No nosso último blogue explorámos a história das listas de verificação pré-voo para evitar falhas catastróficas causadas por erros humanos e má configuração. Neste blogue, vamos aprofundar uma verificação crítica da segurança do armazenamento em nuvem pública.
Um dos principais erros de configuração do AWS S3 é negligenciar a aplicação de HTTPS (TLS) para aceder a dados de balde, uma vez que o tráfego não encriptado é vulnerável a ataques man-in-the-middle que podem roubar ou modificar dados em trânsito. Este tipo de ataques pode levar à perda de dados empresariais valiosos e a violações de conformidade com regulamentos como o PCI DSS e o NIST 800-53 (rev. 4).
A Amazon produziu o seu AWS Well-Architected Framework para ajudar as organizações a alcançar as melhores práticas relacionadas com a excelência operacional, segurança, fiabilidade, eficiência de desempenho e otimização de custos. O pilar de segurança fornece orientações para implementar as melhores práticas na conceção, entrega e manutenção de cargas de trabalho seguras do AWS.
Responsabilidade partilhada
O conceito de "Responsabilidade Partilhada" é uma das bases do Pilar de Segurança. De acordo com a Amazon, a AWS é responsável pela "segurança da nuvem", enquanto os seus clientes são responsáveis pela "segurança na nuvem". Estas responsabilidades dos clientes incluem a gestão da identidade e do acesso, a deteção de ameaças, a proteção da infraestrutura, a proteção dos dados e a resposta a incidentes.
Proteção de dados
A proteção de dados engloba a classificação dos dados, bem como a proteção dos dados em repouso e dos dados em trânsito. De acordo com a Amazon:
Os dados em trânsito são quaisquer dados que são enviados de um sistema para outro. Isto inclui a comunicação entre recursos dentro da sua carga de trabalho, bem como a comunicação entre outros serviços e os seus utilizadores finais. Ao fornecer o nível adequado de proteção para os seus dados em trânsito, está a proteger a confidencialidade e a integridade dos dados da sua carga de trabalho.
A Amazon destaca quatro práticas recomendadas para proteger os dados em trânsito:
- Implementar a gestão segura de chaves e certificados
- Aplicar a encriptação em trânsito
- Autenticar comunicações de rede
- Automatizar a deteção de acesso não intencional aos dados
Segurança da camada de transporte
Para impor a encriptação em trânsito, os serviços AWS fornecem pontos finais HTTPS utilizando TLS para comunicação. O AWS Config oferece várias regras gerenciadas predefinidas e personalizáveis, que podem ser facilmente configuradas para impor as práticas recomendadas. Entre essas regras está s3-bucket-ssl-requests-only, que verifica se os buckets do Amazon S3 têm políticas que negam explicitamente o acesso a solicitações HTTP. As políticas de bucket que permitem HTTPS sem bloquear HTTP são consideradas não compatíveis.
As organizações podem impor essa regra com a chave de condição "aws:SecureTransport" . Quando esta chave é verdadeira, o pedido foi enviado através de HTTPS, mas quando é falsa, as organizações precisam de uma política de bucket que negue explicitamente o acesso a pedidos HTTP.
A Amazon fornece este exemplo de uma política de bucket que nega o acesso quando "aws:SecureTransport": "false":
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
Evite erros comuns de configuração com OPSWAT
Quando se trata de erros de configuração comuns, como o HTTPS (TLS), as organizações devem utilizar listas de verificação para garantir que estão a implementar as melhores práticas. Automatizar este processo com tecnologia pode ajudar a evitar erros manuais morosos e dispendiosos.
MetaDefender Storage Security melhora a sua solução de segurança de armazenamento na nuvem com uma lista de verificação de segurança integrada, para que os profissionais de cibersegurança possam garantir que o armazenamento na nuvem da sua organização não está mal configurado à medida que é aprovisionado, o que inclui as fases de desenvolvimento e produção do armazenamento na nuvem.
A imposição de HTTPS (TLS) para acessar os dados do bucket é um item crítico da lista de verificação em MetaDefender Storage Security , mas não é o único. Em blogs futuros, exploraremos outros erros de configuração importantes para proteger os dados em repouso, incluindo o controle de versão do bucket, a criptografia do lado do servidor e o registro de acesso ao bucket.
Contacte um especialista em cibersegurança da OPSWAT para saber mais.
