Protezione dei dati in AWS Snowball Edge - AWS Snowball Edge Guida per gli sviluppatori
Protezione dei dati nel cloudProtezione dei dati sul tuo dispositivo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in AWS Snowball Edge

AWS Snowball è conforme al modello di responsabilità AWS condivisa, che include regolamenti e linee guida per la protezione dei dati. AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i AWS servizi. AWS mantiene il controllo sui dati ospitati su questa infrastruttura, compresi i controlli di configurazione di sicurezza per la gestione dei contenuti e dei dati personali dei clienti. AWS i clienti e APN i partner, che agiscono in qualità di titolari o incaricati del trattamento dei dati, sono responsabili di tutti i dati personali che inseriscono nel Cloud AWS.

Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e di impostare i singoli utenti con AWS Identity and Access Management (IAM), in modo che a ciascun utente vengano concesse solo le autorizzazioni necessarie per svolgere le proprie mansioni lavorative. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

  • UsaSSL/TLSper comunicare con AWS le risorse. Consigliamo TLS 1.2 o versioni successive.

  • Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail.

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno AWS dei servizi.

  • Utilizza i servizi di sicurezza gestiti avanzati, ad esempio Amazon Macie, che aiutano a individuare e proteggere i dati personali archiviati in Amazon S3.

  • Se hai bisogno di FIPS 140-2 moduli crittografici convalidati per accedere AWS tramite un'interfaccia a riga di comando o unAPI, usa un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing Standard () 140-2. FIPS

Consigliamo di non inserire mai informazioni identificative sensibili, ad esempio i numeri di account dei clienti, in campi a formato libero come un campo Nome. Ciò include quando si lavora con AWS Snowball o con altri AWS servizi che utilizzano la console, API AWS CLI, o. AWS SDKs Gli eventuali dati immessi in AWS Snowball o altri servizi potrebbero essere prelevati per l'inserimento nei log di diagnostica. Quando fornisci un messaggio URL a un server esterno, non includere le informazioni sulle credenziali URL per convalidare la tua richiesta a quel server.

Per ulteriori informazioni sulla protezione dei dati, consulta il modello di responsabilitàAWS condivisa e il post di GDPR blog sul AWS Security Blog.

Protezione dei dati nel cloud

AWS Snowball protegge i tuoi dati quando importi o esporti dati in Amazon S3, quando crei un lavoro per ordinare un dispositivo Snow Family e quando il dispositivo viene aggiornato. Le sezioni seguenti descrivono come proteggere i dati quando si utilizza Snowball Edge e si è online o si interagisce AWS nel cloud.

Crittografia per Edge AWS Snowball

Quando usi Snowball Edge per importare dati in S3, tutti i dati trasferiti su un dispositivo sono protetti dalla SSL crittografia sulla rete. Per proteggere i dati inattivi, AWS Snowball Edge utilizza la crittografia lato server (). SSE

Crittografia lato server in Edge AWS Snowball

AWS Snowball Edge supporta la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (-S3). SSE La crittografia lato server serve a proteggere i dati inattivi e SSE -S3 dispone di una crittografia avanzata a più fattori per proteggere i dati archiviati in Amazon S3. Per ulteriori informazioni su SSE -S3, consulta Protezione dei dati utilizzando la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (-S3SSE) nella Guida per l'utente di Amazon Simple Storage Service.

Attualmente, AWS Snowball Edge non offre la crittografia lato server con chiavi fornite dal cliente (-C). SSE Lo storage compatibile con Amazon S3 sui dispositivi Snow Family offre SSS -C per i lavori di elaborazione e archiviazione locali. Tuttavia, potresti voler utilizzare quel SSE tipo per proteggere i dati che sono stati importati o potresti già utilizzarlo per i dati che desideri esportare. In questi casi tieni a mente le seguenti considerazioni:

  • Importa

    Se desideri utilizzare SSE -C per crittografare gli oggetti che hai importato in Amazon S3, dovresti prendere in considerazione l'SSEutilizzo della crittografia KMS - SSE o -S3 stabilita come parte della policy sui bucket di quel bucket. Tuttavia, se devi usare SSE -C per crittografare gli oggetti che hai importato in Amazon S3, dovrai copiare l'oggetto all'interno del tuo bucket per crittografarlo con -C. SSE Di seguito è riportato un esempio di CLI comando per eseguire questa operazione:

    aws s3 cp s3://mybucket/object.txt s3://mybucket/object.txt --sse-c --sse-c-key 1234567891SAMPLEKEY

    oppure

    aws s3 cp s3://mybucket s3://mybucket --sse-c --sse-c-key 1234567891SAMPLEKEY --recursive

  • Esporta: se desideri esportare oggetti crittografati con SSE -C, copia prima tali oggetti in un altro bucket che non ha la crittografia sul lato server o che ha SSE - KMS o SSE -S3 specificato nella politica del bucket di quel bucket.

Abilitazione SSE di -S3 per i dati importati in Amazon S3 da Snowball Edge

Utilizza la seguente procedura nella console di gestione Amazon S3 per abilitare SSE -S3 per l'importazione di dati in Amazon S3. Non è necessaria alcuna configurazione nel Console di gestione della famiglia di servizi AWS Snow o sul dispositivo Snowball stesso.

Per abilitare la crittografia SSE -S3 per i dati che stai importando in Amazon S3, è sufficiente impostare le policy dei bucket per tutti i bucket in cui stai importando i dati. Puoi aggiornare la policy per rifiutare l'autorizzazione (s3:PutObject) dell'oggetto da caricare, se la richiesta di caricamento non include l'intestazione x-amz-server-side-encryption.

Per abilitare SSE -S3 per i dati importati in Amazon S3

  1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Scegliere il bucket in cui stai importando i dati dall'elenco dei bucket.

  3. Seleziona Autorizzazioni.

  4. Scegli Bucket Policy (Policy del bucket).

  5. In Editor policy bucket (Editor della policy del bucket), immettere le seguenti policy. Sostituisci tutte le istanze di YourBucket in questa politica con il nome effettivo del tuo bucket.

    {
  "Version": "2012-10-17",
  "Id": "PutObjPolicy",
  "Statement": [
    {
      "Sid": "DenyIncorrectEncryptionHeader",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::YourBucket/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "AES256"
        }
      }
    },
    {
      "Sid": "DenyUnEncryptedObjectUploads",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::YourBucket/*",
      "Condition": {
        "Null": {
          "s3:x-amz-server-side-encryption": "true"
        }
      }
    }
  ]
}

  6. Selezionare Salva.

Hai terminato la configurazione del tuo bucket Amazon S3. Quando i dati vengono importati in questo bucket, sono protetti da -S3. SSE Ripeti questa procedura per qualsiasi altro bucket, se necessario.

AWS Key Management ServiceAWS Snowball in Edge

AWS Key Management Service (AWS KMS) è un servizio gestito che semplifica la creazione e il controllo delle chiavi di crittografia utilizzate per crittografare i dati. AWS KMS utilizza moduli di sicurezza hardware (HSMs) per proteggere la sicurezza delle chiavi. In particolare, l'Amazon Resource Name (ARN) per la AWS KMS chiave scelta per un job in AWS Snowball Edge è associato a una KMS chiave. Questa KMS chiave viene utilizzata per crittografare il codice di sblocco per il tuo lavoro. Il codice di sblocco viene utilizzato per decrittografare il primo livello della crittografia del file manifest. Le chiavi di crittografia archiviate all'interno del file manifest vengono utilizzate per crittografare e decrittografare i dati sul dispositivo.

In AWS Snowball Edge, AWS KMS protegge le chiavi di crittografia utilizzate per proteggere i dati su ciascun AWS Snowball Edge dispositivo. Quando crei il tuo lavoro, scegli anche una KMS chiave esistente. Specificando la AWS KMS chiave ARN for an AWS Snowball si indica quale AWS KMS keys utilizzare per crittografare le chiavi univoche sul AWS Snowball Edge dispositivo. Per ulteriori informazioni sulle server-side-encryption opzioni Amazon S3 supportate da AWS Snowball Edge, consulta. Crittografia lato server in Edge AWS Snowball

Utilizzo del Managed Customer AWS KMS keys per Snowball Edge

Se desideri utilizzare il cliente gestito AWS KMS keys per Snowball Edge creato per il tuo account, segui questi passaggi.

Per selezionarlo AWS KMS keys per il tuo lavoro

  1. In Console di gestione della famiglia di servizi AWS Snow, scegli Crea lavoro.

  2. Scegliere il tipo di processo, quindi selezionare Next (Avanti).

  3. Fornire i dettagli di spedizione, quindi selezionare Next (Avanti).

  4. Specificare i dettagli del processo, quindi selezionare Next (Avanti).

  5. Impostare le opzioni di sicurezza. In Crittografia, come KMSchiave scegli la chiave Chiave gestita da AWS o una chiave personalizzata creata in AWS KMS precedenza oppure scegli Inserisci una chiave ARN se devi inserire una chiave di proprietà di un account separato.

    Nota

    AWS KMS key ARNÈ un identificatore univoco a livello globale per le chiavi gestite dai clienti.

  6. Scegli Avanti per completare la selezione del tuo AWS KMS key.

  7. Concedi all'IAMutente del dispositivo Snow l'accesso alla KMS chiave.

    1. Nella IAM console (https://console.aws.amazon.com/iam/), vai su Encryption Keys e apri la KMS chiave che hai scelto di utilizzare per crittografare i dati sul dispositivo.

    2. In Utenti chiave, seleziona Aggiungi, cerca l'IAMutente del dispositivo Snow e seleziona Allega.

Creazione di una chiave di crittografia personalizzata per KMS buste

Hai la possibilità di utilizzare la tua chiave di crittografia personalizzata per AWS KMS buste con AWS Snowball Edge. Se scegli di creare una tua propria chiave, questa deve essere creata nella stessa regione in cui è stato creato il processo.

Per creare una AWS KMS chiave personalizzata per un lavoro, consulta Creating Keys nella AWS Key Management Service Developer Guide.

Protezione dei dati sul tuo dispositivo

Proteggi il tuo AWS Snowball Edge

Di seguito sono riportati alcuni punti di sicurezza che ti consigliamo di prendere in considerazione quando usi AWS Snowball Edge e anche alcune informazioni di alto livello su altre precauzioni di sicurezza che adottiamo quando un dispositivo arriva AWS per l'elaborazione.

Consigliamo i seguenti approcci di sicurezza:

  • La prima volta che ricevi il dispositivo, controlla se risulta danneggiato o manomesso in modo evidente. Se noti qualcosa di sospetto sul dispositivo, non connetterlo alla rete interna. Contattaci AWS Supportinvece e ti verrà spedito un nuovo dispositivo.

  • Ti invitiamo a impegnarti per proteggere le credenziali del processo dalla divulgazione. Chiunque abbia accesso al manifest e al codice di sblocco di un processo può accedere al contenuto del dispositivo inviato per tale processo.

  • Non lasciare il dispositivo incustodito in un'area di carico. Se lasciato su un'area di carico può essere esposto agli elementi. Sebbene ogni dispositivo AWS Snowball Edge sia robusto, gli agenti atmosferici possono danneggiare l'hardware più robusto. Segnala i dispositivi rubati, mancanti o rotti il prima possibile. Prima segnali il problema, prima sarà possibile inviarne un'altra per completare il processo.

Nota

I dispositivi AWS Snowball Edge sono di proprietà di. AWS La manomissione di un dispositivo è una violazione della Politica di utilizzo AWS accettabile. Per ulteriori informazioni, consulta http://aws.amazon.com/aup/.

Viene eseguita la seguente procedura di sicurezza:

  • Quando si trasferiscono dati con l'adattatore Amazon S3, i metadati degli oggetti non vengono mantenuti. Gli unici metadati che rimangono inalterati sono filename e filesize. Tutti gli altri metadati sono impostati come nel seguente esempio: -rw-rw-r-- 1 root root [filesize] Dec 31 1969 [path/filename]

  • Quando si trasferiscono dati con l'interfaccia di file, i metadati degli oggetti vengono mantenuti.

  • Quando un dispositivo arriva AWS, lo ispezioniamo per individuare eventuali segni di manomissione e per verificare che non siano state rilevate modifiche dal Trusted Platform Module (). TPM AWS Snowball Edge utilizza più livelli di sicurezza progettati per proteggere i dati, tra cui custodie resistenti alle manomissioni, crittografia a 256 bit e uno standard di settore TPM progettato per fornire sicurezza e catena completa di custodia dei dati.

  • Una volta elaborato e verificato il processo di trasferimento dei dati, AWS esegue una cancellazione software del dispositivo Snowball seguendo le linee guida del National Institute of Standards and Technology NIST () per la sanificazione dei supporti.

Convalida dei tag NFC

I NFC dispositivi Snowball Edge Compute Optimized e Snowball Edge Storage Optimized (per il trasferimento dei dati) dispongono di tag incorporati. Puoi scansionare questi tag con l'app AWS Snowball Edge Verification, disponibile su Android. La scansione e la convalida di questi NFC tag possono aiutarti a verificare che il tuo dispositivo non sia stato manomesso prima di utilizzarlo.

La convalida dei NFC tag include l'utilizzo del client Snowball Edge per generare un codice QR specifico del dispositivo per verificare che i tag da scansionare siano per il dispositivo giusto.

La procedura seguente descrive come convalidare i NFC tag su un dispositivo Snowball Edge. Prima di iniziare, assicurati di aver eseguito le seguenti cinque operazioni dell'esercizio delle nozioni di base:

  1. Crea il tuo lavoro in Snowball Edge. Per ulteriori informazioni, vedi Creazione di un lavoro per ordinare un dispositivo Snow Family

  2. Ricevere il dispositivo. Per ulteriori informazioni, consulta Ricevere lo Snowball Edge.

  3. Connessione alla rete locale. Per ulteriori informazioni, consulta Connessione di un dispositivo Snow Family alla rete locale.

  4. Ottenere credenziali e strumenti. Per ulteriori informazioni, consulta Ottenere le credenziali per accedere a un dispositivo Snow Family.

  5. Scarica e installa il client Snowball Edge. Per ulteriori informazioni, consulta Scaricamento e installazione del client Snowball Edge.

Per convalidare i tag NFC

  1. Esegui il comando client snowballEdge get-app-qr-code Snowball Edge. Se si esegue il comando per un nodo in un cluster, specificare il numero di serie (--device-sn) per ottenere un codice QR per un singolo nodo. Ripetere questo passaggio per ogni nodo nel cluster. Per ulteriori informazioni sull'utilizzo di questo comando, consulta Ottenere un codice QR per convalidare i tag NFC Snowball Edge.

    Il codice QR viene salvato in un percorso scelto come file .png.

  2. Passare al file .png salvato e aprirlo in modo che sia possibile scansionare il codice QR con l'app.

  3. Puoi scansionare questi tag utilizzando l'app AWS Snowball Edge Verification su Android.

    Nota

    L'app AWS Snowball Edge Verification non è disponibile per il download, ma se hai un dispositivo con l'app già installata, puoi utilizzare l'app.

  4. Avvia l'app e segui le istruzioni a video.

Ora hai scansionato e convalidato con successo i NFC tag del tuo dispositivo.

In caso di problemi durante la scansione, provare quanto segue:

  • Verifica che il tuo dispositivo disponga delle opzioni Snowball Edge Compute Optimized (con o senza). GPU

  • Se hai l'app su un altro dispositivo, prova a utilizzarlo.

  • Sposta il dispositivo in un'area isolata della stanza, lontano dalle interferenze di altri NFC tag, e riprova.

  • Se il problema persiste, contatta. AWS Support