Das AWS S3 Bucket richtig schützen!

Was ist das Amazon S3 Bucket?

Amazon S3-Bucket ist ein öffentlicher Cloud-Speicher, der in den Simple Storage Services (S3) von AWS (Amazon Web Services) verfügbar ist. Amazon S3-Buckets speichern Objekte und sind wie die Dateiordner, die aus Daten und ihren beschreibenden Metadaten bestehen. Innerhalb von AWS ist S3 einer der Kerndienste. Es ist eine hochskalierbare und objektbasierte Speicherlösung, die speziell für Unternehmen entwickelt wurde.

Lassen Sie es uns aufschlüsseln, um den Amazon S3-Bucket besser zu verstehen:

Amazon S3 (Simple Storage Service) ist für die Speicherung im Internet konzipiert und macht Web-Scale-Computing für Entwickler sehr einfach. Amazon S3 kann zum Abrufen und Speichern beliebiger Datenmengen von überall und zu jeder Zeit verwendet werden. Es bietet Entwicklern die gleiche Infrastruktur, die Amazon selbst für die Speicherung und den Betrieb seines globalen Netzwerks verwendet, d.h. flexibel, zuverlässig, schnell und kostengünstig. Anstelle von Servern und Dateien basiert S3 auf dem Konzept von Objekten und Buckets. Um die Daten in Amazon S3 hochzuladen, muss der Kunde einen S3-Bucket mit einem eindeutigen Namen in einer der AWS-Regionen seiner Wahl erstellen. Amazon schlägt vor, dass Kunden zur Reduzierung der Kosten und der Latenzzeit Regionen wählen sollten, die geografisch in ihrer Nähe liegen. Nach der Erstellung des Buckets kann eine beliebige Anzahl von Objekten in den Bucket hochgeladen werden.

Wie kann man S3-Buckets effektiv schützen?

Obwohl S3-Buckets eine großartige Quelle für Speicher mit Leichtigkeit sind, wenn sie nicht richtig konfiguriert sind, können sie der anfälligste Teil der AWS-Sicherheit sein. Diese falsch konfigurierten Buckets haben zu großen Sicherheitsverletzungen bei großen Organisationen geführt. Berühmte Namen wie Dow Jones, FedEx, WWE und Verizon wurden Opfer von Sicherheitsverletzungen im Zusammenhang mit S3-Buckets. Alle diese Sicherheitsverletzungen hätten vermieden werden können, wenn die S3-Buckets richtig konfiguriert worden wären. Einen Best-Practise-Kataloge stellt auch AWS selbst zu Verfügung.

Der Benutzer ist für seine Daten verantwortlich

Wie bereits erwähnt, kann der S3-Bucket richtig gesichert werden, wenn der Benutzer ihn richtig konfiguriert. So hat der Benutzer tatsächlich die Kontrolle über den Schutz seiner Daten. Es gibt mehrere Tipps und Möglichkeiten, die von den Benutzern angenommen werden können, um die Cloud-Infrastruktur zu sichern und dem S3-Bucket den richtigen Sicherheitsschub zu geben, den er verdient. AWS verspricht Einfachheit, weshalb die meisten Unternehmen vom traditionellen Rechenzentrum zu AWS migriert sind. Aber wenn das Prinzip der Data Governance nicht richtig angewendet wird, landen alle Daten in der Cloud (auch die sensiblen). Jede Organisation braucht einen dedizierten persönlichen Umgang mit der Datensicherheit, wenn es um die AWS-Sicherheit geht. Die meisten Unternehmen wechseln direkt zu AWS, ohne die Regeln der Data Governance zu beachten, was zu zerstörerischen Sicherheitsverletzungen führt.

Der verbreitete Irrtum

S3-Buckets sind ein großes Sicherheitsproblem der AWS-Sicherheit, da sie von unerfahrenen Benutzern leicht falsch konfiguriert werden können. Die meisten Sicherheitsverletzungen, die in der Vergangenheit im Zusammenhang mit dem S3-Bucket aufgetreten sind, waren das Ergebnis von Benutzern, die die Option "All-User" ausgewählt haben, wodurch die Daten für den öffentlichen Zugriff konfiguriert werden. Jeder unerfahrene Benutzer kann den S3-Bucket leicht falsch konfigurieren, indem er die Zugriffskontrolle ändert, wodurch er öffentlich zugänglich wird.

Best-Practice-Regeln für Amazon S3

Um die Sicherheit des S3-Buckets zu stärken und zu gewährleisten, können die folgenden praktischen Techniken eingesetzt werden:

DNS-konforme S3-Bucket-Namen

Ein DNS-kompatibler Name ist ein AWS S3 Bucket-Name, der keinen Punkt (d. h. '.') enthält. Zum Beispiel: 'Mein Bucket. ' Name ist gegen diese Regel. Benutzer müssen sicherstellen, dass ihre AWS S3-Buckets DNS-konforme Bucket-Namen verwenden, um den Zugriff auf die Buckets im Stil eines virtuellen Hosts zu erhalten und die Vorteile der neuen S3-Funktionen wie S3-Übertragungsbeschleunigung und betriebliche Verbesserungen nutzen zu können. Es wird empfohlen, '-' anstelle von '.' zu verwenden.

Authentifizierte Benutzer mit 'READ'-Zugriff

Um die S3-Daten vor unberechtigtem Zugriff zu schützen, müssen Benutzer sicherstellen, dass der Inhalt ihres AWS S3-Buckets nicht von IAM-Benutzern oder AWS-authentifizierten Konten aufgelistet werden darf. S3-Konfigurationsänderungen AWS S3 Konfigurationsänderungen (Erstellen oder Löschen von Buckets oder öffentliches Zugänglichmachen von S3-Buckets mithilfe von ACLs), die auf der Amazon S3-Service- und Ressourcenebene durchgeführt wurden, wurden von der RTMA-Engine (Real-Time Threat Monitoring and Analysis) in Ihrem AWS-Konto erkannt.

S3-Objektsperre

AWS-Benutzer müssen sicherstellen, dass die Funktion "Object Lock" (Objektsperre) für ihre AWS S3-Buckets aktiviert ist. Dadurch wird verhindert, dass das gespeicherte Objekt gelöscht wird. Während eines benutzerdefinierten Aufbewahrungszeitraums blockiert die Funktion "Object lock" das Löschen von Objektversionen, um die Aufbewahrungsrichtlinien als zusätzliche Schutzschicht durchzusetzen.

S3-Bucket-Standardverschlüsselung

Benutzer müssen sicherstellen, dass die Standardverschlüsselungsfunktion auf Bucket-Ebene aktiviert ist. Mit dieser aktivierten Funktion werden alle Objekte automatisch verschlüsselt, wenn sie auf Amazon S3 gespeichert werden. Während des Hochladevorgangs werden diese S3-Objekte mit der serverseitigen Verschlüsselung verschlüsselt.

Sicherer Transport

Der sichere Transport von Daten (auf dem Weg von oder zu Amazon S3) über das Netzwerk kann durch die erzwungene Verschlüsselung von AWS S3-Buckets mit SSL gewährleistet werden.

Server-seitige Verschlüsselung

Durch die Erzwingung der serverseitigen Verschlüsselung können Benutzer sicherstellen, dass ihre AWS S3-Buckets ihre sensiblen und wichtigen Daten auch im Ruhezustand schützen.

S3-Transferbeschleunigung

Die S3-Übertragungsbeschleunigungsfunktion ermöglicht Benutzern eine schnellere Datenübertragung und erhöht die Geschwindigkeit um bis zu 500 %. Benutzer sollten sicherstellen, dass ihre Buckets diese Funktion für eine höhere Geschwindigkeit verwenden.

S3 kontoübergreifender Zugriff

Um den unbefugten kontoübergreifenden Zugriff zu schützen, sollte der Benutzer sicherstellen, dass AWS S3-Buckets so konfiguriert sind, dass sie nur den Zugriff auf die vertrauenswürdigen AWS-Konten erlauben. Dadurch wird der Datenschutzfaktor im Zaum gehalten.

S3-Bucket mit Website-Konfiguration Aktiviert

Die AWS S3-Buckets, für die die Website-Konfiguration aktiviert ist, sollten aus Sicherheitsgründen regelmäßig überprüft werden.

'FULL CONTROL'-Zugriff auf S3-Bucket für authentifizierte Benutzer

Benutzer müssen sicherstellen, dass ihre AWS S3-Buckets keinen FULL_CONTROL-Zugriff für authentifizierte Benutzer wie AWS IAM-Konten oder signierte AWS-Konten erlauben. Den authentifizierten Benutzern vollen Steuerungszugriff zu gewähren bedeutet, dass sie Objekte LESEN, LÖSCHEN oder UPLOADEN und sogar EDIT-Berechtigungen für die Objekte vergeben können.

'READ_ACP'-Zugriff auf S3-Bucket für authentifizierte Benutzer

AWS-authentifizierten Benutzern oder IAM-Benutzern sollten keine Berechtigungen für den Inhalt des S3-Buckets gewährt werden. Diesen Faktor im Auge zu behalten, schützt vor unberechtigtem Zugriff und wenn er nicht überprüft wird, können die autorisierten Benutzer Ihre Berechtigungsschwachstellen finden und die Zugriffskontrolllistenkonfiguration überprüfen.

'WRITE'-Zugriff auf S3-Bucket für authentifizierten Benutzer

Der "WRITE"-Zugriff sollte auch für alle signierten authentifizierten Benutzer oder IAM-Benutzer kontrolliert werden, um Ihre Buckets vor unbefugtem Zugriff zu schützen. Jeder S3-Bucket, bei dem dieser Faktor nicht kontrolliert wird, ist gegenüber den authentifizierten Benutzern anfällig, da diese jedes Objekt des Buckets leicht löschen, hinzufügen oder sogar ersetzen können.

'WRITE_ACP'-Zugriff auf S3-Bucket für authentifizierten Benutzer

Außerdem muss sichergestellt werden, dass kein authentischer Benutzer in der Lage sein sollte, irgendwelche Zugriffssteuerungsberechtigungen zu ändern, da sonst authentische Benutzer vollen Zugriff auf die Ressourcen haben und sogar Berechtigungen bearbeiten können. Die Nichtüberprüfung dieses Faktors kann gefährlich sein und zum Verlust sensibler Daten führen oder Sie können hohe S3-Gebühren auf Ihrer Rechnung finden, weil die wirtschaftlichen Denial-of-the-Service-Angriffe.

S3-Bucket-Protokollierung aktiviert

AWS-Benutzer sollten die Protokollierungsfunktion für ihr S3-Bucket aktivieren. Standardmäßig ist diese Funktion nicht aktiviert. Die Aktivierung führt zu einer Aufzeichnung der Zugriffsanfragen, die für die Sicherheitsprüfungen sehr nützlich sind.

MFA-Löschung für S3 aktiviert

Die Löschfunktion MFA (Multi-Faktor-Authentifizierung) sollte im AWS S3-Bucket aktiviert sein. Diese Funktion verhindert, dass jedes versionierte Objekt (Dateien) gelöscht wird.

Benutzer sollten sicherstellen, dass ihre AWS S3-Buckets nicht über die Bucket-Richtlinien zugänglich sind. Wenn sie den uneingeschränkten Zugriff über Bucket-Richtlinien zulassen, können Objektberechtigungen aufgelistet, gelöscht, angezeigt und bearbeitet werden, was sie anfällig für Sicherheitsverletzungen macht.

S3 Bucket Versionierung Aktiviert

Für AWS S3-Buckets sollte ein Versionierungsflag aktiviert werden, um die gelöschten und überschriebenen S3-Objekte wiederherzustellen. Diese Funktion fügt eine weitere Ebene der Datenaufbewahrung oder des Datenschutzes hinzu.

S3 Bucket Lifecycle-Konfiguration

Zur Kostenoptimierung und aus Sicherheitsgründen müssen Benutzer sicherstellen, dass ihre AWS S3-Buckets ihre Lifestyle-Konfiguration aktiviert haben. Diese Konfiguration hilft bei der Verwaltung der S3-Objekte während ihrer Lebensdauer.

Fazit

AWS gewährleistet hochwertige Sicherheit, wenn es richtig konfiguriert und verstanden wird. Benutzer sollten alle oben genannten Regeln bei der Konfiguration ihrer AWS S3-Buckets anwenden, da der Datenschutz sehr wichtig ist. Die Vernachlässigung irgendeines Faktors oder das Hinterlassen eines Schlupflochs kann zu sehr gefährlichen Datenverstößen führen. Leider verfügen die meisten Unternehmen nicht über die erforderlichen Fähigkeiten und Ressourcen, um hochwertige AWS-Umgebungen einzurichten und zu warten, und jede unerfahrene Person, die mit AWS von Unternehmen umgeht, kann sehr schädlich sein. Wir hoffen, dass Benutzer nach Befolgung der oben genannten Strategien und Techniken die Fehlkonfiguration des S3-Buckets leicht verhindern und die IT-Workloads schützen können.

Fast jeder von uns kennt jemanden, dem im Internet bereits persönliche Daten und Informationen gestohlen wurden. Auch in der digitalen Welt lässt sich dabei von Diebstahl sprechen, welcher nicht selten mit weitreichenden Konsequenzen für die beklaute Person oder das Unternehmen in Verbindung steht. Datenschutzpannen und das Ändern von Passwörtern sind nur zwei der Maßnahmen der IT-Sicherheit, auf welche sich diese Zielgruppe einstellen muss.

Aufgrund solcher realen Problemstellungen ist es wichtig, bereits proaktiv gegen digitalen Datendiebstahl vorzugehen. Wie Sie sich privat sowie im Unternehmen schützen können und welche Mittel es hierzu gibt, erklären wir Ihnen in unserem Beitrag. Außerdem befassen wir uns mit den gängigsten Methoden, um Lücken in der IT-Sicherheit aufzuzeigen. Mit diesem Basiswissen über Phishing sind Sie künftig in der Lage, aktiv gegen digitalen Datenklau vorzugehen.