Dans notre dernier blog nous avons exploré l'histoire des listes de contrôle avant le vol afin d'éviter les défaillances catastrophiques dues à des erreurs humaines et à une mauvaise configuration. Dans ce blog, nous allons nous pencher en profondeur sur un contrôle critique de la sécurité du stockage dans les nuages publics.
L'une des principales erreurs de configuration d'AWS S3 est de ne pas imposer le protocole HTTPS (TLS) pour l'accès aux données des baquets, car le trafic non crypté est vulnérable aux attaques de type "man-in-the-middle" qui peuvent voler ou modifier les données en transit. Ce type d'attaques peut entraîner la perte de données d'entreprise précieuses et des violations de conformité avec des réglementations telles que PCI DSS et NIST 800-53 (rev 4).
Amazon a publié son AWS Well-Architected Framework pour aider les entreprises à mettre en œuvre les meilleures pratiques en matière d'excellence opérationnelle, de sécurité, de fiabilité, d'efficacité des performances et d'optimisation des coûts. Le pilier Sécurité fournit des conseils pour mettre en œuvre les meilleures pratiques dans la conception, la livraison et la maintenance de charges de travail AWS sécurisées.
Responsabilité partagée
Le concept de "responsabilité partagée" est l'un des fondements du pilier "sécurité". Selon Amazon, AWS est responsable de la "sécurité du nuage" tandis que ses clients sont responsables de la "sécurité dans le nuage". Ces responsabilités des clients comprennent la gestion des identités et des accès, la détection des menaces, la protection de l'infrastructure, la protection des données et la réponse aux incidents.
Protection des données
La protection des données englobe la classification des données, ainsi que la protection des données au repos et des données en transit. Selon Amazon :
Les données en transit sont toutes les données envoyées d'un système à un autre. Cela inclut les communications entre les ressources au sein de votre charge de travail, ainsi que les communications entre d'autres services et vos utilisateurs finaux. En fournissant le niveau de protection approprié pour vos données en transit, vous protégez la confidentialité et l'intégrité des données de votre charge de travail.
Amazon met en avant quatre bonnes pratiques pour protéger les données en transit:
- Mettre en œuvre une gestion sécurisée des clés et des certificats
- Appliquer le chiffrement en transit
- Authentifier les communications réseau
- Automatiser la détection des accès involontaires aux données
Sécurité de la couche transport
Afin d'appliquer le chiffrement en transit, les services AWS fournissent des points d'extrémité HTTPS utilisant TLS pour la communication. AWS Config propose de nombreuses règles prédéfinies et personnalisables, qui peuvent être facilement configurées pour appliquer les meilleures pratiques. Parmi ces règles figure s3-bucket-ssl-requests-only, qui vérifie si les buckets Amazon S3 ont des politiques qui refusent explicitement l'accès aux requêtes HTTP. Les politiques des buckets qui autorisent HTTPS sans bloquer HTTP sont considérées comme non conformes.
Les organisations peuvent appliquer cette règle avec la clé de condition "aws:SecureTransport" . Lorsque cette clé est vraie, la requête a été envoyée via HTTPS, mais lorsqu'elle est fausse, les organisations ont besoin d'une politique de seau qui refuse explicitement l'accès aux requêtes HTTP.
Amazon fournit cet exemple de politique de seau qui refuse l'accès lorsque "aws:SecureTransport" : "false" :
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
Éviter les erreurs de configuration courantes avec OPSWAT
Lorsqu'il s'agit d'erreurs de configuration courantes, telles que HTTPS (TLS), les organisations devraient utiliser des listes de contrôle pour s'assurer qu'elles mettent en œuvre les meilleures pratiques. L'automatisation de ce processus à l'aide de la technologie permet d'éviter les erreurs manuelles coûteuses en temps et en argent.
MetaDefender Storage Security améliore sa solution de sécurité pour le stockage en nuage avec une liste de contrôle de sécurité intégrée, afin que les professionnels de la cybersécurité puissent s'assurer que le stockage en nuage de leur organisation n'est pas mal configuré lorsqu'il est approvisionné, ce qui inclut les étapes de développement et de production du stockage en nuage.
L'application du protocole HTTPS (TLS) pour l'accès aux données des seaux est un élément essentiel de la liste de contrôle de MetaDefender Storage Security , mais ce n'est pas le seul. Dans les prochains blogs, nous explorerons d'autres erreurs de configuration majeures pour la protection des données au repos, notamment le versionnement des seaux, le chiffrement côté serveur et l'enregistrement des accès aux seaux.
Contactez un expert en cybersécurité à l'adresse OPSWAT pour en savoir plus.
