Kysy konsultilta: Kannattaako AWS:ssä käyttää "encryption at rest" -asetusta ja miksi?

26. helmikuuta 2024

Kannattaako AWS:ssä käyttää "encryption at rest" -asetusta ja miksi?

"Encryption at rest" -asetus liittyy datan salaamiseen levossa. Levossa oleva data tarkoittaa esimerkiksi tietokantaan tai kiintolevylle tallennettua dataa, jota ei käytetä aktiivisesti. Datan salaaminen itsessään tarkoittaa selkokielisen datan muuttamista salattuun muotoon (salatekstiksi) salausavainta ja -algoritmia käyttäen. Datan pystyy muuttamaan tästä salatusta muodosta takaisin selkokieliseen muotoon (eli purkamaan salauksen) vain salausavaimella.


Datan salaaminen levossa on yleinen tietoturvaan liittyvä vaatimus etenkin arkaluonteiselle datalle, koska levossa(kaan) oleva data ei ole turvassa. Hyökkääjä voi päästä käsiksi levossa olevaan dataan esimerkiksi pääsemällä käsiksi palvelimen kiintolevyyn ja sitä kautta sen sisältämään dataan. Hyökkääjän on paljon vaikeampi saada selkokielistä dataa, kun data on salattu kiintolevyllä. Myös eri vaatimukset esimerkiksi GDPR ja PCI DSS edellyttävät arkaluonteisen datan salaamista levossa. Tietoturvan kokonaisuuden kannalta käytössä tulisi olla myös muita suojausmenetelmiä kuin pelkästään datan salaaminen.

Monet AWS-palvelut salaavat dataa levossa joko oletusarvoisesti tai erillisten konfiguraatioiden avulla. Tällaisia palveluja ovat esimerkiksi RDS, DynamoDB, S3, EBS, EFS ja CloudWatch.


Salausavainten hallinta on myös suuressa roolissa datan salauksen kanssa. Salausavainten hallinnassa tulee ottaa huomioon esimerkiksi avainten säilytys, elinkaari/rotatointi ja salausavaimiin liittyvä käyttöoikeuksien hallinta. Tähän myös liittyy vahvasti identiteetin- ja pääsynhallinta (IAM), sillä käyttöoikeuksia esimerkiksi dataan ja salausavaimiin liittyen on hyvä hallita roolien avulla ja käyttöoikeuksien tulisi olla tarkasti rajattuja. Käyttöoikeuksiin liittyen on hyvä käytäntö, että roolilla olisi niin vähän käyttöoikeuksia kuin mahdollista ja niiden tulisi olla voimassa mahdollisimman lyhyt aika. AWS tarjoaa KMS (Key Management Service) ja CloudHSM -palvelut, joita voidaan käyttää avainten hallintaan. Lisäksi AWS IAM-palvelua käytetään identiteetin- ja pääsynhallintaan.


Näihin syihin perustuen suosittelen käyttämään "encryption at rest" -asetusta.

Jukka Ukkonen

Senior Consultant

Viimeisimmät kirjoitukset

Pulvipulssi_webscale

Ensituntuma SST-työkaluun

17. huhtikuuta 2025
Pilvipulssi tuo ajankohtaiset uutiset julkipilvimarkkinoilta suoraan asiantuntijoiltamme. Tutustu SST-kehykseen, joka helpottaa full stack -sovellusten rakentamista omalle infrastruktuurille. Se tarjoaa selkeän ja abstraktoidun tavan määritellä koko sovelluksen rakenne.
Max Niskanen, Webscale Head of Sales

Webscalen uusi Head of Sales - tervetuloa Max Niskanen!

8. huhtikuuta 2025
Webscalen myyntitiimi vahvistuu, kun Max Niskanen liittyi joukkoomme Head of Sales -roolissa. Max tuo mukanaan yli kymmenen vuoden kokemuksen IT-alan myynnistä ja liiketoimintajohdosta. Teknologian lisäksi Maxin intohimoihin kuuluvat hapanjuurileivonta, historia ja vaellukset luonnossa.
Pilvipulssi

Vaihtoehdot Serverless Framework v4:lle

20. maaliskuuta 2025
Pilvipulssi tuo ajankohtaiset uutiset julkipilvimarkkinoilta suoraan asiantuntijoiltamme. Serverless Framework v3 on elinkaarensa päässä ja organisaatiot joutuvat nyt pohtimaan päivittävätkö seuraavaan versioon vai siirtävätkö softat kokonaan toiseen työkaluun.

Neljä syytä laatia pilvistrategia

21. helmikuuta 2025
Pilvipalvelut mahdollistavat niin nopeamman innovoinnin, resurssien tehokkaamman hallinnan kuin joustavammat liiketoimintamallitkin. Jotta pilven tarjoamat liiketoimintaedut pystytään hyödyntämään, tarvitaan pilven käyttöön kuitenkin suunnitelmallisuutta ja järjestelmällisyyttä.
Lisää kirjoituksia