Protection des données dans AWS Snowball Edge - AWS Snowball Edge Guide du développeur
Protection des données dans le cloudProtection des données sur votre appareil

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans AWS Snowball Edge

AWS Snowball est conforme au modèle de responsabilité AWS partagée, qui inclut des réglementations et des directives pour la protection des données. AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS services. AWS conserve le contrôle des données hébergées sur cette infrastructure, y compris les contrôles de configuration de sécurité pour le traitement du contenu client et des données personnelles. AWS les clients et les partenaires APN, agissant soit en tant que responsables du traitement des données, soit en tant que sous-traitants, sont responsables de toutes les données personnelles qu'ils saisissent dans le AWS Cloud.

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS Identity and Access Management (IAM), afin que chaque utilisateur ne dispose que des autorisations nécessaires pour accomplir ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l’authentification multifactorielle (MFA) avec chaque compte.

  • Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous recommandons TLS 1.2 ou version ultérieure.

  • Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut au sein AWS des services.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données personnelles stockées dans Amazon S3.

  • Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-2 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS (Federal Information Processing Standard) disponibles, consultez Federal Information Processing Standard (FIPS) 140-2 (Normes de traitement de l’information fédérale).

Nous vous recommandons vivement de ne jamais placer d'informations identifiables sensibles, telles que les numéros de compte de vos clients, dans des champs de formulaire comme Name (Nom). Cela inclut lorsque vous travaillez avec AWS Snowball ou avec d'autres AWS services à l'aide de la console, de l'API ou AWS des SDK. AWS CLI Toutes les données que vous entrez dans AWS Snowball ou d'autres services peuvent être récupérées pour être insérées dans des journaux de diagnostic. Lorsque vous fournissez une URL à un serveur externe, n’incluez pas les informations d’identification non chiffrées dans l’URL pour valider votre demande adressée au serveur.

Pour en savoir plus sur la protection des données, consultez le billet de blog Modèle de responsabilité partagée AWS et RGPD sur le Blog sur la sécurité d’AWS .

Protection des données dans le cloud

AWS Snowball protège vos données lorsque vous importez ou exportez des données dans Amazon S3, lorsque vous créez une tâche pour commander un appareil Snow Family et lorsque votre appareil est mis à jour. Les sections suivantes décrivent comment protéger vos données lorsque vous utilisez Snowball Edge et que vous êtes en ligne ou que vous interagissez AWS dans le cloud.

Chiffrement pour AWS Snowball Edge

Lorsque vous utilisez un Snowball Edge pour importer des données dans S3, toutes les données transférées vers un appareil sont protégées par un cryptage SSL sur le réseau. Pour protéger les données au repos, AWS Snowball Edge utilise le chiffrement côté serveur (SSE).

Chiffrement côté serveur dans Edge AWS Snowball

AWS Snowball Edge prend en charge le chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3). Le chiffrement côté serveur vise à protéger les données au repos, et le SSE-S3 dispose d'un chiffrement multifactoriel puissant pour protéger vos données au repos dans Amazon S3. Pour plus d'informations sur le SSE-S3, consultez la section Protection des données à l'aide du chiffrement côté serveur avec les clés de chiffrement gérées par Amazon S3 (SSE-S3) dans le guide de l'utilisateur d'Amazon Simple Storage Service.

À l'heure actuelle, AWS Snowball Edge ne propose pas de chiffrement côté serveur à l'aide de clés fournies par le client (SSE-C). Le stockage compatible Amazon S3 sur les appareils de la gamme Snow intègre le protocole SSS-C pour les tâches de calcul et de stockage locales. Cependant, il se peut que vous vouliez utiliser ce type de SSE pour protéger les données qui ont été importées, ou il se peut que vous l'utilisiez déjà pour les données que vous souhaitez exporter. Dans tous les cas, gardez à l'esprit les points suivants :

  • Importer

    Si vous souhaitez utiliser le SSE-C pour chiffrer les objets que vous avez importés dans Amazon S3, vous devez envisager d'utiliser le chiffrement SSE-KMS ou SSE-S3 plutôt que celui établi dans le cadre de la politique de compartiment de ce compartiment. Toutefois, si vous devez utiliser le SSE-C pour chiffrer les objets que vous avez importés dans Amazon S3, vous devrez copier l'objet dans votre compartiment pour le chiffrer avec SSE-C. Un exemple de commande CLI permettant d'y parvenir est présenté ci-dessous :

    aws s3 cp s3://mybucket/object.txt s3://mybucket/object.txt --sse-c --sse-c-key 1234567891SAMPLEKEY

    or

    aws s3 cp s3://mybucket s3://mybucket --sse-c --sse-c-key 1234567891SAMPLEKEY --recursive

  • Exporter : si vous souhaitez exporter des objets chiffrés avec SSE-C, copiez d'abord ces objets dans un autre compartiment qui ne dispose d'aucun chiffrement côté serveur ou dont le SSE-KMS ou SSE-S3 est spécifié dans la politique de compartiment de ce compartiment.

Activation du SSE-S3 pour les données importées dans Amazon S3 depuis un Snowball Edge

Utilisez la procédure suivante dans la console de gestion Amazon S3 pour activer le SSE-S3 pour les données importées dans Amazon S3. Aucune configuration n'est nécessaire dans AWS Snow Family Management Console ou sur l'appareil Snowball lui-même.

Pour activer le chiffrement SSE-S3 pour les données que vous importez dans Amazon S3, il vous suffit de définir les politiques de compartiment pour tous les compartiments dans lesquels vous importez des données. Vous devez mettre à jour les stratégies pour refuser l'autorisation de chargement d'objet (s3:PutObject) si la demande de chargement n'inclut pas l'en-tête x-amz-server-side-encryption.

Pour activer SSE-S3 pour les données importées dans Amazon S3

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans la liste des compartiments, choisissez le compartiment dans lequel vous importez des données.

  3. Choisissez Permissions.

  4. Choisissez Stratégie de compartiment.

  5. Dans Éditeur de stratégie de compartiment, saisissez la stratégie ci-dessous. Remplacez toutes les instances de YourBucket dans cette stratégie par le véritable nom de votre compartiment.

    {
  "Version": "2012-10-17",
  "Id": "PutObjPolicy",
  "Statement": [
    {
      "Sid": "DenyIncorrectEncryptionHeader",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::YourBucket/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "AES256"
        }
      }
    },
    {
      "Sid": "DenyUnEncryptedObjectUploads",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::YourBucket/*",
      "Condition": {
        "Null": {
          "s3:x-amz-server-side-encryption": "true"
        }
      }
    }
  ]
}

  6. Choisissez Enregistrer.

Vous avez terminé de configurer votre compartiment Amazon S3. Lorsque vos données sont importées dans ce compartiment, elles sont protégées par SSE-S3. Répétez cette procédure pour d'autres compartiments de votre choix, si nécessaire.

AWS Key Management Service dans AWS Snowball Edge

AWS Key Management Service (AWS KMS) est un service géré qui vous permet de créer et de contrôler facilement les clés de chiffrement utilisées pour chiffrer vos données. AWS KMS utilise des modules de sécurité matériels (HSM) pour protéger la sécurité de vos clés. Plus précisément, le Amazon Resource Name (ARN) de la AWS KMS clé que vous choisissez pour une tâche dans AWS Snowball Edge est associé à une clé KMS. Cette clé KMS sert à chiffrer le code de déverrouillage correspondant à votre tâche. Le code de déverrouillage sert à déchiffrer la couche supérieure de chiffrement dans votre fichier manifeste. Les clés de chiffrement stockées dans le fichier manifeste servent à chiffrer et déchiffrer les données présentes dans votre dispositif.

Dans AWS Snowball Edge, AWS KMS protège les clés de chiffrement utilisées pour protéger les données sur chaque AWS Snowball Edge appareil. Lorsque vous créez votre tâche, vous pouvez également choisir une clé KMS. La spécification de l'ARN d'une AWS KMS clé indique AWS Snowball laquelle utiliser AWS KMS keys pour chiffrer les clés uniques sur l' AWS Snowball Edge appareil. Pour plus d'informations sur les server-side-encryption options Amazon S3 prises en charge par AWS Snowball Edge, consultezChiffrement côté serveur dans Edge AWS Snowball.

Utilisation du client géré AWS KMS keys pour Snowball Edge

Si vous souhaitez utiliser le client géré AWS KMS keys pour Snowball Edge créé pour votre compte, procédez comme suit.

Pour sélectionner celui qui AWS KMS keys convient à votre travail

  1. Sur le AWS Snow Family Management Console, choisissez Create job.

  2. Choisissez votre type de tâche, puis choisissez Suivant.

  3. Fournissez les informations de votre livraison, puis choisissez Suivant.

  4. Renseignez les détails de votre tâche, puis choisissez Suivant.

  5. Définissez vos options de sécurité. Sous Chiffrement, pour la clé KMS, choisissez la clé Clé gérée par AWS ou une clé personnalisée créée précédemment dans AWS KMS, ou choisissez Enter a key ARN si vous devez saisir une clé appartenant à un compte distinct.

    Note

    L' AWS KMS key ARN est un identifiant unique au monde pour les clés gérées par le client.

  6. Cliquez sur Suivant pour terminer la sélection de votre AWS KMS key.

  7. Donnez à l'utilisateur IAM de l'appareil Snow l'accès à la clé KMS.

    1. Dans la console IAM (https://console.aws.amazon.com/iam/), accédez à Clés de chiffrement et ouvrez la clé KMS que vous avez choisi d'utiliser pour chiffrer les données de l'appareil.

    2. Sous Utilisateurs clés, sélectionnez Ajouter, recherchez l'utilisateur IAM de l'appareil Snow et sélectionnez Joindre.

Création d'une clé de chiffrement d'enveloppe KMS personnalisée

Vous avez la possibilité d'utiliser votre propre clé de chiffrement d' AWS KMS enveloppe personnalisée avec AWS Snowball Edge. Si vous choisissez de créer votre propre clé, vous devez la créer dans la même région que celle utilisée pour créer votre tâche.

Pour créer votre propre AWS KMS clé pour une tâche, consultez la section Création de clés dans le guide du AWS Key Management Service développeur.

Protection des données sur votre appareil

Sécuriser votre AWS Snowball Edge

Vous trouverez ci-dessous certains points de sécurité que nous vous recommandons de prendre en compte lors de l'utilisation d' AWS Snowball Edge, ainsi que des informations de haut niveau sur les autres mesures de sécurité que nous prenons lorsqu'un appareil arrive AWS pour traitement.

Nous vous recommandons les approches de sécurité suivantes :

  • Lorsque l'appareil est livré, inspectez-le pour voir s'il présente d'éventuels dommages ou une falsification évidente. Si vous remarquez quelque chose de suspect concernant l'appareil, ne le connectez pas à votre réseau interne. Contactez plutôt AWS Support, un nouvel appareil vous sera expédié.

  • Vous devez vous efforcer de protéger vos informations d'identification de tâche contre le risque de divulgation. Toute personne ayant accès au manifeste et au code de déverrouillage d'une tâche peut accéder au contenu de l'appareil envoyé pour cette tâche.

  • Ne laissez pas l'appareil stationner sur un quai de chargement. Laissée sur un quai de chargement, elle peut être exposée aux éléments. Bien que chaque appareil AWS Snowball Edge soit robuste, les intempéries peuvent endommager le matériel le plus robuste. Signalez les appareils volés, manquants ou cassés dès que possible. Plus tôt vous signalez le problème, plus tôt une autre appliance peut être envoyée afin que vous puissiez terminer votre tâche.

Note

Les appareils AWS Snowball Edge sont la propriété de AWS. La falsification d'un appareil constitue une violation de la politique d'utilisation AWS acceptable. Pour plus d'informations, consultez http://aws.amazon.com/aup/.

Nous exécutons les étapes de sécurité suivantes :

  • Lors du transfert de données avec l'adaptateur Amazon S3, les métadonnées des objets ne sont pas conservées. Les seules métadonnées qui restent inchangées sont filename et filesize. Toutes les autres métadonnées sont définies comme dans l'exemple suivant : -rw-rw-r-- 1 root root [filesize] Dec 31 1969 [path/filename]

  • Lors du transfert de données via l'interface de fichier, les métadonnées de l'objet sont conservées.

  • Lorsqu'un appareil arrive AWS, nous l'inspectons pour détecter tout signe d'altération et pour vérifier qu'aucune modification n'a été détectée par le Trusted Platform Module (TPM). AWS Snowball Edge utilise plusieurs niveaux de sécurité conçus pour protéger vos données, notamment des boîtiers inviolables, un cryptage 256 bits et un TPM standard conçu pour garantir à la fois la sécurité et la chaîne de contrôle complète de vos données.

  • Une fois la tâche de transfert de données traitée et vérifiée, AWS effectue un effacement logiciel de l'appareil Snowball conformément aux directives du National Institute of Standards and Technology (NIST) en matière de nettoyage des médias.

Validation des balises NFC

Les appareils Snowball Edge Compute Optimized et Snowball Edge Storage Optimized (pour le transfert de données) sont dotés de tags NFC intégrés. Vous pouvez scanner ces balises à l'aide de l'application AWS Snowball Edge Verification, disponible sur Android. Analysez et validez ces balises NFC peut vous aider à vérifier que votre appareil n'a pas été falsifié avant de l'utiliser.

La validation des tags NFC inclut l'utilisation du client Snowball Edge pour générer un code QR spécifique à l'appareil afin de vérifier que les tags que vous scannez correspondent au bon appareil.

La procédure suivante explique comment valider les tags NFC sur un appareil Snowball Edge. Avant de commencer, assurez-vous que vous avez effectué les cinq étapes suivantes de l'exercice de mise en route :

  1. Créez votre job Snowball Edge. Pour plus d'informations, voir Création d'une tâche pour commander un appareil Snow Family

  2. Recevez l'appareil. Pour plus d’informations, consultez Recevoir le Snowball Edge.

  3. Connectez-vous à votre réseau local. Pour plus d’informations, consultez Connexion à votre réseau local.

  4. Obtenez vos informations d'identification et les outils. Pour plus d’informations, consultez Obtenir des informations d'identification pour accéder à un appareil Snow Family.

  5. Téléchargez et installez le client Snowball Edge. Pour plus d’informations, consultez Téléchargement et installation du client Snowball Edge.

Pour valider les tags NFC

  1. Exécutez la snowballEdge get-app-qr-code commande client Snowball Edge. Si vous exécutez cette commande pour un nœud dans un cluster, fournissez le numéro de série (--device-sn) afin d'obtenir un code QR pour un nœud précis. Répétez cette étape pour chaque nœud du cluster. Pour plus d'informations sur cette commande, consultez Obtention de votre code QR pour la validation NFC.

    Le code QR est enregistré à l'emplacement de votre choix sous la forme d'un fichier .png.

  2. Accédez au fichier .png que vous avez enregistré et ouvrez-le afin d'analyser le code QR avec l'application.

  3. Vous pouvez scanner ces balises à l'aide de l'application AWS Snowball Edge Verification sur Android.

    Note

    L'application AWS Snowball Edge Verification n'est pas disponible au téléchargement, mais si l'application est déjà installée sur votre appareil, vous pouvez l'utiliser.

  4. Démarrez l'application et suivez les instructions à l'écran.

Vous avez maintenant analysé avec succès et validé les balises NFC pour votre appareil.

Si vous rencontrez des problèmes lors de l'analyse, essayez la procédure suivante :

  • Vérifiez que votre appareil dispose des options Snowball Edge Compute Optimized (avec ou sans GPU).

  • Si vous avez installé l'application sur un autre appareil, essayez de l'utiliser.

  • Déplacez l'appareil dans une partie de la pièce isolée des interférences d'autres balises NFC, puis réessayez.

  • Si les problèmes persistent, contactez AWS Support.