Um grande erro de configuração do Amazon Web Services (AWS) S3 é negligenciar a aplicação de HTTPS (TLS) para acessar os dados do bucket, uma vez que o tráfego não criptografado é vulnerável a ataques man-in-the-middle que podem roubar ou modificar os dados em trânsito. Esse tipo de ataque pode levar à perda de dados corporativos valiosos e violações de conformidade com regulamentações como a LGPD.
A Amazon produziu seu AWS Well-Architected Framework para ajudar as organizações a alcançar as melhores práticas relacionadas à excelência operacional, segurança, confiabilidade, eficiência de desempenho e otimização de custos. O Security Pillar oferece orientação para implementar as práticas recomendadas no projeto, além da entrega e manutenção de cargas de trabalho seguras do Amazon Web Services (AWS).
Responsabilidade compartilhada
O conceito de “Responsabilidade Compartilhada” é um dos alicerces do Security Pillar. De acordo com a Amazon, a AWS é responsável pela “segurança da nuvem”, enquanto seus clientes são responsáveis pela “segurança na nuvem”. Essas responsabilidades do cliente incluem gerenciamento de identidade e acesso, detecção de ameaças, proteção de infraestrutura, proteção de dados e resposta a incidentes.
Proteção de dados
A proteção de dados abrange a classificação além da proteção de dados em repouso e em trânsito. De acordo com a Amazon:
Dados em trânsito são quaisquer dados enviados de um sistema para outro. Isso inclui a comunicação entre os recursos em sua carga de trabalho, bem como a comunicação entre outros serviços e seus usuários finais. Ao fornecer o nível apropriado de proteção para seus dados em trânsito, você protege a confidencialidade e integridade dos dados de sua carga de trabalho.
A Amazon destaca quatro práticas recomendadas para proteger os dados em trânsito:
Implementar chave segura e gerenciamento de certificado
Aplicar criptografia em trânsito
Autenticar comunicações de rede
Automatizar a detecção de acesso não intencional aos dados
Segurança da Camada de Transporte
Para reforçar a criptografia em trânsito, os serviços da AWS fornecem terminais HTTPS usando TLS para comunicação. O AWS Config oferece várias regras gerenciadas predefinidas e personalizáveis, que podem ser facilmente configuradas para aplicar as melhores práticas. Entre essas regras está s3-bucket-ssl-requests-only, que verifica se os buckets do Amazon S3 têm políticas que negam explicitamente o acesso a solicitações HTTP. Políticas de intervalo que permitem HTTPS sem bloquear HTTP são consideradas incompatíveis.
As organizações podem aplicar essa regra com a chave de condição "aws: SecureTransport". Quando essa chave é verdadeira, a solicitação foi enviada via HTTPS, mas quando é falsa, as organizações precisam de uma política de intervalo que negue explicitamente o acesso às solicitações HTTP.
A Amazon fornece este exemplo de uma política de bucket que nega acesso quando “aws: SecureTransport”: “false”:
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
Exemplo de política de bucket
Evite erros de configuração utilizando OPSWAT
Quando se trata de erros comuns de configuração, como HTTPS (TLS), as organizações devem usar listas de verificação (checklists) para garantir que estão implementando as melhores práticas. Automatizar esse processo com tecnologia pode ajudar a evitar erros manuais demorados e caros.
O MetaDefender for Secure Storage aprimora sua solução de segurança de armazenamento em nuvem com uma lista de verificação de segurança integrada, para que os profissionais de segurança cibernética possam garantir que o armazenamento em nuvem de sua organização não seja configurado incorretamente, pois é provisionado, o que inclui os estágios de desenvolvimento e produção de armazenamento em nuvem.
Fonte: OPSWAT
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.