Forem: Daniele Madama

Data Privacy & Sovereignty on AWS

Daniele Madama — Fri, 24 Feb 2023 13:18:30 +0000

Data Privacy & Sovereignty on AWS

In the previous post I started to wrote about the physical infrastructure of AWS, introducing the basic concepts for the upcoming new Region in Zurich.

Now I would like to spent few lines about a delicate topic, privacy and data sovereignty, with a focus on the last one.

Where is my data and who can move my data?

When you design and create your infrastructure is important to think about which kind of data you will use, and how you will use them. Storing data in resources that are placed in a public subnet (even if this resource does not have a public IP attached) is slightly different from placing them in a private subnet and could expose your infra from unexpected behaviour, as using an S3 bucket with the public endpoint and public access disabled by ACL/policies instead to use S3 access point. So keep in mind everything and remember that you choose the Region (where) when you create a storage resource and you define the IAM policies (who) associated.

AWS assure you that the services will respect your choices, this is the basic principle of the Shared Responsibility Model.

Can the US Government see my data?

We are aware of the existance of the CLOUD Act (Clarifying Lawful Overseas Use of Data). This is a law that provide to the US Government the right to challenge requests that conflict with foreign laws or national interests. AWS must respond to this request, but this does not means that the US Government automatically has a direct access to our data. AWS is committed to notifying customers of requests for content to extent allowed, also examines each request individually to assess potential conflicts.

If you are interested to get more information on this process and the results you can take a look to the Information Request Report, following the link at the end of that page you can access to the report history and consult the PDFs, you can notice the following statement

How many requests resulted in the disclosure to the U.S. government of enterprise or government content data located outside the United States?
None.

Can I be compliant with data protection laws and regulations if I use AWS?

AWS supports more security standards and compliance certifications than any other offering, including FedRAMP, GDPR, CS, and NIST 800–171, helping customers satisfy compliance requirements for virtually every regulatory agency around the globe.

These controls strengthen your customers compliance and certification programs, while also offering access to tools that they can use to reduce costs and time to run their own specific security assurance requirements.

Swiss Data Protection Law, Swiss Professional Secrecy Laws and FINMA are included.

Can AWS access customer data?

Rember what we said before: customer control who can access their data.

AWS prohibit, and their systems are designed to prevent, remote access by AWS personnel to customer data for any purpose, including service maintenance, unless requested by a customer, required to prevent fraud and abuse, or to comply with the law.

You have 2 types of safeguards:

Technical safeguards

Data encryption (encryption at rest)
- AWS CloudHSM and AWS Key Management Service (KMS)
Access control
IAM and Control Tower data residency guardrails
Monitoring and logging
AWS CloudTrail and Amazon CloudWatch
AWS Nitro system
With the AWS Nitro System, there’s no mechanism for any system or person to log in to EC2 servers (the underlying host infrastructure), read the memory of EC2 instances, or access any data store on instance storage and encrypted Amazon Elastic Block Store (Amazon EBS) volumes.

Contractual safeguards

Opt-out your data

If you want to check which kind of control (encryption, deletion, etc) you have on your data, take a look to the privacy page.

You can use AWS services with the confidence that your customer data stays in the AWS Region you select. A small number of AWS services involve the transfer of customer data, for example, to develop and improve those services, where you can opt-out of the transfer, or because transfer is an essential part of the service (such as a content delivery service).

Conclusions

Ok, now you should have more information, or at least some usefull links :). If you still need further support does not hesitate to reach me out or contact an AWS Partner like us.

Original post here

AWS Regione Svizzera: Zurigo

Daniele Madama — Fri, 24 Feb 2023 13:15:32 +0000

AWS Regione Svizzera: Zurigo

Più di un anno fa AWS ha annunciato una nuova Regione a Zurigo, in Svizzera. Sarà online nella seconda metà di quest’anno (2022), potrebbe accadere in Luglio come in Dicembre, ancora non lo sappiamo con certezza.

Ma prima di parlare a riguardo dei benefici per le aziende svizzere, spendiamo alcuni minuti capendo cos’è una Regione e la relativa infrastruttura fisica.

È intesa come luogo fisico nel mondo in cui clusterizziamo i data center. Ogni gruppo di data center logici viene chiamato zona di disponibilità. Ogni Regione AWS consiste in una serie di zone di disponibilità isolate e fisicamente separate all’interno di un’area geografica

Ok, abbastanza chiaro, una Regione è un cluster di Zone di Disponibilità 🤔… aspetta! Cos’è una Zona di Disponibilità?

Una Zona di Disponibilità consiste in uno o più data center provvisti di alimentazione, rete e connettività ridondanti in una regione AWS. […] Tutte le zone di disponibilità in una regione AWS sono interconnesse tramite una rete a elevata larghezza di banda e a bassa latenza, su una fibra metropolitana dedicata completamente ridondante che distribuisce reti a alto throughput e bassa latenza tra esse. Tutto il traffico tra le zone di disponibilità è crittografato. La prestazione di rete è sufficiente per ottenere una replica sincrona fra le zone di disponibilità. […] Il partizionamento di un’applicazione in diverse zone di disponibilità consente l’isolamento delle aziende e le protegge da problemi come blackout, fulmini, tornado, terremoti e altro ancora. Le zone di disponibilità sono fisicamente separate tra loro da una distanza significativa di molti chilometri, pur restando nel raggio di 100 km l’una dall’altra.

Ok, ora è decisamente più chiaro 💡, la Zona di Disponibilità è il vero cuore per l’alta affidabilità e la ridondanza, tu (in quanto utente AWS) dovresti usare tutti i benefici di un rilascio su più zone per incrementare la tua affidabilità, rilasciare una applicazione su più zone non incrementa la latenza in maniera significante (ok, dipende, se hai una applicazione HPC probabilmente è rilevante). Ricordati che anche se rilasci in una singola zona stai comunque usando “uno o più data center”, quindi se veramente hai bisogno della latenza più bassa possibile prendi in considerazione i gruppi di collocamento.

Quando scegli quali servizi usare, puoi selezionare servizi che girano a livello di Zona di Disponibilità come EC2 e RDS o servizi a livello di Regione come S3 e DynamoDB, quindi scegliere il servizio giusto può automaticamente aumentare la disponibilità della tua infrastruttura.

“Tutto Fallisce Ogni Volta” è quello che Werner Vogels ci ricorda, e AWS non è una eccezione. La nuova Regione a Zurigo avrà 3 Zone di Disponibilità, questo ti permetterà di creare soluzioni resilienti, 2 zone non sono abbastanza, se una di esse ha un problema (e succederà…) rimani con solo una e con un possible singolo punto di vulnerabilità.

La Regione assume il nome da una zona geografica, per esempio una città o uno Stato, questo è importante per la sovranità dei dati: quando salvi dei dati in una Regione, questi dati non lasceranno la Regione fino a quando non sarai tu ad esporli esplicitamente o a trasferirli; ovviamente questo aspetto è critico in applicazioni bancarie e finanziarie, per la legge svizzera sulla protezione dei dati (DPA) o la GDPR Europea. Se vuoi approfondire ulteriormente dai uno sguardo alla pagina sulla privacy dei dati.

Approfondiremo ulteriormente le tematiche relative alla disponibilità e alla sovranità dei dati in un prossimo post.

A questo punto non dovrebbero essere più dubbi circa l’infrastruttura AWS ed i principali vantaggi di una Regione locale dovrebbero essere chiari, ma se ti piacerebbe ricevere più informazioni o essere supportato da un Partner AWS sentiti libero di contattare Claranet Switzerland.

Articolo originale qui

AWS Swiss Region: Zürich

Daniele Madama — Fri, 24 Feb 2023 13:14:02 +0000

AWS Swiss Region: Zürich

More than 1 year ago AWS announced a new Region in Zürich, Switzerland. It will be online in the second half of this year, it could be happens in July or in December, we still don’t know exactly.

But before talking about the benefits for the Swiss companies, let’s spent few minutes understanding what is a Region and the AWS physical infrastructure.

Is a physical location around the world where we cluster data centers. We call each group of logical data centers an Availability Zone. Each AWS Region consists of multiple, isolated, and physically separate AZs within a geographic area.

Ok, pretty clear, a Region is a cluster of Availability Zones 🤔… wait! What is an Availability Zone?

An Availability Zone (AZ) is one or more discrete data centers with redundant power, networking, and connectivity in an AWS Region. […] All AZs in an AWS Region are interconnected with high-bandwidth, low-latency networking, over fully redundant, dedicated metro fiber providing high-throughput, low-latency networking between AZs. All traffic between AZs is encrypted. The network performance is sufficient to accomplish synchronous replication between AZs. […] If an application is partitioned across AZs, companies are better isolated and protected from issues such as power outages, lightning strikes, tornadoes, earthquakes, and more. AZs are physically separated by a meaningful distance, many kilometers, from any other AZ, although all are within 100 km (60 miles) of each other.

Ok, now is definitively more clear 💡, AZ is the real core for High Availability and redundancy, you (as AWS customer) should use all the benefits of multi AZ deployments to increase your availability, deploying an application on more AZ does not increase the latency in a significant way (ok, it depends, if you have an HPC application maybe is relevant). Remember that even if you deploy in a single AZ you are using “one or more data centers”, so if you really need the lower latency as possible take a look to placement groups.

When you choose the services to use, you can select services that run at AZ level like EC2 and RDS or services at Region level like S3 and DynamoDB, so choosing the right services can automatically increase the availability of your infrastructure.

“Everything Fails All the Time” is what Werner Vogels remember us, and AWS is not an exception. The new Region in Zürich will have 3 AZs, this will allow you to create resilient solutions, 2 AZs are not enough, if one of them has a problem (and it will happens…) you remain with only one and with a possible single point of failure.

A Region assume the name of a geographical zone, for example a city/state, this is important for the data sovereignty: when you save your data in a Region, the data will not leave the Region until you don’t explicitly expose or transfer them; obviously this aspect is critical in bank and financial applications, for Swiss DPA or European GDPR and so on. If you want to read more take a look to AWS Data Privacy page.

We will discuss further about availability and data sovereignty in the next posts.

At this point there should be no more doubts about the AWS infrastructure and the main advantages of a local Region should be clear, but if you desire to receive more information or be supported by an AWS Partner feel free to contact Claranet Switzerland.

Original post here

Forem: Daniele Madama

Data Privacy & Sovereignty on AWS

*Data Privacy & Sovereignty *​on AWS

Where is my data and who can move my data?

Can the US Government see my data?

Can I be compliant with data protection laws and regulations if I use AWS?

Can AWS access customer data?

Opt-out your data

Conclusions

AWS Regione Svizzera: Zurigo

AWS Regione Svizzera: Zurigo

AWS Swiss Region: Zürich

AWS Swiss Region: Zürich

Data Privacy & Sovereignty on AWS