Die Cloud kann Sie nicht vor sich selbst schützen

Cloud-Sicherheit. Der Begriff selbst ist ohne Einschränkung eigentlich bedeutungslos. Meinen Sie die Sicherheit der zugrunde liegenden Infrastruktur, aus der die „Cloud“ besteht? Oder vielleicht Befehls- und Steuerungs-APIs, mit denen Sie Rechenleistung, Speicher und Dienste in der „Cloud“ bereitstellen und verwalten können?

Denn ich weiß, dass Sie nicht an die Fähigkeit gedacht haben, Sie auf magische Weise vor Ihren eigenen Fehltritten zu schützen. Sie wissen schon, die Fälle, in denen Sie die Standardsicherheitsrichtlinien für Amazon S3-Buckets absichtlich ändern, um jedem mit der IP-Adresse den Zugriff auf die darin gespeicherten Daten zu ermöglichen.

Wenn Sie das für eine lächerliche Vorstellung halten, dann haben Sie recht. Wer jedoch annimmt, dass dies bedeutet, dass Organisationen mit angemessenen Sicherheitskompetenzen genau das nicht getan haben, irrt.

Ein typisches Beispiel: Vor Kurzem wurde bekannt, dass ein bestimmter Systemintegrator alle möglichen interessanten Daten offen und verfügbar in Amazon S3 hinterlassen hatte . Sie wissen schon, Dinge wie Anmeldeinformationen und private Schlüssel und all das. Der „Fehler“ sei zwar schnell behoben worden, heißt es, aber es bleibe dabei: Um in S3 einen für jedermann zugänglichen Zustand zu erreichen, sei ein Eingreifen eines Bedieners erforderlich.

Sie müssen die Tür bewusst aufschließen. Amazon S3 verfügt standardmäßig über strenge Sicherheitskontrollen hinsichtlich des Zugriffs. Aus der Dokumentation von Amazon:

Standardmäßig sind alle Amazon S3-Ressourcen privat, was bedeutet, dass nur der Ressourcenbesitzer auf die Ressource zugreifen kann.

- Festlegen von Bucket- und Objektzugriffsberechtigungen

Um einen Zustand zu erreichen, in dem jeder mit der richtigen IP-Adresse den Inhalt eines Buckets durchsuchen kann, bedarf es einer bewussten Handlung eines Menschen.

Der betroffene SI ist nicht der erste, der der eigenen Unsicherung von Amazon S3 zum Opfer fiel. Bereits im Februar 2017 beschrieb der Forscher Troy Hunt eine faszinierende Reihe verpfuschter Cloud-Sicherheitsvorfälle im Zusammenhang mit einem IoT-Spielzeug namens Cloud Pets. Hierzu gehörte „ein Amazon S3-Bucket, für den keine besondere Autorisierung erforderlich war.“ Im Juli erfuhren wir, dass einer der drei großen Dienstanbieter Abonnentendaten über ein falsch konfiguriertes Amazon S3 offenlegte .

Um zu veranschaulichen, wie weit verbreitet dieses Problem ist, bot Rhino Security Labs einen faszinierenden Einblick in seine Tests von Amazon S3 auf den Alexa Top 10.000-Websites . Es wurde festgestellt, dass „107 Buckets (1,07 %) mit Listenberechtigungen gefunden wurden, die zu 68 einzigartigen Domänen gehörten. Von diesen 107 Buckets hatten 61 (57 %) offene Download-Berechtigungen für jeden, der sie anzeigte. 13 (12 %) hatten offene Upload-Berechtigungen und 8 % hatten alle drei.“

Der offene Download ist schlimm genug, da die Daten dadurch gestohlen werden können. Aber auch offener Upload? Das ist, als würde man Mitarbeiter dazu ermutigen, auf Phishing-E-Mails zu klicken.

Die Cloud kann Sie nicht vor sich selbst schützen. Unabhängig davon, ob es an Sicherheitsschleusen, Kontrollen oder Aufsicht mangelt , können Sie nicht einfach die Berechtigungen für den Cloud-Speicher öffnen und hoffen, dass ihn niemand findet. Das ist, als ob Sie eine Videoüberwachung installieren und den Telnet-Zugriff für die Außenwelt offen lassen würden .

Ups, was?

Hier ist die Sache. Apps und Daten sind nur so sicher wie die Richtlinien und Verfahren, die Sie zu ihrem Schutz verwenden. Es gibt berechtigte Gründe, Cloud-Speicher wie S3 einen „offenen“ Zugriff zu ermöglichen. Aber genau wie die Ports Ihrer Unternehmensfirewall sollten Sie sie nicht völlig öffnen, es sei denn, es gibt einen wirklich guten Grund. 

Wenn Sie keine Richtlinie eingeführt haben, die eine Überprüfung der „Cloud-Sicherheit“ erfordert, bevor Sie diese App einschalten oder diese URL freigeben, müssen Sie dies tun. Im Augenblick. Hören Sie auf zu lesen und machen Sie sich an die Arbeit.

Seien Sie nicht Ihr eigener schlimmster Feind. Überprüfen Sie Ihre Richtlinien und Verfahren und stellen Sie sicher, dass diese die Sicherheit mit der Bedeutung und dem Verwendungszweck der in der Cloud gespeicherten Daten in Einklang bringen.

Nur Sie können verhindern, dass S3-Fehlkonfigurationen Schlagzeilen machen.

Wenn Sie Hilfe beim Sperren von Amazon S3-Buckets benötigen, stellt Amazon nicht nur Dokumentation , sondern auch hilfreiche Tools zur Verfügung.