In unserem letzten Blog haben wir uns mit der Geschichte der Pre-Flight-Checklisten befasst, um katastrophale Ausfälle durch menschliche Fehler und Fehlkonfigurationen zu vermeiden. In diesem Blog befassen wir uns eingehend mit einem wichtigen Sicherheitscheck für öffentliche Cloud-Speicher.
Ein wichtiger Fehler bei der Konfiguration von AWS S3 ist die Vernachlässigung der Durchsetzung von HTTPS (TLS) für den Zugriff auf Bucket-Daten, da unverschlüsselter Datenverkehr anfällig für Man-in-the-Middle-Angriffe ist, die Daten während der Übertragung stehlen oder verändern können. Diese Art von Angriffen kann zum Verlust wertvoller Unternehmensdaten und zu Verstößen gegen Vorschriften wie PCI DSS und NIST 800-53 (rev 4) führen.
Amazon hat sein AWS Well-Architected Framework entwickelt, um Unternehmen dabei zu helfen, Best Practices in Bezug auf operative Exzellenz, Sicherheit, Zuverlässigkeit, Leistungseffizienz und Kostenoptimierung zu erreichen. Die Säule "Sicherheit" bietet eine Anleitung zur Implementierung von Best Practices bei der Entwicklung, Bereitstellung und Wartung von sicheren AWS-Arbeitslasten.
Geteilte Verantwortung
Das Konzept der "geteilten Verantwortung" ist eine der Grundlagen der Sicherheitssäule. Laut Amazon ist AWS für die "Sicherheit der Cloud" verantwortlich, während seine Kunden für die "Sicherheit in der Cloud" zuständig sind. Diese Kundenverantwortung umfasst das Identitäts- und Zugriffsmanagement, die Erkennung von Bedrohungen, den Schutz der Infrastruktur, den Schutz der Daten und die Reaktion auf Vorfälle.
Datenschutz
Der Datenschutz umfasst die Klassifizierung von Daten sowie den Schutz von Daten im Ruhezustand und bei der Übertragung. Laut Amazon:
Daten im Transit sind alle Daten, die von einem System zu einem anderen gesendet werden. Dazu gehört die Kommunikation zwischen Ressourcen innerhalb Ihres Workloads ebenso wie die Kommunikation zwischen anderen Diensten und Ihren Endbenutzern. Durch die Bereitstellung eines angemessenen Schutzniveaus für Ihre Daten bei der Übertragung schützen Sie die Vertraulichkeit und Integrität der Daten Ihres Workloads.
Amazon hebt vier bewährte Verfahren zum Schutz von Daten während der Übertragung hervor:
- Implementierung einer sicheren Schlüssel- und Zertifikatsverwaltung
- Durchsetzung der Verschlüsselung bei der Übertragung
- Authentifizierung der Netzwerkkommunikation
- Automatisieren Sie die Erkennung von unbeabsichtigtem Datenzugriff
Sicherheit der Transportschicht
Um die Verschlüsselung bei der Übertragung durchzusetzen, bieten die AWS-Services HTTPS-Endpunkte, die TLS für die Kommunikation verwenden. AWS Config bietet zahlreiche vordefinierte und anpassbare verwaltete Regeln, die einfach konfiguriert werden können, um Best Practices durchzusetzen. Eine dieser Regeln ist s3-bucket-ssl-requests-only, die prüft, ob Amazon S3-Buckets über Richtlinien verfügen, die explizit den Zugriff auf HTTP-Anfragen verweigern. Bucket-Richtlinien, die HTTPS zulassen, ohne HTTP zu blockieren, gelten als nicht konform.
Organisationen können diese Regel mit dem Bedingungsschlüssel "aws:SecureTransport" durchsetzen. Wenn dieser Schlüssel wahr ist, wurde die Anfrage über HTTPS gesendet, aber wenn er falsch ist, benötigen Organisationen eine Bucket-Policy, die explizit den Zugriff auf HTTP-Anfragen verweigert.
Amazon stellt dieses Beispiel für eine Bucket-Policy zur Verfügung, die den Zugriff verweigert, wenn "aws:SecureTransport": "false":
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
Vermeiden Sie häufige Konfigurationsfehler mit OPSWAT
Bei häufigen Konfigurationsfehlern, wie z. B. HTTPS (TLS), sollten Unternehmen Checklisten verwenden, um sicherzustellen, dass sie die besten Verfahren anwenden. Die Automatisierung dieses Prozesses mit Hilfe von Technologie kann dazu beitragen, zeitaufwändige und teure manuelle Fehler zu vermeiden.
MetaDefender Storage Security erweitert seine Sicherheitslösung für Cloud-Speicher um eine integrierte Sicherheitscheckliste, mit der Cybersecurity-Experten sicherstellen können, dass der Cloud-Speicher ihres Unternehmens bei der Bereitstellung nicht falsch konfiguriert ist, was auch die Entwicklungs- und Produktionsphasen des Cloud-Speichers einschließt.
Das Erzwingen von HTTPS (TLS) für den Zugriff auf Bucket-Daten ist ein wichtiger Punkt auf der Checkliste von MetaDefender Storage Security , aber nicht der einzige. In zukünftigen Blogs werden wir andere wichtige Konfigurationsfehler zum Schutz von Daten im Ruhezustand untersuchen, darunter Bucket-Versionierung, serverseitige Verschlüsselung und Bucket-Zugriffsprotokollierung.
Wenden Sie sich an einen OPSWAT Experten für Cybersicherheit, um mehr zu erfahren.
