Kysy konsultilta: Kannattaako AWS:ssä käyttää "encryption at rest" -asetusta ja miksi?

helmik. 26, 2024

Kannattaako AWS:ssä käyttää "encryption at rest" -asetusta ja miksi?

"Encryption at rest" -asetus liittyy datan salaamiseen levossa. Levossa oleva data tarkoittaa esimerkiksi tietokantaan tai kiintolevylle tallennettua dataa, jota ei käytetä aktiivisesti. Datan salaaminen itsessään tarkoittaa selkokielisen datan muuttamista salattuun muotoon (salatekstiksi) salausavainta ja -algoritmia käyttäen. Datan pystyy muuttamaan tästä salatusta muodosta takaisin selkokieliseen muotoon (eli purkamaan salauksen) vain salausavaimella.


Datan salaaminen levossa on yleinen tietoturvaan liittyvä vaatimus etenkin arkaluonteiselle datalle, koska levossa(kaan) oleva data ei ole turvassa. Hyökkääjä voi päästä käsiksi levossa olevaan dataan esimerkiksi pääsemällä käsiksi palvelimen kiintolevyyn ja sitä kautta sen sisältämään dataan. Hyökkääjän on paljon vaikeampi saada selkokielistä dataa, kun data on salattu kiintolevyllä. Myös eri vaatimukset esimerkiksi GDPR ja PCI DSS edellyttävät arkaluonteisen datan salaamista levossa. Tietoturvan kokonaisuuden kannalta käytössä tulisi olla myös muita suojausmenetelmiä kuin pelkästään datan salaaminen.

Monet AWS-palvelut salaavat dataa levossa joko oletusarvoisesti tai erillisten konfiguraatioiden avulla. Tällaisia palveluja ovat esimerkiksi RDS, DynamoDB, S3, EBS, EFS ja CloudWatch.


Salausavainten hallinta on myös suuressa roolissa datan salauksen kanssa. Salausavainten hallinnassa tulee ottaa huomioon esimerkiksi avainten säilytys, elinkaari/rotatointi ja salausavaimiin liittyvä käyttöoikeuksien hallinta. Tähän myös liittyy vahvasti identiteetin- ja pääsynhallinta (IAM), sillä käyttöoikeuksia esimerkiksi dataan ja salausavaimiin liittyen on hyvä hallita roolien avulla ja käyttöoikeuksien tulisi olla tarkasti rajattuja. Käyttöoikeuksiin liittyen on hyvä käytäntö, että roolilla olisi niin vähän käyttöoikeuksia kuin mahdollista ja niiden tulisi olla voimassa mahdollisimman lyhyt aika. AWS tarjoaa KMS (Key Management Service) ja CloudHSM -palvelut, joita voidaan käyttää avainten hallintaan. Lisäksi AWS IAM-palvelua käytetään identiteetin- ja pääsynhallintaan.


Näihin syihin perustuen suosittelen käyttämään "encryption at rest" -asetusta.

Jukka Ukkonen

Senior Consultant

Viimeisimmät kirjoitukset

Webscalen konsultteja.

Kysy konsultilta: Mikä on AWS Landing Zone? (Miten AWS Control Tower liittyy Landing Zoneen?)

26 Apr, 2024
Kysy konsultilta -blogisarjassa konsulttimme tekevät selkoa alan termeistä ja ilmiöistä. Vastaukset on mitoitettu sopimaan pieneenkin tiedonnälkään. Tällä kertaa selvitämme, mikä on AWS Landing Zone?
Webscalen konsultteja.

Kysy konsultilta: Mitä on DevSecOps?

19 Apr, 2024
Kysy konsultilta -blogisarjassa konsulttimme tekevät selkoa alan termeistä ja ilmiöistä. Vastaukset on mitoitettu sopimaan pieneenkin tiedonnälkään. Tällä kertaa selvitämme, mitä on DevSecOps?
Webscalen konsultteja.

Kysy konsultilta: Mikä on Serverless Framework?

12 Apr, 2024
Kysy konsultilta -blogisarjassa konsulttimme tekevät selkoa alan termeistä ja ilmiöistä. Vastaukset on mitoitettu sopimaan pieneenkin tiedonnälkään. Tällä kertaa selvitämme, mikä on Serverless Framework?
Webscalen pilviarkkitehti.

Kysy konsultilta: Mitä tarkoittaa kuluoptimointi pilviympäristössä?

05 Apr, 2024
Kysy konsultilta -blogisarjassa konsulttimme tekevät selkoa alan termeistä ja ilmiöistä. Vastaukset on mitoitettu sopimaan pieneenkin tiedonnälkään. Tällä kertaa selvitämme, mitä tarkoittaa kuluoptimointi pilviympäristössä?
Lisää kirjoituksia
Share by: