Bài viết Câu hỏi About RongvangIT
profile Pic
0
0

Đăng ngày:

  131 Lượt xem

AWS KMS vs Secrets Manager: Keys và Secrets trong AWS

AWS Secrets ManagerAWS KMS

AWS-Secrets-Manager-KMS-Blog.jpg
AWS KMS vs Secrets Manager: Keys và Secrets trong AWS

Bảo mật đám mây cũng quan trọng như việc bảo vệ dữ liệu. Trong Amazon Web Services (AWS), thuật ngữ “secrets” có ý nghĩa đặc biệt, liên quan đến thông tin xác thực để truy cập và sử dụng dữ liệu. Khóa mã hóa cũng giữ bí mật, nhưng theo một cách khác. Chúng mã hóa dữ liệu để ngăn người khác đọc được. Trong bài viết này, chúng ta sẽ xem xét sự khác biệt giữa AWS KMS và Secrets Manager và cách quản lý khóa và bí mật trong AWS.

Trong an ninh mạng, “tam giác CIA” đại diện cho tính bảo mật, toàn vẹn và sẵn có. Các dịch vụ chúng ta thảo luận trong bài viết này được phát triển để duy trì tính bảo mật bằng cách giữ thông tin riêng tư là riêng tư. Nhưng tất nhiên, chúng khác nhau về phương pháp.

AWS Key Management Service (KMS)là gì

AWS Key Management Service (KMS) là một dịch vụ của AWS được thiết kế để tạo và quản lý các khóa mật mã trên các ứng dụng và dịch vụ trong toàn bộ môi trường đám mây AWS.

Hãy xem AWS KMS như một công cụ trong AWS giống như một người giữ chìa khóa chung cho tất cả các mã bí mật được sử dụng để bảo vệ dữ liệu đám mây của bạn. Nó giúp tạo và quản lý những mã này để đảm bảo rằng chúng được sử dụng đúng cách trên các phần khác nhau của cấu hình đám mây của bạn.

Mặc dù chúng ta sẽ covered những kiến thức cơ bản ở đây, bạn có thể tìm hiểu thêm về AWS KMS trên trang web của AWS trong hướng dẫn của họ về Mã hóa Mật mã Ký - Dịch vụ Quản lý Khóa AWS.

Dữ liệu Nào được AWS KMS ẩn đi?

AWS KMS tập trung vào việc mã hóa dữ liệu. Chức năng của mã hóa là lấy văn bản thuần và trộn tất cả các ký tự để nó trở thành một văn bản mã hóa không thể nhận ra. Kết quả cuối cùng là ngay cả khi một người lạ có được văn bản đã mã hóa, họ sẽ không thể hiểu được nó. Mã hóa ẩn dữ liệu bằng cách làm cho nó không đọc được. AWS KMS làm điều này bằng cách lưu trữ các khóa sẽ giải mã văn bản. Không có cách nào để đọc thông tin mà không có khóa phù hợp. Bạn có thể nói rằng dữ liệu của bạn có thể được ẩn ngay trước mắt!

AWS KMS Hoạt động như thế Nào?

Bạn đã từng ở trong một chỗ nghỉ dưỡng nơi bạn phải sử dụng một mã khóa để mở một hộp khóa để bạn có thể lấy được chìa khóa vật lý không? AWS sử dụng một loại tiếp cận “khóa trong một khóa” để bảo vệ dữ liệu. Quản lý khóa với KMS liên quan đến một hệ thống khóa mã hóa. Một khóa quản lý bởi khách hàng (CMK) mã hóa dữ liệu. Sau đó, CMK lại được mã hóa bằng một khóa khác dưới dạng mã hóa bao bì.

AWS KMS sử dụng phương pháp mã hóa được biết đến với tên gọi Tiêu chuẩn Mã hóa Tiên tiến với Chế độ Đếm Galois, hay AES 256-bit GCM tắt gọn. Các khóa KMS được lưu trữ trong các thiết bị vật lý được biết đến là các mô-đun bảo mật phần cứng (HSM). Thiết kế và triển khai của các HSM này tuân thủ FIPS 140-2, một tiêu chuẩn được thiết lập bởi Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST).

Ngoài các khóa quản lý bởi khách hàng (CMKs) bạn tạo, còn có các khóa quản lý bởi AWS cho các dịch vụ như S3 và EC2, cũng như các khóa do AWS sở hữu, không thể nhìn thấy bởi người dùng. Mã hóa bên máy khách (CSE) có nghĩa là bạn mã hóa dữ liệu và quản lý khóa của mình, trong khi với mã hóa phía máy chủ (SSE), AWS xử lý tất cả mã hóa và quản lý khóa cho bạn. Toàn bộ giải pháp AWS KMS có thể mở rộng và cung cấp khả năng chịu tổn thất và sẵn có cực kỳ cao cho các khóa mã hóa trong đám mây AWS.
How_Does_AWS_KMS_Work.png

AWS KMS được Sử Dụng như thế Nào?

AWS KMS bảo vệ dữ liệu của bạn khi nằm yên. Nó xử lý việc mã hóa và giải mã dữ liệu và cho phép ký và xác minh chữ ký số. Bạn có thể thực hiện cả mã hóa đối xứng và mã hóa không đối xứng với KMS, và bạn có thể sử dụng AWS CloudTrail để theo dõi và kiểm tra việc truy cập vào các khóa trong tài khoản AWS của bạn.

AWS Secrets Manager là gì

AWS Secrets Manager là một dịch vụ của AWS có thể truy xuất và xoay vòng các thông tin xác thực ứng dụng, thông tin xác thực cơ sở dữ liệu, token OAuth, khóa API và các bí mật khác trong suốt vòng đời của chúng. Theo cách đơn giản, AWS Secrets Manager giống như một trợ lý tin cậy giữ theo dõi mật khẩu, khóa và các dữ liệu quan trọng khác được ứng dụng của bạn sử dụng. Nó không chỉ nhận thông tin này khi bạn cần nó, mà còn thay đổi nó thường xuyên để nâng cao tổng bảo mật.

Dữ liệu Nào được AWS Secrets ẩn đi?

Giống như KMS, AWS Secrets Manager ẩn thông tin quan trọng khỏi công chúng và liên quan đến tính bảo mật. Sự khác biệt chính giữa AWS KMS và Secrets Manager là họ ẩn đi cái gì. KMS ẩn đi các khóa mã hóa, trong khi Secrets Manager ẩn đi các thông tin xác thực.

Hãy tưởng tượng cách bạn nhập vào một tòa nhà công ty. Bạn có thể có một thẻ khóa điện tử (một chìa khóa) cung cấp quyền truy cập vào một số cửa. Nhưng bạn cũng mang hoặc mặc một thẻ ID hình ảnh (chứng minh nhân thân) chứng minh rằng bạn được phép ở trong tòa nhà. So sánh KMS vs Secrets Manager là vấn đề của khóa so với thông tin xác thực.

Secrets Manager có thể lưu trữ nhiều loại thông tin xác thực. Bất kỳ thông tin nào mang lại quyền truy cập vào các dịch vụ AWS có thể được coi là một bí mật. Chúng ta đang thảo luận về thông tin riêng tư như tên người dùng và mật khẩu, mã thông báo hoặc khóa giao diện lập trình ứng dụng (API). Secrets Manager làm cho việc lưu trữ và truy xuất những bí mật này trở nên khả thi để một ứng dụng đang chạy không để lại thông tin xác thực riêng tư dưới dạng văn bản thuần cho hacker có thể bắt giữ.

AWS Secrets Manager hoạt động thế nào?

AWS Secrets Manager cho phép bạn truy cập các ứng dụng mà không cần mã hóa thông tin xác thực của bạn dưới dạng văn bản thuần. Bạn cũng có thể kích hoạt Secrets Manager để tận dụng sức mạnh của KMS bằng cách mã hóa các bí mật của bạn. Một trình kích hoạt Lambda cho phép ứng dụng của bạn lấy thông tin xác thực từ Secrets Manager cho mục đích xác thực và ủy quyền. Kết quả xử lý dữ liệu của bạn sau đó có thể được chuyển đến một cơ sở dữ liệu như RDS, Redshift hoặc DocumentDB.

Hãy lưu ý rằng AWS CloudTrail và AWS CloudWatch cũng có thể theo dõi và kiểm tra bất kỳ lấy và sử dụng nào của bí mật của bạn. Điều này giúp bạn nhận được thông báo theo thời gian thực khi thông tin xác thực được truy cập hoặc thực hiện kiểm tra pháp y sau một sự cố an ninh có thể.
How_Does_AWS_Secrets_Manager_Work.png

AWS Secrets Manager được sử dụng thế nào?

Cùng với việc lưu trữ an toàn thông tin bí mật, Secrets Manager có thể thực hiện tự động quay vòng thông tin xác thực của bạn để đáp ứng các yêu cầu tuân thủ. Bạn cũng có thể sao chép thông tin bí mật sang các khu vực khác như bản sao lưu trong trường hợp khẩn cấp. Những biện pháp bổ sung này đóng góp vào tính bảo mật đám mây mạnh mẽ được cung cấp bởi AWS.

Việc sử dụng AWS Secrets Manager được quản lý bởi tài khoản và chính sách AWS Identity and Access Management (IAM). Ví dụ, bạn có thể giới hạn quyền truy cập chỉ cho những kỹ sư cơ sở dữ liệu hoặc nhà phát triển phần mềm cần thiết.

Một chút về AWS SSM Parameter Store

Chúng ta có thể dễ dàng thêm AWS Systems Manager Parameter Store vào danh sách như một dịch vụ AWS thứ ba để so sánh trong bài viết này. Nhưng thay vì trình bày chi tiết, đủ để nói rằng SSM Parameter Store tương tự như Secrets Manager nhưng có một ứng dụng rộng hơn và là một phần của Systems Manager.

Bạn có thể mã hóa cả thông tin bí mật và tham số với các khóa KMS, và cả hai dịch vụ đều ghi dữ liệu theo kiểu key/value. Tuy nhiên, SSM Parameter Store cũ hơn sẽ ẩn đi một loạt thông tin, chẳng hạn như URL và khóa cấp phép. SSM Parameter Store tích hợp tốt với cả KMS và Secrets Manager.

Kêt luận

Việc giữ thông tin bí mật trong AWS là quan trọng, và cả AWS KMS và Secrets Manager đều có thể lưu trữ thông tin mật. Tuy nhiên, quan trọng là phải hiểu rằng các khóa mã hóa được lưu trữ và quản lý một cách riêng biệt so với lưu trữ và quản lý thông tin xác thực ứng dụng. Hiểu biệt giữa những dịch vụ tương tự này của AWS sẽ giúp bạn hiểu rõ về các lựa chọn của mình trong bảo mật đám mây AWS.”

aws_pro
Đã có SAA, sẽ lấy SAP trong tương lai gần.

Bình luận

Bài viết chưa có bình luận. Hãy trở thành người bình luận đầu tiên!
Sign up for free and join this conversation.
Sign Up
If you already have a RongvangIT account Login
Danh sách thư mục
Bắt đầu ngay với RồngVàngIT - nền tảng chia sẻ kiến thức lập trình tuyệt vời cho kỹ sư Việt Nam!

Hãy đăng nhập để sử dụng hàng loạt các chức năng tuyệt vời của RồngVàngIT !

  1. 1. Bạn sẽ nhận được các bài viết phù hợp bằng chức năng theo dõi tag và người dùng.
  2. 2. Bạn có thể đọc lại các thông tin hữu ích bằng chức năng lưu trữ nội dung.
  3. 3. Chia sẻ kiến thức, đặt câu hỏi và ghi lại quá trình trưởng thành của mình cùng RồngVàngIT !
Tạo tài khoản Đăng nhập
profile Pic