Amazon S3 ahora cifrará todos los datos nuevos con AES-256 predeterminadamente

Amazon Simple Storage Service (S3) ahora cifrará automáticamente todos los objetos nuevos agregados en los depósitos en el lado del servidor, utilizando AES-256 de forma predeterminada.

Si bien el sistema de cifrado del lado del servidor ha estado disponible en AWS durante  más de una década , el gigante tecnológico lo ha habilitado de forma predeterminada para reforzar la seguridad.

Los administradores no tendrán que realizar ninguna acción para que el nuevo sistema de encriptación afecte sus cubos, y Amazon promete que no tendrá ningún impacto negativo en el rendimiento.

"Este cambio pone en vigencia automáticamente otra mejor práctica de seguridad, sin impacto en el rendimiento y sin necesidad de ninguna acción de su parte", se lee  en el anuncio de Amazon .

"Los depósitos de S3 que no utilizan el cifrado predeterminado ahora aplicarán automáticamente SSE-S3 como la configuración predeterminada. Los depósitos existentes que actualmente utilizan el cifrado predeterminado de S3 no cambiarán".


Los administradores pueden dejar que el sistema cifre en el AES de 256 bits predeterminado o elegir uno de los métodos alternativos, a saber, SSE-C o SSE-KMS.

La primera opción (SSE-C) brinda a los propietarios del depósito el control de las claves, mientras que la segunda (SSE-KMS) permite que Amazon se encargue de la administración de claves. Sin embargo, los propietarios de depósitos pueden establecer diferentes permisos para cada clave KMS para mantener un control más granular sobre el sistema de acceso a los activos.

Para confirmar que los cambios se han aplicado a sus depósitos, los administradores pueden  configurar CloudTrail para registrar eventos  de datos sin costo adicional. Luego realice una carga de objeto de prueba y busque en los registros de eventos el "SSEApplied": "Default_SSE_S3". en el registro del archivo cargado.


Para cifrar retroactivamente objetos que ya están en depósitos S3, siga esta guía oficial .

Resolviendo un gran problema de seguridad

Las fugas de bases de datos han sido una pesadilla para la seguridad durante muchos años, con malas prácticas y errores de configuración que a menudo exponen los detalles confidenciales de millones de personas.

Dos ejemplos notables sobre los cubos de almacenamiento de Amazon S3 son la fuga de datos de 123 millones de hogares en diciembre de 2017 y la fuga de 540 millones de registros de usuarios de Facebook en abril de 2019.

Si esos datos hubieran sido cifrados, las filtraciones no habrían tenido consecuencias tan graves para las personas expuestas, pero desafortunadamente, debido a los costos generales, la complejidad operativa y los sacrificios de rendimiento, el cifrado de la base de datos suele evitarse.

El movimiento de Amazon para hacer que el cifrado del lado del servidor sea un proceso de "cero clic" es un paso fundamental hacia una mejor seguridad y está destinado a disminuir el impacto de los próximos incidentes de datos que inevitablemente sucederán.

En cuanto a la fuerza del  algoritmo de encriptación AES de 256 bits  , todavía se considera uno de los más fuertes disponibles, y  el gobierno de EE. UU. recomienda su uso . Además, a pesar de los numerosos  intentos de romperlo , el esquema no tiene debilidades conocidas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta