Cloudspeicher Amazon S3 verschlüsselt Daten nun standardmäßig

Ab sofort verschlüsselt Amazon im Cloudspeicher S3 abgelegte Daten automatisch. Die Verschlüsselung (SSE-S3) und Entschlüsselung findet serverseitig statt. Standardmäßig verwaltet Amazon die Schlüssel. Der Service ist kostenlos und soll die Performance nicht negativ beeinflussen.

Videos by heise

mehr Videos

• c't 3003
• heise & ct
• Peertube

Status quo

In einer Mitteilung schreibt der Cloud-Computing-Anbieter, dass SSE-S3 bei neu abgelegten Objekten zum Einsatz kommen soll und fortan als Standard gilt. Bei bestehenden Buckets soll die Standard-Verschlüsselung nicht automatisch zum Einsatz kommen. Um dort die Verschlüsselung zu aktivieren, rät Amazon in einem Support-Beitrag zu Batch-Operationen. Wer Daten auch auf Clients verschlüsseln will, kann den Amazon S3 Encryption Client nutzen. Die Schlüssel verbleiben in diesem Fall beim Kunden.

Ob die automatische Verschlüsselung bereits aktiv ist, können Admins unter anderem in den Log-Dateien von AWS CloudTrail prüfen. Steht dort bei "SSEApplied:" "Default_SSE_S3", sind die Daten verschlüsselt.

Funktionsweise

Bei SSE-S3 generiert Amazon für jedes Objekt einen individuellen Schlüssel, verschlüsselt damit die Dateien und verschlüsselt den Schlüssel mit einem Root Key. Bei der Verschlüsselung kommt Advanced Encryption Standard (AES) mit 256-Bit-Schlüsseln zum Einsatz. Wer nicht möchte, dass Amazon die Schlüssel verwaltet, muss die Verschlüsselung auf SSE-C umstellen. In diesem Fall ver- und entschlüsseln die AWS-Server und der Kunde kümmert sich um das Schlüssel-Management und stellt sie für die Dateioperationen bereit.

Wer sich für SSE-KMS entscheidet, kann Schlüssel etwa mit AWS Key Management Service verwalten. Darüber kann man beispielsweise Berechtigungen an bestimmte Schlüssel knüpfen.

(des)