Nel nostro ultimo blog abbiamo esplorato la storia delle liste di controllo pre-volo per evitare guasti catastrofici dovuti a errori umani e a configurazioni errate. In questo blog approfondiremo un controllo critico della sicurezza dello storage su cloud pubblico.
Uno dei principali errori di configurazione di AWS S3 è quello di non applicare il protocollo HTTPS (TLS) per l'accesso ai dati del bucket, poiché il traffico non crittografato è vulnerabile agli attacchi man-in-the-middle che possono rubare o modificare i dati in transito. Questo tipo di attacchi può portare alla perdita di dati aziendali preziosi e alla violazione della conformità a normative come PCI DSS e NIST 800-53 (rev. 4).
Amazon ha prodotto il suo AWS Well-Architected Framework per aiutare le organizzazioni a raggiungere le best practice relative a eccellenza operativa, sicurezza, affidabilità, efficienza delle prestazioni e ottimizzazione dei costi. Il pilastro Sicurezza fornisce indicazioni per implementare le best practice nella progettazione, fornitura e manutenzione di carichi di lavoro AWS sicuri.
Responsabilità condivisa
Il concetto di "responsabilità condivisa" è uno dei fondamenti del pilastro della sicurezza. Secondo Amazon, AWS è responsabile della "sicurezza del cloud", mentre i suoi clienti sono responsabili della "sicurezza nel cloud". Le responsabilità dei clienti comprendono la gestione delle identità e degli accessi, il rilevamento delle minacce, la protezione dell'infrastruttura, la protezione dei dati e la risposta agli incidenti.
Protezione dei dati
La protezione dei dati comprende la classificazione dei dati, la protezione dei dati a riposo e dei dati in transito. Secondo Amazon:
I dati in transito sono quelli inviati da un sistema a un altro. Ciò include la comunicazione tra le risorse all'interno del carico di lavoro e la comunicazione tra altri servizi e gli utenti finali. Fornendo un livello di protezione adeguato per i dati in transito, si proteggono la riservatezza e l'integrità dei dati del carico di lavoro.
Amazon evidenzia quattro best practice per la protezione dei dati in transito:
- Implementare una gestione sicura di chiavi e certificati
- Applicare la crittografia in transito
- Autenticare le comunicazioni di rete
- Rilevamento automatico degli accessi non intenzionali ai dati
Sicurezza del livello di trasporto
Per applicare la crittografia in transito, i servizi AWS forniscono endpoint HTTPS che utilizzano TLS per la comunicazione. AWS Config offre numerose regole gestite predefinite e personalizzabili, che possono essere facilmente configurate per applicare le best practice. Tra queste regole c'è s3-bucket-ssl-requests-only, che controlla se i bucket Amazon S3 hanno politiche che negano esplicitamente l'accesso alle richieste HTTP. I criteri dei bucket che consentono HTTPS senza bloccare HTTP sono considerati non conformi.
Le organizzazioni possono applicare questa regola con la chiave di condizione "aws:SecureTransport" . Quando questa chiave è vera, la richiesta è stata inviata tramite HTTPS, ma quando è falsa le organizzazioni hanno bisogno di una politica di bucket che neghi esplicitamente l'accesso alle richieste HTTP.
Amazon fornisce questo esempio di politica del bucket che nega l'accesso quando "aws:SecureTransport": "false":
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
Evitare gli errori di configurazione più comuni con OPSWAT
Quando si tratta di errori di configurazione comuni, come HTTPS (TLS), le organizzazioni dovrebbero utilizzare liste di controllo per garantire l'implementazione delle best practice. L'automazione di questo processo con la tecnologia può aiutare a evitare errori manuali costosi e dispendiosi in termini di tempo.
MetaDefender Storage Security migliora la sua soluzione di sicurezza per il cloud storage con una checklist di sicurezza integrata, in modo che i professionisti della cybersecurity possano assicurarsi che il cloud storage della loro organizzazione non sia configurato in modo errato durante il provisioning, che include le fasi di sviluppo e produzione del cloud storage.
L'imposizione di HTTPS (TLS) per l'accesso ai dati dei bucket è un elemento critico della checklist di MetaDefender Storage Security , ma non è l'unico. Nei prossimi blog esploreremo altri importanti errori di configurazione per la protezione dei dati a riposo, tra cui il versioning del bucket, la crittografia lato server e la registrazione degli accessi al bucket.
Contattate un esperto di cybersecurity di OPSWAT per saperne di più.
