在上一篇博客中 我们探讨了飞行前检查单的历史,以避免人为错误和错误配置造成灾难性故障。在本篇博客中,我们将深入探讨关键的公共云存储安全检查。
AWS S3 的一个主要配置错误是忽略了强制执行 HTTPS(TLS)来访问数据桶数据,因为未加密的流量很容易受到中间人攻击,从而在传输过程中窃取或修改数据。这类攻击会导致宝贵的企业数据丢失,并违反 PCI DSS 和 NIST 800-53 (rev 4) 等法规。
亚马逊制定了AWS Well-Architected Framework,以帮助企业实现与卓越运营、安全性、可靠性、性能效率和成本优化相关的最佳实践。安全支柱为实施安全 AWS 工作负载的设计、交付和维护方面的最佳实践提供指导。
共同责任
共同责任 "的概念是安全支柱的基础之一。根据亚马逊的说法,AWS 负责 "云的安全",而其客户则负责 "云中的安全"。这些客户责任包括身份和访问管理、威胁检测、基础设施保护、数据保护和事件响应。
数据保护
数据保护包括数据分类,以及保护静态数据和传输中的数据。亚马逊认为
传输中的数据是指从一个系统发送到另一个系统的任何数据。这包括工作负载内资源之间的通信,以及其他服务和终端用户之间的通信。通过为传输中的数据提供适当级别的保护,可以保护工作负载数据的机密性和完整性。
亚马逊重点介绍了保护传输中数据的四种最佳做法:
- 实施安全的密钥和证书管理
- 在传输过程中执行加密
- 验证网络通信
- 自动检测意外数据访问
传输层安全
为了在传输过程中执行加密,AWS 服务提供了使用 TLS 进行通信的 HTTPS 端点。AWS Config提供了大量预定义和可定制的管理规则,可轻松配置以执行最佳实践。这些规则中包括s3-bucket-ssl-requests-only 规则,它会检查 Amazon S3 存储桶是否有明确拒绝访问 HTTP 请求的策略。允许 HTTPS 但不阻止 HTTP 的存储桶策略会被视为不合规。
企业可以使用"aws:SecureTransport " 条件密钥来执行这一规则。当该密钥为真时,请求是通过 HTTPS 发送的,但当该密钥为假时,组织需要一个明确拒绝访问 HTTP 请求的桶政策。
亚马逊提供了一个桶策略示例,当 "aws:SecureTransport":"false "时拒绝访问:
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
避免常见的配置错误OPSWAT
说到 HTTPS (TLS) 等常见配置错误,企业应使用核对表来确保实施最佳实践。利用技术将这一流程自动化,有助于避免耗时且昂贵的手动错误。
MetaDefender Storage Security增强了其云存储安全解决方案,提供了一个集成的安全检查清单,使网络安全专业人员能够确保其组织的云存储在配置时不会出现配置错误,其中包括云存储的开发和生产阶段。
在MetaDefender Storage Security 中,强制使用 HTTPS (TLS) 访问数据桶数据是一个重要的检查项目,但这并不是唯一的检查项目。在今后的博客中,我们将探讨保护静态数据的其他主要配置错误,包括数据桶版本控制、服务器端加密和数据桶访问日志。
请联系 OPSWAT 网络安全专家,了解更多信息。
