Trong blog cuối cùng của chúng tôi Chúng tôi đã khám phá lịch sử của danh sách kiểm tra trước chuyến bay để tránh những thất bại thảm khốc do lỗi của con người và cấu hình sai. Trong blog này, chúng tôi sẽ đi sâu vào kiểm tra bảo mật lưu trữ đám mây công cộng quan trọng.
Một lỗi cấu hình AWS S3 nghiêm trọng là bỏ qua việc thực thi HTTPS (TLS) để truy cập dữ liệu vùng lưu trữ vì lưu lượng truy cập không được mã hóa dễ bị tấn công trung gian có thể đánh cắp hoặc sửa đổi dữ liệu đang truyền. Những loại tấn công này có thể dẫn đến mất dữ liệu doanh nghiệp có giá trị và vi phạm tuân thủ các quy định như PCI DSS và NIST 800-53 (rev 4).
Amazon đã sản xuất AWS Well-Architected Framework để giúp các tổ chức đạt được các biện pháp thực hành tốt nhất liên quan đến hoạt động xuất sắc, bảo mật, độ tin cậy, hiệu quả hiệu năng và tối ưu hóa chi phí. Trụ cột bảo mật cung cấp hướng dẫn để triển khai các biện pháp thực hành tốt nhất trong việc thiết kế, phân phối và bảo trì khối lượng công việc AWS bảo mật .
Chia sẻ trách nhiệm
Khái niệm "Chia sẻ trách nhiệm" là một trong những nền tảng của Trụ cột An ninh. Theo Amazon, AWS chịu trách nhiệm về "bảo mật của đám mây" trong khi khách hàng chịu trách nhiệm về "bảo mật trên đám mây". Các trách nhiệm của khách hàng này bao gồm quản lý danh tính và truy cập, phát hiện mối đe dọa, bảo vệ cơ sở hạ tầng, bảo vệ dữ liệu và ứng phó sự cố.
Bảo vệ dữ liệu
Bảo vệ dữ liệu bao gồm phân loại dữ liệu, cũng như bảo vệ dữ liệu ở trạng thái nghỉ và dữ liệu đang truyền. Theo Amazon:
Dữ liệu đang truyền là bất kỳ dữ liệu nào được gửi từ hệ thống này sang hệ thống khác. Điều này bao gồm giao tiếp giữa các tài nguyên trong khối lượng công việc của bạn cũng như giao tiếp giữa các dịch vụ khác và người dùng cuối của bạn. Bằng cách cung cấp mức độ bảo vệ thích hợp cho dữ liệu của bạn khi truyền, bạn bảo vệ tính bảo mật và tính toàn vẹn của dữ liệu khối lượng công việc của mình.
Amazon nêu bật bốn phương pháp hay nhất để bảo vệ dữ liệu đang truyền:
- Thực hiện quản lý khóa và chứng chỉ bảo mật
- Thực thi mã hóa khi truyền
- Xác thực truyền thông mạng
- Tự động phát hiện truy cập dữ liệu ngoài ý muốn
Bảo mật lớp vận chuyển
Để thực thi mã hóa khi truyền, các dịch vụ AWS cung cấp điểm cuối HTTPS sử dụng TLS để liên lạc. AWS Config cung cấp nhiều quy tắc được quản lý được xác định trước và có thể tùy chỉnh, có thể dễ dàng cấu hình để thực thi các biện pháp thực hành tốt nhất. Trong số các quy tắc này có s3-bucket-ssl-requests-only, quy tắc này sẽ kiểm tra xem các vùng lưu trữ Amazon S3 có chính sách từ chối truy cập rõ ràng vào các yêu cầu HTTP hay không. Chính sách vùng lưu trữ cho phép HTTPS mà không chặn HTTP được coi là không tuân thủ.
Các tổ chức có thể thực thi quy tắc này bằng khóa điều kiện "aws:SecureTransport". Khi khóa này đúng, yêu cầu được gửi qua HTTPS, nhưng khi sai, các tổ chức cần một chính sách vùng lưu trữ từ chối rõ ràng quyền truy cập vào các yêu cầu HTTP.
Amazon cung cấp ví dụ này về chính sách bộ chứa từ chối truy cập khi "aws:SecureTransport": "false":
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
Tránh các lỗi cấu hình phổ biến với OPSWAT
Khi nói đến các lỗi cấu hình phổ biến, chẳng hạn như HTTPS (TLS), các tổ chức nên sử dụng danh sách kiểm tra để đảm bảo họ đang triển khai các phương pháp hay nhất. Tự động hóa quá trình này bằng công nghệ có thể giúp tránh các lỗi thủ công tốn thời gian và tốn kém.
MetaDefender Storage Security Tăng cường giải pháp bảo mật lưu trữ đám mây của mình với danh sách kiểm tra bảo mật tích hợp, để các chuyên gia an ninh mạng có thể đảm bảo lưu trữ đám mây của tổ chức của họ không bị định cấu hình sai khi được cung cấp, bao gồm các giai đoạn phát triển và sản xuất lưu trữ đám mây.
Thực thi HTTPS (TLS) để truy cập dữ liệu vùng lưu trữ là một mục danh sách kiểm tra quan trọng trong MetaDefender Storage Security, nhưng nó không phải là duy nhất. Trong các blog trong tương lai, chúng tôi sẽ khám phá các lỗi cấu hình chính khác để bảo vệ dữ liệu lưu trữ, bao gồm lập phiên bản vùng lưu trữ, mã hóa phía máy chủ và ghi nhật ký truy cập vùng lưu trữ.
Liên hệ với một OPSWAT Chuyên gia an ninh mạng để tìm hiểu thêm.
