image

Amazon biedt nieuwe optie om datalekken via S3-buckets te voorkomen

zaterdag 17 november 2018, 09:01 door Redactie, 7 reacties

Het afgelopen jaar zijn miljoenen gegevens via onbeveiligde Amazon S3-buckets gelekt, maar een nieuwe optie moet hier een einde aan maken. Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. Het komt echter geregeld voor dat beheerders een configuratiefout maken en de S3-bucket voor iedereen toegankelijk maken.

Alleen het kennen van de url is in deze gevallen voldoende om toegang tot databases en andere gevoelige data te krijgen. Vorig jaar november introduceerde Amazon al verschillende maatregelen om datalekken via S3-buckets te voorkomen. Het ging om het versleutelen van data in S3-buckets en het in de S3-console laten zien wanneer de S3-bucket voor iedereen toegankelijk is. Gezien het aantal datalekken via publieke S3-buckets blijken deze maatregelen niet voldoende en komt Amazon nu met nieuwe opties.

"We willen dat je openbare buckets gebruikt wanneer nodig, terwijl je ook de tools krijgt om ervoor te zorgen dat je ze niet door een eenvoudige fout of misverstand openbaar maakt", zegt Jeff Barr van Amazon. Om S3-buckets eenvoudiger te beschermen heeft Amazon nu de optie "S3 Block Public Access" geïntroduceerd. Een nieuwe beveiligingsoptie die vanaf accountniveau en bij individuele buckets kan worden ingesteld. Via de optie kan bestaande publieke toegang worden geblokkeerd en wordt voorkomen dat nieuwe S3-buckets publiek toegankelijk zijn. Dit moet het per ongeluk openbaar maken van S3-buckets voorkomen, aldus Barr.

Image

Reacties (7)
17-11-2018, 16:12 door Anoniem
Dat had ik zelf vorig jaar al bedacht en ben lekker teruggegaan naar een dedicated server. Als er dan wat lekt weet ik in elk geval zeker dat ik zelf stom ben geweest. Vooral stom zijn is een optie die je nog altijd beter aan jezelf overlaat dan aan een ander. Met Auto Intelligente Cloud systemen en andere Darth Vader Death Planets. Als je zeker weet dat je zelf stom was, dan leer je er namelijk ook gelijk wat van. Dat kan pijnlijk zijn maar altijd nog aangenamer dan geen flauw benul hebben hoe al je passwords ineens ook open te koop staan in diezelfde Geweldige Cloud.

Duurder was het ook niet, zeker niet als je een beetje resources gaat gebruiken. Zelf opletten. Dat houdt je bij de les en je blijft er fit en jong bij. Dat gecloud is leuk als je met 18e al denkt dat je al te oud bent om te leren.
17-11-2018, 23:11 door Anoniem
Ik vind het stom dat je op een s3 bucket geen ssl kan zetten...
18-11-2018, 14:40 door -karma4
Door Anoniem: Ik vind het stom dat je op een s3 bucket geen ssl kan zetten...

Kan wel: https://aws.amazon.com/premiumsupport/knowledge-center/cloudfront-https-requests-s3/.
19-11-2018, 10:36 door Anoniem
Waarom zetten ze het default niet gewoon dicht en moet je het expliciet open zetten, dat is nog een stapje verder.
19-11-2018, 11:46 door Henri Koppen
Door Anoniem: Ik vind het stom dat je op een s3 bucket geen ssl kan zetten...

Geen probleem via cloudfront. Je kan hem zelfs aan een URL hangen en het als website laten fungeren. Google is je vriend.

Wel twee tips: Zorg ervoor dat als je via Certificate Manager een SSL aanvraagt je de regio North Virginia aan hebt staan. En pas Route 53 (DNS) pas aan ruim nadat cloudfront klaar is met deployen.
19-11-2018, 11:48 door Henri Koppen
Door Anoniem: Waarom zetten ze het default niet gewoon dicht en moet je het expliciet open zetten, dat is nog een stapje verder.

Het staat standaard gewoon dicht. Alleen is de S3 zo generiek in te stellen met zoveel doeleinden dat het soms lastig is om te bepalen wie nu welke rechten heeft. Je kunt er extreem veel mee, maar dat vergt dus skills en aandacht.
19-11-2018, 15:04 door Anoniem
Nog even geduld en dan versleutelen we zelf onze data voordat hij naar welke cloud dan ook gaat. #Q1'19
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.