5 Möglichkeiten, Fehlkonfigurationen von AWS S3-Buckets zu verhindern
Anfang dieses Jahres machte ein schwedisches Sicherheitsunternehmen namens Securitas Schlagzeilen, nachdem ein falsch konfigurierter AWS S3-Bucket versehentlich 1,5 Millionen Dateien (3 TB) der Öffentlichkeit zugänglich gemacht hatte. Die offengelegten Dateien stammen aus dem Jahr 2018 und enthielten ID-Karten von mindestens vier verschiedenen Flughäfen in Südamerika sowie Daten von Securitas-Mitarbeitern und anderen Privatunternehmen.
Ursprünglich hatte SafetyDetectives die Fehlkonfiguration entdeckt. Die beliebte Antiviren-Website berichtete, dass mindestens ein Flughafen in Peru und drei Flughäfen in Kolumbien von dem Leck betroffen waren. Unter den gestohlenen Anmeldeinformationen befanden sich personenbezogene Daten (PII) wie Namen, Fotos, Berufe und nationale ID-Nummern.
Der Verstoß umfasste Fotos von kritischen Flughafenoperationen, einschließlich Kraftstoffleitungen und Gepäckbe- und -entladung. Noch schlimmer war, dass die EXIF-Fotodaten der durchgesickerten Telefone GPS-Koordinaten sowie Zeit- und Datumsstempel enthielten. Securitas schloss den freigelegten Eimer schließlich ab, aber der Schaden war bereits angerichtet.
Was sind AWS S3-Buckets?
Amazon Web Services Simple Scalable Storage (AWS S3) ist ein führender Cloud-Service zum Speichern großer Datenmengen. AWS S3 erstellt Container, sogenannte Buckets, zum Speichern von Daten. Jede Datei und ihre Metadaten im Bucket werden als „Objekte“ bezeichnet und können programmgesteuert oder über eine Webschnittstelle aufgerufen werden.
AWS S3 ist auch ein Hauptziel für Hacker, die kritische Daten herausfiltern wollen. 16 Prozent aller Cloud-basierten Datenschutzverletzungen gehen auf Fehlkonfigurationen zurück, wie zum Beispiel das, was dem Stockholmer Sicherheitsunternehmen als jüngstes Beispiel widerfahren ist.
Falsch konfigurierte S3-Buckets sind sehr gut vermeidbar. Hier sind fünf Tipps, um Ihre S3-Buckets sicher zu halten und mögliche Sicherheitsverletzungen zu verhindern.
1. Halten Sie Buckets privat
Beginnen wir zunächst mit dem Offensichtlichen. AWS S3-Buckets sind standardmäßig für die Öffentlichkeit gesperrt, aber Unfälle passieren. Machen Sie die Suche nach fälschlicherweise exponierten und falsch konfigurierten S3-Buckets zu einem regelmäßigen Bestandteil Ihres Überwachungsprozesses. Sie können entweder zu Ihrer AWS-Managementkonsole wechseln oder Tools von Drittanbietern verwenden, um Ihre AWS-Sicherheitskonfiguration zu überwachen. Berechtigungen können Benutzern, Gruppen oder Rollen mit ihren eigenen eindeutigen Anmeldeinformationen für den Zugriff auf bestimmte Buckets erteilt werden.
Speichern Sie keine Geheimnisse in Git-Repositories oder anderen Open-Source-Plattformen für die Zusammenarbeit. GitHub wurde Anfang dieses Jahres von einem Angriff getroffen, der 100.000 NPM an OAuth-Benutzeranmeldeinformationen offenlegte und sich Zugriff auf die Infrastruktur der Registrierung verschaffen konnte.
2. Überwachen Sie Ihre Buckets
Die Protokollierung ist eine weitere wichtige Komponente bei der Sicherung jeder Art von Cloud-Umgebung, unabhängig davon, ob es sich um S3-Bucket- oder EC2-Instance-Typen handelt. Eine gute Protokollierung kann dabei helfen, ungewöhnliches Verhalten zu erkennen und sicherzustellen, dass Unternehmensdaten sicher sind. Die Protokollierung des Serverzugriffs ist ebenfalls wichtig, da sie alle an einen Bucket gerichteten Anforderungen im Detail anzeigen kann. Die Bucket-Protokollierung und -Überwachung ist eine sehr empfehlenswerte Sicherheitspraxis zur Einhaltung von Datenschutz-Compliance-Standards wie GDPR .
3. Verschlüsseln Sie alle Daten
Amazon unterstützt die Verschlüsselung Ihrer Daten auf S3, aber diese Funktion ist standardmäßig nicht aktiviert. Sie können zwischen serverseitiger Verschlüsselung (SSE), bei der Daten in der Cloud verschlüsselt werden, oder clientseitiger Verschlüsselung (CSE), bei der Daten auf Benutzergeräten verschlüsselt werden, bevor sie in die Cloud gelangen, wählen. Stellen Sie außerdem sicher, dass TLS/SSL-Verbindungen erzwungen werden, damit die Daten während der Übertragung geschützt sind.
S3-Buckets, die SSE verwenden, können Daten auch automatisch verschlüsseln; Dies gilt jedoch nur für neue Daten, nachdem die Funktion aktiviert wurde. Alle Daten, die bereits im Bucket vorhanden sind, müssen manuell verschlüsselt werden. Die Verschlüsselung schützt auch vor unbefugtem Zugriff, der für 43 % aller weltweiten Sicherheitsverletzungen verantwortlich war.
4. Definieren Sie Richtlinien
Richtlinien in S3 können sich auf Ressourcen wie Objekte oder Aktionen beziehen, die ein Benutzer für jede Ressource ausführen könnte. Bucket-Richtlinien können Lese- und Schreibvorgänge zulassen und Aktionen von nicht identifizierten Prinzipalen verweigern. Dann gibt es IAM-Richtlinien, die identitätsbasierte, ressourcenbasierte oder Dienststeuerungsrichtlinien (SCPs) sein können. Identitätsbasierte Richtlinien nutzen das Zero-Trust – Prinzip des am wenigsten privilegierten Zugriffs, um das Netzwerk sicher zu halten. Sie sollten auch alle inaktiven Benutzer oder Rollen entfernen.
5. Sichern Sie AWS-Umgebungen basierend auf dem Zero-Trust-Prinzip
Eine sichere Möglichkeit, Ihre S3-Buckets und alle anderen AWS-Cloud-Umgebungen zu schützen, ist die Bereitstellung von Zero Trust Network Access. ZTNA hilft sicherzustellen, dass Angreifer aufgrund von Richtliniendurchsetzung und Netzwerksegmentierung nicht auf Ihre Daten zugreifen können.
Die ZTNA-Lösungen lassen sich oft problemlos in Ihre bestehenden AWS-Cloud-Umgebungen integrieren. Benutzer können nur dann auf Ressourcen zugreifen, wenn ihnen bestimmte Berechtigungssätze gewährt wurden und sie mithilfe der Multi-Faktor-Autorisierung (MFA) für zusätzliche Sicherheitsebenen ordnungsgemäß verifiziert wurden. Sichern Sie alle Ihre S3-Buckets mit ZTNA.
Wie wir bei Securitas gesehen haben, kann die kleinste Bucket-Fehlkonfiguration zu einer enormen Sicherheitslücke führen. Gehen Sie dieses Risiko nicht ein. Sichern Sie sich ZTNA noch heute.