S3 hakkında bilmenizi istemeyeceğiniz şeyler

 (blog.plerion.com)
2 puan yazan GN⁺ 2024-06-02 | 1 yorum | WhatsApp'ta paylaş

AWS S3 bucket şifrelemesi sanıldığı kadar basit değil

S3 şifreleme seçenekleri

  • Sunucu tarafı şifreleme (SSE-S3): AWS tarafından yönetilen anahtarlar kullanılarak veriler şifrelenir.
  • Sunucu tarafı şifreleme (SSE-KMS): Veriler, AWS Key Management Service (KMS) kullanılarak şifrelenir.
  • Sunucu tarafı şifreleme (SSE-C): Veriler, kullanıcı tarafından sağlanan anahtarlarla şifrelenir.
  • İstemci tarafı şifreleme: Kullanıcı, veriyi yüklemeden önce doğrudan kendisi şifreler.

Şifreleme ile erişim kontrolü arasındaki fark

  • Şifreleme: Veriyi korumak için verinin dönüştürülmesi sürecidir.
  • Erişim kontrolü: Veriye kimin erişebileceğini belirleyen politikadır.
  • S3 şifrelemesi, gerçekte veri korumadan çok erişim yetkilerinin yönetimine odaklandığı için erişim kontrolüne daha yakındır.

Neden önemli

  • Güvenlik: Şifreleme, veri sızıntısı durumunda bile veriyi koruyabilir.
  • Mevzuata uyum: Belirli sektör düzenlemelerini veya yasal gereklilikleri karşılamak için şifreleme gerekebilir.
  • Veri bütünlüğü: Şifreleme, verinin değiştirilmediğini garanti eder.

GN⁺ görüşü

  • Şifreleme ile erişim kontrolünün karıştırılması: Birçok kişi şifreleme ile erişim kontrolünü karıştırıyor. Bu yazı, aradaki farkı açıkça anlatıyor.
  • Gerçek güvenlik seviyesi: S3'ün şifreleme seçeneklerinin pratikte ne kadar güvenli olduğuna dair eleştirel bir bakış gerekli.
  • Alternatif teknolojiler: S3 dışında Google Cloud Storage veya Azure Blob Storage gibi diğer bulut depolama hizmetleri de değerlendirilebilir.
  • Kullanıcı eğitimi: Başlangıç seviyesindeki mühendislere şifreleme ile erişim kontrolü arasındaki farkın net biçimde öğretilmesi önemli.
  • Teknoloji benimsenirken dikkat edilmesi gerekenler: Şifreleme teknolojileri uygulanırken performans düşüşü, maliyet artışı gibi unsurlar da hesaba katılmalı.

İlgili okumalar

1 yorum

 
GN⁺ 2024-06-02
Hacker News görüşü
  • Dosya sisteminin büyük/küçük harf duyarlı olmasından şikayet edilmesine katılmıyorum. Bu gayet doğal; asıl rahatsız edici olan macOS'un bunu desteklememesi.
  • S3 yolu gerçek bir dizin değil, bir simülasyondur. Örneğin /builds/1/installer.exe, aslında adında / bulunan bir dosyadır.
  • S3 veya diğer AWS servislerini kullanmak karmaşık; dokümantasyon çok fazla ve bu yüzden verileri yanlışlıkla açığa çıkarabilirsiniz. Hetzner Storage Boxes veya DigitalOcean Spaces gibi daha basit servisleri tercih ediyorum.
  • Milyarlarca nesneyi silmek pahalı olabilir. Ancak joker karakter kullanarak veya tüm bucket için nesne sona erme süresi ayarlayarak depolama ücretini ücretsiz olarak hemen durdurabilirsiniz.
  • Başarısız multipart upload'lar görünmeden sistemde kalabilir ve depolama maliyetine yol açabilir. Bu da S3'ün adındaki 'Simple' ile pek uyuşmuyor.
  • Multipart upload birden fazla makinede gerçekleştirilemez ve LIST istekleri yavaş ve pahalıdır. Bucket oluşturma işlemi de tutarsız olabilir.
  • S3 büyük/küçük harf duyarlıdır; bu da dosya sistemi yapısına dönüştürülürken sorun yaratabilir.
  • Çoğu S3 yapılandırması GET isteğine izin verir ama HEAD isteğine vermez. Bu yüzden cache kullanan akışlar çalışmayabilir.
  • Çok sayıda pre-signed URL kullanıyorsanız, URL oluşturma hızını 10 ila 40 kat artırabilirsiniz.
  • Tamamlanmamış multipart upload'lar için de depolama ücreti ödersiniz. Otomatik silme ayarını etkinleştirmelisiniz.
  • Büyük/küçük harf duyarlılığı tartışması fazlasıyla İngilizce merkezli.
  • S3, tek bir TCP bağlantısı 100 HTTP isteği gönderdikten sonra sonraki tüm istekleri sessizce yok sayıyor.
  • Yanlış yapılandırılmış bir web sitesi, kullanıcı içeriğini Amazon Glacier'a yükleyip daha sonra sunabilir.
  • S3, yüksek gecikme nedeniyle web sunumu için uygun değil. Küçük nesnelerde tutarlı gecikme süresi 100-200 milisaniye civarında.