AWS 推出新的 S3 默认加密政策

关键要点

• AWS 将默认加密所有新创建的 S3 桶，以提升数据安全性。
• 服务端加密 (SSE-S3) 作为新默认设置，有助于减少 S3 桶公开暴露的风险。
• 加密密钥管理是加密实践中的关键挑战。

在 AWS re:Invent 2022大会上，亚马逊网络服务（AWS）宣布了一个新政策：从今往后，所有新创建的简单存储服务（S3）桶都将默认启用加密。这一举措得到了安全分析师的高度评价，认为这可能有效缓解
S3 桶在公共互联网中持续暴露的趋势。

AWS 在 1 月 5 日的 上指出，现在未使用默认加密的 S3 桶将自动应用服务端加密（SSE-S3），该功能自 2011年首次推出。对于目前已经采用 S3 默认加密的现有桶，此次变化不会影响。

Tech Target 企业战略小组的高级分析师 Jack Poller 解释说，数据的加密保证即使数据被未授权访问，泄露的数据也是无法使用的。Poller表示，数据加密面临的挑战，以及 AWS 可能直到现在才将其作为默认选项的原因，主要在于加密密钥的管理。

“你不想为整个组织使用相同的密钥，以免密钥被泄露或丢失，从而可能使所有数据暴露。”Poller
说道。他补充说，“相反，组织应该为其环境中的每个数据存储使用唯一的密钥，从而减少漏洞。如果密钥被泄露，团队希望能迅速生成新密钥并对数据进行重新加密，以保持数据的安全性。拥有大量云资源的组织可能会有数百个
S3 桶和数百个密钥。此外，还有更多用于数据库和其他数据存储的密钥，因此密钥管理成为数据安全实践中的重要部分。”

Valtix 的首席安全研究员 Davis McCarthy 补充说，AWS 现在提供了一种透明的方法，自动对到达 S3的所有数据进行加密，用一个由用户持有的主密钥加密新创建的密钥。

“由公共可访问的 S3
桶引发的数据泄露数量已经成为云计算中的一个令人痛心的趋势，而对于一些开发者来讲，数据加密的有效实施存在难度。这一功能迫使用户关注安全，而这些用户传统上未能有效保护其云存储的访问权限。”McCarthy
说。

Symmetry Systems 的数据安全首席布道者 Claude Mandy 表示，SSE-S3的默认应用从合规性角度来看对许多组织而言是个好消息，他们不再需要担心启用此选项的努力和开销。Mandy说：“安全团队应利用新增的带宽，集中精力更有效地保护数据，例如通过数据安全态势管理来实现。”