在上一篇文章中 中,我們探討了飛行前檢查清單的歷史,以避免因人為錯誤和配置錯誤而造成的災難性故障。在這篇文章中,我們將深入探討重要的公共雲端儲存安全檢查。
AWS S3 配置的一個主要錯誤是忽略強制執行 HTTPS (TLS) 來存取儲存桶資料,因為未加密的流量容易受到中間人攻擊,在傳輸過程中竊取或竄改資料。這類攻擊會導致寶貴的企業資料遺失,並違反 PCI DSS 和 NIST 800-53 (rev 4) 等法規。
Amazon 製作了AWS Well-Architected Framework,以協助組織實現與卓越營運、安全性、可靠性、效能效率及成本最佳化相關的最佳實作。安全支柱 (Security Pillar)提供指導,以實現設計、交付和維護安全 AWS 工作負載的最佳實作。
共同的責任
共同負責」的概念是安全支柱的基礎之一。根據 Amazon 的說法,AWS 負責「雲端安全」,而其客戶則負責「雲端安全」。這些客戶責任包括身分和存取管理、威脅偵測、基礎架構保護、資料保護和事件回應。
資料保護
資料保護包括資料分類,以及保護休眠中的資料和傳輸中的資料。根據 Amazon 的資料:
傳輸中的資料是指從一個系統傳送至另一個系統的任何資料。這包括工作負載中資源之間的通訊,以及其他服務與您的終端使用者之間的通訊。透過為傳輸中的資料提供適當等級的保護,您可以保護工作負載資料的機密性和完整性。
Amazon 強調保護傳輸中資料的四種最佳做法:
- 實施安全的金鑰和憑證管理
- 強制執行傳輸中的加密
- 驗證網路通訊
- 自動偵測非預期的資料存取
傳輸層安全性
為了強制執行傳輸中的加密,AWS 服務提供使用 TLS 進行通訊的 HTTPS 端點。AWS Config提供許多預定義和可自訂的管理規則,可輕鬆配置以強制執行最佳實務。這些規則包括s3-bucket-ssl-requests-only 規則,它會檢查 Amazon S3 儲存桶是否具有明確拒絕存取 HTTP 請求的政策。允許 HTTPS 但未封鎖 HTTP 的儲存桶政策會被視為不合规。
組織可以使用「aws:保護Transport」 條件關鍵強制執行此規則。當此關鍵為真時,請求是透過 HTTPS 傳送,但當此關鍵為假時,組織需要一個明確拒絕存取 HTTP 請求的時段政策。
Amazon 提供了這個時段政策範例,當 "aws:保護Transport":"false":
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
使用OPSWAT避免常見的組態錯誤
談到 HTTPS (TLS) 等常見的組態錯誤,組織應該使用檢查清單,以確保實施最佳作法。利用技術自動化此流程有助於避免耗時且昂貴的手動錯誤。
MetaDefender Storage Security以整合式安全檢查清單增強其雲端儲存安全解決方案,讓網路安全專業人員可確保其組織的雲端儲存在佈建時(包括雲端儲存的開發和生產階段)不會配置錯誤。
強制執行 HTTPS (TLS) 來存取Storage Security桶資料是MetaDefender Storage Security重要檢查清單項目,但這並非唯一的項目。在未來的文章中,我們將探討其他主要的配置錯誤,以保護靜態資料,包括儲存桶版本、伺服器端加密和儲存桶存取記錄。
聯絡 OPSWAT 網路安全專家瞭解更多資訊。
