Все новые объекты в корзинах Amazon S3 теперь дефолтно шифруются AES-256

Все новые объекты в корзинах Amazon S3 теперь дефолтно шифруются AES-256

Все новые объекты в корзинах Amazon S3 теперь дефолтно шифруются AES-256

С 5 января веб-сервис Amazon S3 начал автоматически шифровать все вносимые в корзины объекты, по умолчанию используя 256-битные ключи AES. Ранее шифрование данных на стороне сервера (SSE-S3) было доступно клиентам только в виде опции.

Нововведение, по словам провайдера, призвано обеспечить базовый уровень криптозащиты информации в облаке. Изменения предоставляются в пользование бесплатно, не влияют на быстродействие и не требуют дополнительных усилий от админа. 

Возможность SSE-S3 появилась на сервисе еще в 2011 году. Пользователь мог задать шифрование при сохранении нового объекта или копировании существующего. С этой целью в запрос PUT включался соответствующий HTTP-заголовок.

Получив такой запрос, сервис генерирует уникальный ключ AES-256, обрабатывает данные, а затем шифрует сам ключ (с помощью мастер-ключа). Из предосторожности все ключи при этом хранятся на специально выделенных серверах Amazon.

 

Те, у кого в настройках уже включено дефолтное шифрование, изменений не заметят. Остальные смогут удостовериться в автоматическом шифровании данных, заглянув в журнал событий AWS CloudTrail. В скором времени этот статус также станет отображаться в консоли AWS, отчетах S3 Inventory, аналитике Storage Lens, а в ответах Amazon S3 API появится дополнительный заголовок.

В апреле облачный провайдер по умолчанию включит еще две настройки безопасности — блокировку публичного доступа к S3 для всех новых корзин и замену ACL-списков политикой AWS IAM (Identity and Access Management). Созданных к тому моменту S3-ведер это нововведение не коснется.

Утечки баз данных — давняя проблема ИБ, сохраняющая актуальность из-за небрежной защиты и ошибок в конфигурации серверов. Так, в 2019 году в Сеть из S3-ведер Amazon были слиты 540 записей о пользователях Facebook (в России соцсеть признана экстремистской и запрещена).

Если бы эти данные были зашифрованы, злоумышленнику пришлось бы изрядно потрудиться, чтобы использовать утечку в своих интересах. К сожалению, владельцы таких баз нечасто тратят ресурсы и деньги на подобную защиту, что создает дополнительные риски для пользователей, вверивших им свою информацию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

На сайте и в мобильном приложении Московского метрополитена произошел сбой

Сбой в работе сайта и мобильного приложения столичного метро наблюдается с открытия. Пользователи не могут пополнить транспортные карты, это можно сделать только через кассы.

Сбои начали наблюдаться с 6:00 по московскому времени. Пользователи жаловались на невозможность пополнить карты «Тройка» с помощью мобильного приложения. Автоматы на станциях также не работали. Единственной возможностью пополнить карты стало обращение в кассы на станциях метро и МЦК.

По данным изданий «Русбейс» и РБК, на сайте Московского метрополитена долгое время размещалось сообщение на украинском языке о технических проблемах украинской железнодорожной компании (Укрзализницы). Однако позже это сообщение пропало. Мобильное приложение «Метро Москвы» просто не открывалось. Сайт Московского метрополитена, как сообщил «Интерфакс», тоже перестал открываться в 13 часов.

«Русбейс» и «Москва Онлайн» также сообщали о массовых сбоях в работе валидаторов в наземном транспорте и проблемах на кассовых терминалах. «Газета Ру» писала о массовых случаях, когда деньги с банковских карт списывались, но на транспортные карты не начислялись.

«В автобусах пополнение не работает, пара человек при мне наблюдало желтый экран „пополнение не работает“», - сообщала одна из читательниц «Москва Онлайн».

Дептранс Москвы объяснил сбои некими «техническими работами». Пополнять карты рекомендовали через кассы и терминалы на станциях метро и МЦК.

«31 марта с 06:00 Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) фиксирует всплеск обращений о проблемах в работе приложения Московского метрополитена. По состоянию на 12:00 проблема с доступностью приложения сохраняется. Специалисты работают над устранением проблемы», - сообщил подведомственный Роскомнадзору Центр мониторинга и управления сетями связи общего пользования. Причин сбоя ЦМУ ССОП не назвал.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru