Startseite > Security > AWS S3 Buckets richtig schützen

Palo Alto Networks erläutert Vorgehensweise

AWS S3 Buckets richtig schützen

15. Januar 2021, 12:00 Uhr |

Der Simple Storage Service (S3) von Amazon Web Services (AWS) bietet eine einfache Möglichkeit, Daten in der Cloud zu speichern. Allerdings hört man immer wieder von kritischen Datenlecks, die auf ungesicherte S3-Buckets zurückgehen. Dies betraf kleine Unternehmen ebenso wie Konzerne und Behörden. Ein einfacher Fehler kann zu einem falsch konfigurierten Bucket führen, der Daten angreifbar macht, warnt Palo Alto Networks. Der Security Anbieter liefert im Folgenden eine Schritt-für-Schritt-Anleitung, wie Benutzer ihre S3-Buckets schützen und die AWS-Konfiguration überwachen können.

1. Auswahl des Speicherorts: Bevor Benutzer einen S3-Bucket erstellen, sollten sie sich die folgenden Fragen stellen: Müssen die Daten in S3 gespeichert werden und unterliegen sie irgendwelchen gesetzlichen Richtlinien? Es gilt, persönliche, medizinische und finanzielle Informationen besonders sorgfältig zu prüfen. S3 ist möglicherweise nicht der richtige Ort dafür.

2. Wahl eines geeigneten Namens: Der S3-Bucket muss einen eindeutigen und DNS-kompatiblen Namen haben. Der Name darf nicht bereits in Gebrauch sein, er muss aus Kleinbuchstaben, Zahlen, Punkten und/oder Bindestrichen bestehen und zwischen drei und 63 Zeichen lang sein. Der Name sollte aussagekräftig sein, aber nicht den Inhalt des Buckets in die Welt hinausposaunen. Namen wie „acme-paychecks-2020“ könnten zu unbefugten Zugriffsversuchen einladen.

3. Zugriffs- und Aktivitätsprotokollierung: Ein wesentlicher Teil der Absicherung des S3-Buckets besteht im Wissen, wer Zugriff darauf hat und was er mit diesem Zugriff macht. Wer einen Bucket erstellt, kann die Server-Zugriffsprotokollierung und die CloudTrail-Aktivitätsprotokollierung aktivieren. Das geht auch nachträglich für bestehende Buckets. AWS speichert diese Protokolle in einem anderen S3-Bucket, daher sollte der Ziel-Bucket für diese Protokolle sehr sicher sein. Die Erstellung von Server-Zugriffsprotokollen ist kostenlos, allerdings müssen Unternehmen für den S3-Speicherplatz bezahlen. Diese Protokolle enthalten Informationen über den Anforderer, den Ziel-Bucket, die Antwort und andere Details über die Anforderung. Zugriffsprotokolle enthalten auch Informationen über Anfragen, die Fehlerantworten zurückgeben.

Die Protokollierung auf Aktivitäts- oder Objektebene ist in AWS CloudTrail integriert und daher kostenpflichtig. Diese Protokolle enthalten detaillierte Informationen auf Objektebene, einschließlich des Ursprungs der Anforderungen und der Art der durchgeführten Aktionen. Benutzer können die Protokolle in CloudTrail anzeigen und analysieren. Die Protokolle sind für das kontinuierliche Schreiben in S3 verfügbar.

4. Verschlüsselung: Wenn Benutzer einen neuen Bucket erstellen, können sie auch eine Verschlüsselungsoption auswählen. Das Verschlüsseln der Daten ist immer ratsam. Benutzer können ihre Daten auf der Client-Seite verschlüsseln, bevor sie die Daten in S3 hochladen, oder eine Server-seitige Verschlüsselung verwenden. AWS bietet AES-256 mit Amazon-S3-verwalteten Schlüsseln und AWS-KMS mit KMS-verwalteten Schlüsseln. Es ist möglich, einen vorhandenen Bucket zu verschlüsseln, aber das beinhaltet eine komplexe Abfolge von Ereignissen, einschließlich des Erstellens, Übertragens, Löschens und Wiedererstellens von Buckets. Es ist viel einfacher, die Verschlüsselung zu aktivieren, wenn man den Bucket erstellt.