Amazon biedt nieuwe optie om datalekken via S3-buckets te voorkomen
Het afgelopen jaar zijn miljoenen gegevens via onbeveiligde Amazon S3-buckets gelekt, maar een nieuwe optie moet hier een einde aan maken. Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. Het komt echter geregeld voor dat beheerders een configuratiefout maken en de S3-bucket voor iedereen toegankelijk maken.
Alleen het kennen van de url is in deze gevallen voldoende om toegang tot databases en andere gevoelige data te krijgen. Vorig jaar november introduceerde Amazon al verschillende maatregelen om datalekken via S3-buckets te voorkomen. Het ging om het versleutelen van data in S3-buckets en het in de S3-console laten zien wanneer de S3-bucket voor iedereen toegankelijk is. Gezien het aantal datalekken via publieke S3-buckets blijken deze maatregelen niet voldoende en komt Amazon nu met nieuwe opties.
"We willen dat je openbare buckets gebruikt wanneer nodig, terwijl je ook de tools krijgt om ervoor te zorgen dat je ze niet door een eenvoudige fout of misverstand openbaar maakt", zegt Jeff Barr van Amazon. Om S3-buckets eenvoudiger te beschermen heeft Amazon nu de optie "S3 Block Public Access" geïntroduceerd. Een nieuwe beveiligingsoptie die vanaf accountniveau en bij individuele buckets kan worden ingesteld. Via de optie kan bestaande publieke toegang worden geblokkeerd en wordt voorkomen dat nieuwe S3-buckets publiek toegankelijk zijn. Dit moet het per ongeluk openbaar maken van S3-buckets voorkomen, aldus Barr.
Duurder was het ook niet, zeker niet als je een beetje resources gaat gebruiken. Zelf opletten. Dat houdt je bij de les en je blijft er fit en jong bij. Dat gecloud is leuk als je met 18e al denkt dat je al te oud bent om te leren.
Kan wel: https://aws.amazon.com/premiumsupport/knowledge-center/cloudfront-https-requests-s3/.
Geen probleem via cloudfront. Je kan hem zelfs aan een URL hangen en het als website laten fungeren. Google is je vriend.
Wel twee tips: Zorg ervoor dat als je via Certificate Manager een SSL aanvraagt je de regio North Virginia aan hebt staan. En pas Route 53 (DNS) pas aan ruim nadat cloudfront klaar is met deployen.
Het staat standaard gewoon dicht. Alleen is de S3 zo generiek in te stellen met zoveel doeleinden dat het soms lastig is om te bepalen wie nu welke rechten heeft. Je kunt er extreem veel mee, maar dat vergt dus skills en aandacht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
