A legutóbbi blogunkban a repülés előtti ellenőrző listák történetét jártuk körbe, hogy elkerüljük az emberi hibákból és félrekonfigurálásokból eredő katasztrofális meghibásodásokat. Ebben a blogban egy kritikus fontosságú nyilvános felhőtároló biztonsági ellenőrzésébe mélyedünk bele.
Az AWS S3 konfigurációjának egyik fő hibája, hogy a vödöradatok eléréséhez nem alkalmazzuk a HTTPS (TLS) protokollt, mivel a titkosítatlan forgalom sebezhető a man-in-the-middle támadásokkal szemben, amelyek ellophatják vagy módosíthatják az adatokat az adatátvitel során. Az ilyen jellegű támadások értékes vállalati adatok elvesztéséhez és az olyan szabályozásoknak való megfelelés megsértéséhez vezethetnek, mint a PCI DSS és a NIST 800-53 (rev 4).
Az Amazon azért hozta létre az AWS Well-Architected Framework keretrendszerét, hogy segítsen a szervezeteknek a működési kiválósággal, biztonsággal, megbízhatósággal, teljesítményhatékonysággal és költségoptimalizálással kapcsolatos legjobb gyakorlatok elérésében. A biztonsági pillér útmutatást nyújt a biztonságos AWS-munkaterhelések tervezése, szállítása és karbantartása során alkalmazott legjobb gyakorlatok megvalósításához.
Megosztott felelősség
A "megosztott felelősség" koncepciója a biztonsági pillér egyik alapja. Az Amazon szerint az AWS felel a "felhő biztonságáért", míg ügyfelei a "felhő biztonságáért". Ezek az ügyfelek felelősségei közé tartozik a személyazonosság- és hozzáférés-kezelés, a fenyegetések észlelése, az infrastruktúra védelme, az adatvédelem és az incidensekre való reagálás.
Adatvédelem
Az adatvédelem magában foglalja az adatok osztályozását, valamint a nyugvó és a tranzitadatok védelmét. Az Amazon szerint:
A tranzitadatok olyan adatok, amelyeket egyik rendszerből a másikba küldenek. Ez magában foglalja a munkaterhelésen belüli erőforrások közötti kommunikációt, valamint a más szolgáltatások és a végfelhasználók közötti kommunikációt. Azzal, hogy megfelelő szintű védelmet biztosít a tranzitadatok számára, megvédi a munkaterhelés adatainak titkosságát és integritását.
Az Amazon négy legjobb gyakorlatot emel ki az adatok szállítás közbeni védelmére:
- Biztonságos kulcs- és tanúsítványkezelés megvalósítása
- Titkosítás érvényesítése az átvitel során
- Hálózati kommunikáció hitelesítése
- Automatizálja a nem szándékos adathozzáférés észlelését
Szállítási réteg biztonsága
A titkosítás érvényesítése érdekében az AWS-szolgáltatások TLS-t használó HTTPS végpontokat biztosítanak a kommunikációhoz. Az AWS Config számos előre meghatározott és testreszabható kezelt szabályt kínál, amelyek könnyen konfigurálhatók a legjobb gyakorlatok érvényesítésére. Ezek között a szabályok között szerepel az s3-bucket-ssl-requests-only, amely ellenőrzi, hogy az Amazon S3 vödrök rendelkeznek-e olyan házirenddel, amely kifejezetten megtagadja a HTTP-kérésekhez való hozzáférést. A HTTPS-t a HTTP letiltása nélkül engedélyező vödör-szabályzatok nem minősülnek megfelelőnek.
A szervezetek az "aws:SecureTransport" feltételkulccsal érvényesíthetik ezt a szabályt. Ha ez a kulcs igaz, akkor a kérés HTTPS-en keresztül lett elküldve, de ha hamis, akkor a szervezeteknek olyan bucket házirendre van szükségük, amely kifejezetten megtagadja a hozzáférést a HTTP-kérésekhez.
Az Amazon ezt a példát adja egy olyan vödör-házirendre, amely megtagadja a hozzáférést, ha "aws:SecureTransport": "false":
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
Kerülje el a gyakori konfigurációs hibákat az OPSWAT
A gyakori konfigurációs hibák, például a HTTPS (TLS) esetében a szervezeteknek ellenőrző listákat kell használniuk, hogy biztosítsák a legjobb gyakorlatok végrehajtását. Ennek a folyamatnak a technológiával történő automatizálása segíthet elkerülni az időigényes és költséges kézi hibákat.
MetaDefender Storage Security egy integrált biztonsági ellenőrző listával bővíti felhőalapú tárolási biztonsági megoldását, hogy a kiberbiztonsági szakemberek biztosítani tudják, hogy a szervezetük felhőalapú tárolóját ne konfigurálják félre a rendelkezésre bocsátás során, amely magában foglalja a felhőalapú tárolás fejlesztési és termelési szakaszát is.
A HTTPS (TLS) kikényszerítése a vödrök adatainak eléréséhez a MetaDefender Storage Security egyik kritikus ellenőrzőlistájának egyik pontja, de nem ez az egyetlen. A következő blogokban a nyugalmi adatok védelmének más fontos konfigurációs hibáit fogjuk megvizsgálni, beleértve a vödörverzióztatást, a kiszolgálóoldali titkosítást és a vödörhozzáférés naplózását.
További információkért forduljon az OPSWAT kiberbiztonsági szakértőjéhez.
