Lar Finanças Pessoais Segurança da API dos Serviços da Amazônia - dummies

Segurança da API dos Serviços da Amazônia - dummies

Vídeo: [Caso de Sucesso] Diebold GAS na AWS | Segurança, escalabilidade e agilidade 2025

Vídeo: [Caso de Sucesso] Diebold GAS na AWS | Segurança, escalabilidade e agilidade 2025
Anonim

Aqui está uma pergunta óbvia ao lidar com proxies de terceiros: se essas ferramentas atuarem em seu nome, como a Amazon Web Services (AWS) sabe que a pessoa em cujo nome eles estão agindo é de fato você? Em outras palavras, como a AWS pode autenticar sua identidade para garantir que os comandos que recebe são de você?

Na verdade, a mesma questão é válida mesmo se você interage diretamente com a AWS API. Como a AWS pode validar sua identidade para garantir que ela execute comandos somente para você?

Uma maneira, é claro, é que você inclua o nome de usuário e a senha da sua conta nas chamadas da API. Embora alguns provedores da nuvem tenham essa abordagem, a Amazon não.

Em vez de confiar em um nome de usuário e senha, ele depende de outros dois identificadores para autenticar suas chamadas de serviço API: a chave de acesso e a chave de acesso secreto. Ele usa essas chaves em chamadas de serviço para implementar a segurança de forma muito mais segura do que usar apenas seu nome de usuário e senha.

Então, como isso funciona? Quando você se inscreve para uma conta com a AWS, você tem a oportunidade de criar uma chave de acesso e ter uma chave secreta de acesso enviada para você. Cada um é uma longa seqüência de caracteres aleatórios, e a chave de acesso secreto é o mais longo dos dois. Quando você baixar a chave de acesso secreto, você deve armazená-la em algum lugar muito seguro porque é a chave (desculpa - pontuação ruim) para implementar chamadas de serviço seguras.

Depois de fazer isso, você e Amazon têm uma cópia da chave de acesso e a chave de acesso secreta. A retenção de uma cópia da chave de acesso secreto é crucial porque é usada para criptografar informações enviadas de um lado a outro entre você e a AWS, e se você não possui a Chave de Acesso Secreto, não pode executar nenhuma chamada de serviço no AWS.

A maneira como as duas chaves são usadas é conceitualmente simples, embora um pouco desafiadora em detalhes.

Essencialmente, para cada chamada de serviço que deseja realizar, você (ou uma ferramenta que opera em seu nome) faça o seguinte:

  1. Crie a carga útil da chamada de serviço.

    Este é o dado que você precisa enviar para o AWS. Pode ser um objeto que deseja armazenar em S3 ou o identificador de imagem de uma imagem que deseja iniciar. (Você também irá anexar outras informações à carga útil, mas porque elas variam de acordo com as especificações da chamada de serviço, elas não estão listadas aqui. Uma peça de dados é a hora atual.)

  2. Criptografar a carga útil usando a chave de acesso secreta.

    Fazer isso garante que ninguém possa examinar a carga e descobrir o que está nele.

  3. Assine digitalmente a carga útil criptografada adicionando a chave de acesso secreto à carga útil criptografada e executando um processo de assinatura digital usando a chave de acesso secreta.

    As chaves de acesso secreto são mais longas e mais aleatórias do que as senhas de usuário típicas; A longa chave secreta de acesso torna a criptografia executada com ela mais segura do que seria se fosse executada com uma senha de usuário típica.

  4. Envie a carga total criptografada, juntamente com a sua chave de acesso, para a AWS através de uma chamada de serviço.

    A Amazon usa a chave de acesso para procurar sua chave de acesso secreta, que ela usa para descriptografar a carga útil. Se a carga útil descodificada representa um texto legível que pode ser executado, o AWS executa a chamada de serviço. Caso contrário, conclui que algo está errado com a chamada de serviço (talvez seja chamado por um ator malévolo) e não executa a chamada de serviço.

Além da criptografia que acabamos de descrever, a AWS possui outros dois métodos para garantir a legitimidade da chamada de serviço:

  • A primeira baseia-se nas informações de data incluídas com a carga útil da chamada de serviço, que ela usa para determinar se o tempo associado à realização da chamada de serviço é apropriado; se a data na chamada de serviço for muito diferente do que deveria ser (muito mais cedo ou posterior à hora atual, em outras palavras), a AWS conclui que não é uma chamada de serviço legítimo e descarta-a.

  • A segunda medida de segurança adicional envolve uma soma de checagem que você calcula para a carga útil. (A checksum é um número que representa o conteúdo de uma mensagem.) AWS calcula uma soma de verificação para a carga útil; Se a soma de verificação não concorda com a sua, ela não permite a chamada de serviço e não a executa.

    Esta abordagem de soma de verificação garante que ninguém manipule o conteúdo de uma mensagem e impede um ator malévolo de interceptar uma chamada de serviço legítimo e mudá-la para executar uma ação inaceitável. Se alguém testar a mensagem, quando a AWS calcula uma soma de verificação, essa soma de verificação não corresponde mais àquela incluída na mensagem, e a AWS se recusa a executar a chamada de serviço.

Se, como a maioria dos usuários da AWS, você usa um método de proxy para interagir com o AWS - o console de gerenciamento do AWS, uma biblioteca de idiomas ou uma ferramenta de terceiros - você precisa fornecer sua chave de acesso e chave de acesso secreto ao proxy. Quando o proxy executa chamadas de serviço AWS em seu nome, ele inclui a chave de acesso na chamada e usa a chave de acesso secreta para executar criptografia de carga útil.

Devido ao papel crítico que essas chaves atendem no AWS, você deve compartilhar apenas com entidades nas quais você confia. Se você deseja experimentar uma nova ferramenta de terceiros e você não sabe muito sobre a empresa, configure uma conta de teste AWS para o teste, em vez de usar as credenciais de sua conta de produção AWS.

Dessa forma, se você decidir não avançar com a ferramenta, pode soltá-la, encerrar a conta AWS de teste e avançar, sem preocupações sobre potenciais vulnerabilidades de segurança em suas principais contas de produção. Claro, você sempre pode criar novas chaves de acesso e chaves de acesso secretas, mas usar suas chaves de produção para testes e, em seguida, alterar as chaves cria muito trabalho, porque você precisa atualizar todos os locais que fazem referência às suas chaves existentes.

Se você é como muitos outros usuários do AWS, você usará várias ferramentas e bibliotecas, e voltar para elas para atualizar suas chaves é uma dor. Você está melhor usando contas de não produção para testar novas ferramentas.

Segurança da API dos Serviços da Amazônia - dummies

Escolha dos editores

Noções básicas do arquivo de dados Flashback da Oracle 12c - dummies

Noções básicas do arquivo de dados Flashback da Oracle 12c - dummies

O Flashback Data Archive do oracle 12c é um mecanismo de banco de dados que permite que você para armazenar periodicamente ou indefinidamente todas as versões de linha em uma tabela ao longo da sua vida útil. Você pode então escolher uma hora para ver os dados como existia em um ponto específico. Esteja ciente de que o Flashback Data Archive é um recurso licenciado. ...

Noções básicas de clusters de aplicativos reais do Oracle 12c - manequins

Noções básicas de clusters de aplicativos reais do Oracle 12c - manequins

Se você visitou os sites da Oracle nos últimos 12 anos , você viu o byline de marketing: "Inquebrável. "Essa linha de tag refere-se ao recurso Real Application Clusters (RAC). Claro, muitos elementos estão envolvidos, mas o RAC tem o destaque. O RAC é a solução de clustering de banco de dados Oracle. Em certo sentido, funciona na teoria de que ...

Noções básicas de Redo Log Files no Oracle 12c - dummies

Noções básicas de Redo Log Files no Oracle 12c - dummies

Redo os arquivos de log armazenam as informações do buffer de log no banco de dados Oracle 12c. Eles são escritos pelo Log Writer (LGWR). Mais uma vez, você não pode ler esses arquivos binários sem a ajuda do software de banco de dados. Normalmente, os arquivos de reto de log são nomeados com a extensão. LOG ou. RDO. Pode ser qualquer coisa que você queira, ...

Escolha dos editores

São orgasmos ok durante a gravidez? - Dummies

São orgasmos ok durante a gravidez? - Dummies

As mulheres grávidas não só têm permissão para fazer sexo, mas muitas vezes o desejam. Mas é bom aproveitar a relação sexual com o ponto do orgasmo? Afinal, os orgasmos são nada mais do que contrações - e as pessoas sugeriram que isso poderia desencadear mão-de-obra. Isso é apenas um mito. De fato, grávida ...

Alimentando a Multidão em uma Reunião Familiar - manequins

Alimentando a Multidão em uma Reunião Familiar - manequins

Cozinhando uma refeição para um grande grupo (reunião familiar ou de outra forma ) requer planejamento e resistência. Aqui está um guia útil para quantidades de alimentos e segurança alimentar, e conselhos sobre a organização de uma festa de potluck. Planejando para potlucks A forma mais comum de comestibles de grupo é uma festa de potluck - qual é a maneira mais barata e fácil de ...

Anatomia do Penis humano - dummies

Anatomia do Penis humano - dummies

Sabendo como as funções de um pénis podem fornecer uma visão útil do sexo e do corpo humano - se você quer entender o pénis e a anatomia masculina melhor ou aprender sobre isso pela primeira vez. Basicamente, um pênis é composto de três estruturas, que são feitas de um material esponjoso que pode preencher com sangue: ...

Escolha dos editores

Como lidar com outliers causados ​​por Forças externas - manequins

Como lidar com outliers causados ​​por Forças externas - manequins

Certifique-se de verificar atentamente os outliers antes eles influenciam sua análise preditiva. Os outliers podem distorcer a análise de dados e dados. Por exemplo, qualquer análise estatística feita com dados que deixa outliers no lugar acaba por desviar os meios e variâncias. Os outliers não controlados ou mal interpretados podem levar a conclusões falsas. Diga os seus dados que ...

Como criar um modelo de análise preditiva com regressão R - manequins

Como criar um modelo de análise preditiva com regressão R - manequins

Você deseja criar um preditivo modelo de análise que você pode avaliar usando resultados conhecidos. Para fazer isso, vamos dividir nosso conjunto de dados em dois conjuntos: um para treinar o modelo e outro para testar o modelo. Uma divisão 70/30 entre treinamento e testes de conjuntos de dados será suficiente. As próximas duas linhas de código ...

Como definir objetivos de negócios para um modelo de análise preditiva - dummies

Como definir objetivos de negócios para um modelo de análise preditiva - dummies

Um modelo de análise preditiva visa resolvendo um problema comercial ou realizando um resultado comercial desejado. Esses objetivos comerciais se tornam os objetivos do modelo. Conhecer aqueles garante o valor comercial do modelo que você constrói - o que não deve ser confundido com a precisão do modelo. Hipotéticamente, você pode construir um modelo preciso para ...