Überwinden Sie Ihre Cloud-Sicherheits-bedenken: AWS S3 Bucket
Amazon bietet eine der sichersten Clouds. Aber wie in vielen anderen Fällen können menschliche Faktoren, die zu Fehlkonfigurationen des AWS S3 Buckets führen, seine Robustheit gegen Datendiebstahl ruinieren.
Ein kurzes Wrap-up: Wo liegt das Problem?
Buckets sind AWS S3-Speicherinstanzen. Das Jahr 2019 war reich an Hackerangriffen auf AWS S3-Buckets. Die AWS-Sicherheit ist daran nicht schuld: Die Buckets waren nur grob konfiguriert. Da AWS keine narrensichere Technologie für dieses Problem anbietet, ist es an der Zeit, die Cloud-Sicherheit selbst in die Hand zu nehmen.
Wir haben eine Übersicht über mögliche Fehler in der Konfiguration und deren Lösungen erstellt. Diese Probleme haben mit Lücken in der Verwaltung der Zugriffsrechte zu tun.
Administrative Lücken
Einfache Lücken in der Benutzerverwaltung und den Zugriffsberechtigungen
Wie bei jedem anderen System können Sie bei einer großen Anzahl von Benutzern in Ihrer Organisation den Überblick darüber verlieren, wer was tun darf. Sensible Informationen können den Benutzern zugänglich gemacht werden, die sie nie brauchen, aber die Situation öffnet eine Tür für einen Hackerangriff.
Selbst wenn Sie eine Sicherheitsmatrix haben, kann sich die Implementierung von Änderungen in S3 verzögern, wenn Sie eine manuelle Benutzerverwaltung verwenden. Auch AWS-Zugriffskontrolllisten können nicht ausreichen, da sie keine programmatische Steuerung der Zugriffsrechte ermöglichen.
Fortgeschrittene Sicherheitsbrüche
Es mag seltsam klingen, aber Buckets können ohne aktive Beteiligung Ihrerseits erstellt werden. Das bedeutet, dass Sie überhaupt keine Möglichkeit haben, auf die initale Konfiguration Einfluss zu nehmen. Dies kann passieren, wenn Sie Amazon S3 für die Datensicherung verwenden. Wenn Ihr Unternehmen über Amazon Elastic Compute Cloud (Amazon EC2) verfügt, haben Sie es wahrscheinlich mit Amazon S3 gekoppelt, um tägliche Backups oder Snapshots zu speichern. So wird jedes Mal, wenn ein Amazon Machine Image – eine Vorlage, die zum Einrichten einer virtuellen Maschine in EC2 benötigt wird – erstellt wird, dieses in S3 abgelegt. In diesem Moment kann ein neuer Bucket entstehen.
Buckets können auch von anderen Diensten automatisch erzeugt werden, ohne dass Sie eine Benachrichtigung erhalten.
Native Lösungen für eine bessere Zugriffskontrolle
Zugriffsberechtigungen können auf den drei folgenden Ebenen verwaltet werden:
ACL sind einfache Listen, die definieren, wer auf was und auf welche Art Zugriff hat : lesen oder schreiben.
IAM ist eine Sammlung von ressourcenbasierten und Benutzerzugriffsrichtlinien. Ressourcenbasiert bedeutet, dass die Richtlinien mit einer Ressource verknüpft sind, und diese Ressource legt fest, welche Berechtigungen jeder Benutzer hat. Benutzerzugriffsrichtlinien legen die Berechtigung basierend auf Benutzerrollen fest, was bedeutet, dass die Berechtigungen an bestimmte Benutzer und nicht an eine Ressource gebunden sind.
Bucket-Richtlinien sind Einschränkungen, die sich auf Buckets beziehen. Als zuständiger Administrator, können Sie z. B. einen Bucket komplett privat setzen und mit der Option „Block Public Access“ den Zugriff für alle verweigern.
Best Practices
Amazon stellt Ihnen eine ganze Reihe von Tools zur Verfügung, um Ihre Buckets gegen unbefugten Zugriff abzuschotten. Die Frage ist, wie Sie diese Werkzeuge für sich arbeiten lassen.
Wir haben ein paar Tipps vorbereitet:
- verwenden Sie IAM, um Benutzerberechtigungen programmatisch zu verwalten; verlassen Sie sich nicht auf Ihr Gedächtnis oder irgendwelche Excel-Tabellen;
- bevor Sie eine IAM-Richtlinie erstellen, denken Sie über alle ihre Bausteine nach: Prinzipale, Aktionen und Ressourcen;
- trennen Sie private und öffentliche Buckets; speichern Sie niemals Informationen mit unterschiedlichen Benutzerberechtigungen in einem Bucket;
- Folgen Sie dem Prinzip der geringsten Rechte aus der offiziellen AWS-Dokumentation;
- zögern Sie nicht, „Block Public Access“ zu verwenden, wann immer möglich;
- seien Sie vorsichtig bei der Vergabe von Schreibzugriff;
- seien Sie vorsichtig mit der Vergabe von verallgemeinerten Zugriffsrechten, wie „Jeder“ oder „Jeder authentifizierte AWS-Benutzer“;
- stellen Sie sicher, dass Sie einen vertrauenswürdigen Berater oder zumindest einen dedizierten Systemadministrator mit der Überwachung Ihrer Cloud-Sicherheit beauftragen.
Denken Sie daran, dass Clouds nur dann sicher bleiben, wenn Sie die das Thema Sicherheit ernst nehmen.
Wer kümmert sich darum?
Zu guter Letzt brauchen Sie eine Person (oder mehrere) in Ihrem Unternehmen, die die Verantwortung für die Umsetzung dieser Best Practices übernimmt. JCFINCH kann Ihnen dabei helfen, einen qualifizierten und zuverlässigen Cloud-Sicherheitsspezialisten zu finden. Rufen Sie uns an, um Ihren Bedarf an Cloud-Sicherheitstalenten zu besprechen.