Protezione di Amazon DynamoDB da attacchi Over-the-web

0

Sono in procinto di costruire un'architettura che farà leva pesantemente su DynamoDb. La mia organizzazione sta valutando la possibilità di archiviare dati sensibili (informazioni di configurazione) in DynamoDb, nonché dati non sensibili (ad esempio dati di telemetria).

Storicamente, i nostri SQL Server sono stati protetti da numerosi livelli di sicurezza fisica e di rete. Anche se amiamo l'idea di DynamoDb come un archivio di dati apparentemente infinitamente scalabile, non siamo sicuri di quali siano le migliori pratiche per questi database accessibili su Internet come DynamoDb.

Esistono buone pratiche per limitare l'accesso ai dati in DynamoDB oltre alla semplice autenticazione e autorizzazione? Esistono protezioni di livello di rete che è possibile mettere in atto per limitare il profilo di attacco?

    
posta user497745 21.06.2016 - 19:42
fonte

1 risposta

1

Are there any best practices for limiting access to data in DynamoDB besides simply authentication and authorization?

Per DynamoDB, l'intero modello di sicurezza è l'autenticazione e l'autorizzazione (IAM) fornita da AWS; non c'è niente "oltre" quei due. Tuttavia, non accedete mai direttamente a DynamoDB da Internet, ma passate attraverso un servizio di qualche forma (ad es. gateway API supporto su una funzione Lambda, o qualche codice personalizzato in esecuzione su una scatola EC2). AWS gestirà quindi l'autorizzazione per te (ad es. Tramite IAM Roles per EC2 ), e nulla al di fuori di AWS ha mai bisogno di sapere cosa sta succedendo. Dovresti assolutamente non mettere alcuna chiave IAM nelle tue applicazioni.

Per inciso:

storing sensitive data (config info) in DynamoDb

Non vorrei personalmente seguire questa strada, non a causa della natura dei dati, ma a causa della mancanza di atomicità e isolamento in DynamoDB. Non hai bisogno della velocità accecante di DynamoDB, quindi tieni solo il buon vecchio SQL.

    
risposta data 22.06.2016 - 00:45
fonte

Leggi altre domande sui tag