În ultimulnostru blog am explorat istoria listelor de verificare dinaintea zborului pentru a evita defecțiunile catastrofale cauzate de erori umane și de configurarea greșită. În acest blog vom aprofunda în profunzime o verificare critică a securității stocării în cloud public.
O greșeală majoră de configurare a AWS S3 este neglijarea aplicării HTTPS (TLS) pentru a accesa datele din bucket, deoarece traficul necriptat este vulnerabil la atacurile de tip man-in-the-middle care pot fura sau modifica datele în tranzit. Acest tip de atacuri poate duce la pierderea de date valoroase ale întreprinderii și la încălcări ale conformității cu reglementări precum PCI DSS și NIST 800-53 (rev 4).
Amazon a creat cadrul AWS Well-Architected Framework pentru a ajuta organizațiile să realizeze cele mai bune practici legate de excelență operațională, securitate, fiabilitate, eficiență în ceea ce privește performanța și optimizarea costurilor. Pilonul de securitate oferă îndrumări pentru implementarea celor mai bune practici în proiectarea, livrarea și întreținerea unor sarcini de lucru AWS sigure.
Responsabilitate partajată
Conceptul de "responsabilitate partajată" este unul dintre fundamentele pilonului de securitate. Potrivit Amazon, AWS este responsabilă pentru "securitatea în cloud", în timp ce clienții săi sunt responsabili pentru "securitatea în cloud". Aceste responsabilități ale clienților includ gestionarea identității și a accesului, detectarea amenințărilor, protecția infrastructurii, protecția datelor și răspunsul la incidente.
Protecția datelor
Protecția datelor cuprinde clasificarea datelor, precum și protejarea datelor în repaus și a datelor în tranzit. Potrivit Amazon:
Datele în tranzit reprezintă orice date care sunt trimise de la un sistem la altul. Aceasta include comunicarea între resursele din cadrul volumului de lucru, precum și comunicarea între alte servicii și utilizatorii finali. Prin asigurarea unui nivel adecvat de protecție pentru datele în tranzit, protejați confidențialitatea și integritatea datelor din volumul de lucru.
Amazon evidențiază patru bune practici pentru protejarea datelor în tranzit:
- Implementați gestionarea securizată a cheilor și certificatelor
- Impuneți criptarea în tranzit
- Autentificarea comunicațiilor în rețea
- Automatizarea detectării accesului neintenționat la date
Securitatea stratului de transport
Pentru a impune criptarea în tranzit, serviciile AWS oferă puncte finale HTTPS care utilizează TLS pentru comunicare. AWS Config oferă numeroase reguli gestionate predefinite și personalizabile, care pot fi configurate cu ușurință pentru a impune cele mai bune practici. Printre aceste reguli se numără s3-bucket-ssl-requests-only, care verifică dacă bucket-urile Amazon S3 au politici care refuză în mod explicit accesul la cererile HTTP. Politicile bucket-urilor care permit HTTPS fără a bloca HTTP sunt considerate neconforme.
Organizațiile pot aplica această regulă cu ajutorul cheii de condiție "aws:SecureTransport" . Când această cheie este adevărată, cererea a fost trimisă prin HTTPS, dar când este falsă, organizațiile au nevoie de o politică de tip bucket care să refuze în mod explicit accesul la cererile HTTP.
Amazon oferă acest exemplu de politică bucket care refuză accesul atunci când "aws:SecureTransport": "false":
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
Evitați erorile comune de configurare cu OPSWAT
În ceea ce privește erorile comune de configurare, cum ar fi HTTPS (TLS), organizațiile ar trebui să utilizeze liste de verificare pentru a se asigura că implementează cele mai bune practici. Automatizarea acestui proces cu ajutorul tehnologiei poate ajuta la evitarea erorilor manuale costisitoare și care necesită timp și bani.
MetaDefender Storage Security își îmbunătățește soluția de securitate pentru stocarea în cloud cu o listă de verificare integrată a securității, astfel încât profesioniștii în domeniul securității cibernetice să se poată asigura că stocarea în cloud a organizației lor nu este configurată greșit pe măsură ce este provizionată, ceea ce include etapele de dezvoltare și de producție a stocării în cloud.
Impunerea HTTPS (TLS) pentru a accesa datele din găleți este un element esențial de pe lista de verificare în MetaDefender Storage Security , dar nu este singurul. În blogurile viitoare, vom explora alte erori de configurare majore pentru protejarea datelor în repaus, inclusiv versiunea bucket, criptarea pe server și înregistrarea accesului la bucket.
Contactați un expert în securitate cibernetică de la OPSWAT pentru a afla mai multe.
