin.

  4. Pilih Kebijakan Bucket.

  5. Di Editor kebijakan bucket, masukkan kebijakan berikut. Ganti semua instans YourBucket dalam kebijakan ini dengan nama bucket Anda.

    {
  "Version": "2012-10-17",
  "Id": "PutObjPolicy",
  "Statement": [
    {
      "Sid": "DenyIncorrectEncryptionHeader",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::YourBucket/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "AES256"
        }
      }
    },
    {
      "Sid": "DenyUnEncryptedObjectUploads",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::YourBucket/*",
      "Condition": {
        "Null": {
          "s3:x-amz-server-side-encryption": "true"
        }
      }
    }
  ]
}

  6. Pilih Simpan.

Anda telah selesai mengonfigurasi bucket Amazon S3. Saat data Anda diimpor ke bucket ini, data tersebut dilindungi oleh SSE-S3. Ulangi prosedur ini untuk bucket lainnya, jika perlu.

AWS Key Management Service di AWS Snowball Edge

AWS Key Management Service (AWS KMS) adalah layanan terkelola yang memudahkan Anda membuat dan mengontrol kunci enkripsi yang digunakan untuk mengenkripsi data Anda. AWS KMS menggunakan modul keamanan perangkat keras (HSM) untuk melindungi keamanan kunci Anda. Secara khusus, Nama Sumber Daya Amazon (ARN) untuk AWS KMS kunci yang Anda pilih untuk pekerjaan di AWS Snowball Edge dikaitkan dengan kunci KMS. Kunci KMS digunakan untuk mengenkripsi kode buka kunci untuk tugas Anda. Kode buka kunci digunakan untuk mendekripsi lapisan atas enkripsi pada file manifes Anda. Kunci enkripsi yang disimpan dalam file manifes digunakan untuk mengenkripsi dan mendekripsi data pada perangkat.

Di AWS Snowball Edge, AWS KMS lindungi kunci enkripsi yang digunakan untuk melindungi data di setiap AWS Snowball Edge perangkat. Ketika Anda membuat tugas Anda, Anda juga memilih kunci KMS yang ada. Menentukan ARN untuk AWS KMS kunci AWS Snowball memberi tahu AWS KMS keys mana yang akan digunakan untuk mengenkripsi kunci unik pada perangkat. AWS Snowball Edge Untuk informasi selengkapnya tentang server-side-encryption opsi Amazon S3 yang didukung AWS Snowball Edge, lihat. Enkripsi Sisi Server di Edge AWS Snowball

Menggunakan Managed Customer AWS KMS keys untuk Snowball Edge

Jika Anda ingin menggunakan pelanggan terkelola AWS KMS keys untuk Snowball Edge yang dibuat untuk akun Anda, ikuti langkah-langkah berikut.

Untuk memilih AWS KMS keys untuk pekerjaan Anda

  1. Pada Konsol Manajemen AWS Snow Family, pilih Buat pekerjaan.

  2. Pilih jenis tugas Anda, lalu pilih Berikutnya.

  3. Berikan rincian pengiriman Anda, lalu pilih Selanjutnya.

  4. Isi detail tugas Anda, lalu pilih Selanjutnya.

  5. Atur opsi keamanan Anda. Di bawah Enkripsi, untuk kunci KMS pilih Kunci yang dikelola AWS atau kunci khusus yang sebelumnya dibuat di AWS KMS, atau pilih Masukkan kunci ARN jika Anda perlu memasukkan kunci yang dimiliki oleh akun terpisah.

    catatan

    AWS KMS key ARN adalah pengidentifikasi unik global untuk kunci yang dikelola pelanggan.

  6. Pilih Berikutnya untuk menyelesaikan memilih Anda AWS KMS key.

  7. Berikan akses pengguna IAM perangkat Snow ke tombol KMS.

    1. Di konsol IAM (https://console.aws.amazon.com/iam/), buka Kunci Enkripsi dan buka kunci KMS yang Anda pilih untuk digunakan untuk mengenkripsi data pada perangkat.

    2. Di bawah Pengguna Utama, pilih Tambah, cari pengguna IAM perangkat Salju dan pilih Lampirkan.

Membuat Kunci Enkripsi Amplop KMS Kustom

Anda memiliki opsi untuk menggunakan kunci enkripsi AWS KMS amplop kustom Anda sendiri dengan AWS Snowball Edge. Jika Anda memilih untuk membuat kunci Anda sendiri, kunci tersebut harus dibuat di wilayah yang sama dengan tempat tugas Anda dibuat.

Untuk membuat AWS KMS kunci Anda sendiri untuk suatu pekerjaan, lihat Membuat Kunci di Panduan AWS Key Management Service Pengembang.

Melindungi Data Pada Perangkat Anda

Mengamankan Edge Anda AWS Snowball

Berikut adalah beberapa poin keamanan yang kami sarankan Anda pertimbangkan saat menggunakan AWS Snowball Edge, dan juga beberapa informasi tingkat tinggi tentang tindakan pencegahan keamanan lain yang kami ambil saat perangkat tiba AWS untuk diproses.

Kami rekomendasikan pendekatan keamanan berikut ini:

  • Saat perangkat pertama kali tiba, periksa untuk kerusakan atau gangguan yang nyata. Jika Anda melihat sesuatu yang mencurigakan tentang perangkat tersebut, jangan sambungkan ke jaringan internal Anda. Sebaliknya, hubungi AWS Support, dan perangkat baru akan dikirimkan kepada Anda.

  • Anda harus berusaha melindungi kredensial tugas Anda dari pengungkapan. Setiap individu yang memiliki akses ke manifes dan kode pembuka tugas dapat mengakses konten perangkat yang dikirim untuk tugas tersebut.

  • Jangan biarkan perangkat terletak di dok pemuatan. Ditinggalkan di dok pemuatan, elemen bisa terekspos. Meskipun setiap perangkat AWS Snowball Edge kokoh, cuaca dapat merusak perangkat keras yang paling kokoh. Laporkan perangkat yang dicuri, hilang, atau rusak secepat mungkin. Semakin cepat masalah seperti itu dilaporkan, semakin cepat perangkat lain dapat dikirim untuk menyelesaikan tugas Anda.

catatan

Perangkat AWS Snowball Edge adalah milik AWS. Merusak perangkat merupakan pelanggaran terhadap Kebijakan Penggunaan yang AWS Dapat Diterima. Untuk informasi selengkapnya, lihat http://aws.amazon.com/aup/.

Kami melakukan langkah-langkah keamanan berikut:

  • Saat mentransfer data dengan adaptor Amazon S3, metadata objek tidak dipertahankan. Satu-satunya metadata yang tetap sama adalah filename dan filesize. Semua metadata lainnya diatur seperti dalam contoh berikut: -rw-rw-r-- 1 root root [filesize] Dec 31 1969 [path/filename]

  • Ketika mentransfer data dengan antarmuka file, metadata objek tetap ada.

  • Saat perangkat tiba AWS, kami memeriksanya apakah ada tanda-tanda gangguan dan untuk memverifikasi bahwa tidak ada perubahan yang terdeteksi oleh Trusted Platform Module (TPM). AWS Snowball Edge menggunakan beberapa lapisan keamanan yang dirancang untuk melindungi data Anda, termasuk penutup tahan kerusakan, enkripsi 256-bit, dan TPM standar industri yang dirancang untuk memberikan keamanan dan rantai penyimpanan penuh untuk data Anda.

  • Setelah tugas transfer data diproses dan diverifikasi, AWS melakukan penghapusan perangkat lunak perangkat Snowball yang mengikuti pedoman National Institute of Standards and Technology (NIST) untuk sanitasi media.

Memvalidasi Tag NFC

Perangkat Snowball Edge Compute Optimized dan Snowball Edge Storage Optimized (untuk transfer data) memiliki tag NFC yang terpasang di dalamnya. Anda dapat memindai tag ini dengan Aplikasi Verifikasi AWS Snowball Edge, tersedia di Android. Memindai dan memvalidasi tag NFC ini dapat membantu Anda memverifikasi bahwa perangkat Anda belum dirusak sebelum menggunakannya.

Memvalidasi tag NFC termasuk menggunakan klien Snowball Edge untuk menghasilkan kode QR khusus perangkat untuk memverifikasi bahwa tag yang Anda pindai adalah untuk perangkat yang tepat.

Prosedur berikut menjelaskan cara memvalidasi tag NFC di perangkat Snowball Edge. Sebelum memulai, pastikan Anda telah melakukan lima langkah pertama berikut dalam latihan memulai:

  1. Buat tugas Snowball Edge Anda. Untuk informasi selengkapnya, lihat Membuat pekerjaan untuk memesan perangkat Keluarga Salju

  2. Menerima perangkat. Untuk informasi selengkapnya, lihat Menerima Snowball Edge.

  3. Connect ke jaringan lokal Anda. Untuk informasi selengkapnya, lihat Menghubungkan ke Jaringan Lokal Anda.

  4. Dapatkan kredensial dan alat Anda. Untuk informasi selengkapnya, lihat Mendapatkan kredensil untuk mengakses perangkat Snow Family.

  5. Mengunduh dan menginstal klien Snowball Edge. Untuk informasi selengkapnya, lihat Mengunduh dan Menginstal klien Snowball Edge.

Untuk memvalidasi tag NFC

  1. Menjalankan perintah klien Snowball Edge snowballEdge get-app-qr-code. Jika Anda menjalankan perintah ini untuk sebuah simpul dalam klaster, sediakan nomor seri (--device-sn) untuk mendapatkan kode QR untuk satu node. Ulangi langkah ini untuk setiap simpul di klaster. Untuk informasi lebih lanjut tentang menggunakan perintah ini, lihat Mendapatkan Kode QR Anda untuk Validasi NFC.

    Kode QR disimpan ke lokasi pilihan Anda sebagai file .png.

  2. Arahkan ke file .png yang Anda simpan, dan buka agar Anda dapat memindai kode QR dengan aplikasi.

  3. Anda dapat memindai tag ini menggunakan Aplikasi Verifikasi AWS Snowball Edge di Android.

    catatan

    Aplikasi Verifikasi AWS Snowball Edge tidak tersedia untuk diunduh, tetapi jika Anda memiliki perangkat dengan aplikasi yang sudah diinstal, Anda dapat menggunakan aplikasi tersebut.

  4. Jalankan aplikasi, dan ikuti petunjuk pada layar.

Sekarang Anda berhasil memindai dan memvalidasi tag NFC untuk perangkat Anda.

Jika Anda mengalami masalah saat memindai, coba hal berikut:

  • Konfirmasikan bahwa perangkat Anda memiliki opsi Snowball Edge Compute Optimized (dengan atau tanpa GPU).

  • Jika Anda memiliki aplikasi di perangkat lain, coba gunakan perangkat itu.

  • Pindahkan perangkat ke area ruangan yang terisolasi, jauh dari gangguan dari tag NFC lainnya, dan coba lagi.

  • Jika masalah tetap ada, hubungi AWS Support.