Ki felel a nyilvános felhő biztonságáért?
Ez talán furcsa kérdésnek hangzik, de ha olyan felhőszolgáltatót használunk, mint például az Amazon Web Services (AWS), Microsoft Azure vagy Google Cloud Platform, fontos megérteni, hogy a biztonság megosztott felelősség.
A nyilvános felhőszolgáltatók igen jelentős rugalmasságot kínálnak ügyfeleiknek azzal kapcsolatban, hogy hogyan építik fel a felhő-környezetüket. Azonban a rugalmasság következménye, hogy a szolgáltatók nem kínálnak teljes védelmet a virtuális hálózatokhoz, virtuális gépekhez vagy a felhőben tárolt adatokhoz.
A Sophos felhívja a figyelmet, hogy a megosztott felelősség modellje azt jelenti, hogy a szolgáltató magának a felhőnek a biztonságáért felel, miközben a szervezet (a felhőszolgáltató vásárlója) felelős mindenért, ami a felhőben található/fut. Az adminok viszont nem mindig tudják, hogy a felhőszolgáltató miről gondoskodik, és hogy milyen biztonsági intézkedéseket kell nekik alkalmazni. Ez nyilvánosságra kerülő adatokhoz, fájlokhoz, adatbázisokhoz és merevlemez-tartalmakhoz vezet.
Az S3 bucketeket érintő biztonsági incidensekből például sok volt! (Az Amazon szerverein a fájlok úgynevezett bucketekbe, "vödrökbe" vannak rendezve.)
A Sophos bemutatja a biztonsággal kapcsolatos kockázati tényezőket, és azt, hogy hogyan lehet védekezni ellenük. Kezdjük a leggyakoribbal!
Publikus Amazon S3 bucket adatszivárgás (egy új csavarral)
Egy rövid kutatás elég, hogy az S3-hoz kapcsolódó, rossz konfigurálációból fakadó adatszivárgások sztorijaira bukkanjunk, amelyeknél az S3 biztonsági paramétereit "nyilvános" beállításon hagyták. Az AWS még egy frissítést is kiadott ahhoz, hogy a segítségével az ügyfeleit megakadályozza a hiba elkövetésében, amely a felhőben tárolt adatok nyilvánosságra kerülésének leggyakoribb oka.
Az esetek ezreiről olvasva arra gondolhatunk, hogy a támadók csak a szervezetek érzékeny adatait akarják megszerezni ezeknél a támadásoknál. Ez azonban sajnos nem igaz.
Az Amazon S3-jellegű felhő alapú tárhelyek egyik fő felhasználási módja a pénzügyi és PII (személyi azonosító) adatok tárolása mellett az, hogy statikus weboldal tartalmakat hosztoljanak rajtuk, mint például HTML, JavaScript és CSS fájlokat. Az ezeket az erőforrásokat célzó támadások nem nyilvánosan hozzáférhetővé vált adatokat akarnak megszerezni. Ehelyett ártó szándékkal módosítják ezeket a weboldal-fájlokat és ellopják velük a felhasználók pénzügyi adatait.
Hogyan lehet azonosítani és megakadályozni a S3 bucket visszaéléseket (mindkét típusút)
Az S3 tárolók konfigurációját érintő véletlenszerű vagy ártó szándékú változtatások, melyek veszélyhelyzetbe sodorják a szervezetet, túl gyakoriak.
A felhőmenedzsment eszközök, mint például a Sophos Cloud Optix, ezt a problémát igyekeznek orvosolni.
A Cloud Optix leegyszerűsíti minden nyilvánosan hozzáférhető adat vagy weboldalfájl gyors azonosítását, és privát hozzáférésre történő átállítását. A Guardrails segítségével egy további biztonsági szintet ad ezekhez a kritikus szolgáltatásokhoz, amellyel biztosítja, hogy engedély nélkül ne lehessen változtatni a konfigurációkon.
