Amazon biedt nieuwe optie om datalekken via S3-buckets te voorkomen
Het afgelopen jaar zijn miljoenen gegevens via onbeveiligde Amazon S3-buckets gelekt, maar een nieuwe optie moet hier een einde aan maken. Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. Het komt echter geregeld voor dat beheerders een configuratiefout maken en de S3-bucket voor iedereen toegankelijk maken.
Alleen het kennen van de url is in deze gevallen voldoende om toegang tot databases en andere gevoelige data te krijgen. Vorig jaar november introduceerde Amazon al verschillende maatregelen om datalekken via S3-buckets te voorkomen. Het ging om het versleutelen van data in S3-buckets en het in de S3-console laten zien wanneer de S3-bucket voor iedereen toegankelijk is. Gezien het aantal datalekken via publieke S3-buckets blijken deze maatregelen niet voldoende en komt Amazon nu met nieuwe opties.
"We willen dat je openbare buckets gebruikt wanneer nodig, terwijl je ook de tools krijgt om ervoor te zorgen dat je ze niet door een eenvoudige fout of misverstand openbaar maakt", zegt Jeff Barr van Amazon. Om S3-buckets eenvoudiger te beschermen heeft Amazon nu de optie "S3 Block Public Access" geïntroduceerd. Een nieuwe beveiligingsoptie die vanaf accountniveau en bij individuele buckets kan worden ingesteld. Via de optie kan bestaande publieke toegang worden geblokkeerd en wordt voorkomen dat nieuwe S3-buckets publiek toegankelijk zijn. Dit moet het per ongeluk openbaar maken van S3-buckets voorkomen, aldus Barr.
Duurder was het ook niet, zeker niet als je een beetje resources gaat gebruiken. Zelf opletten. Dat houdt je bij de les en je blijft er fit en jong bij. Dat gecloud is leuk als je met 18e al denkt dat je al te oud bent om te leren.
Kan wel: https://aws.amazon.com/premiumsupport/knowledge-center/cloudfront-https-requests-s3/.
Geen probleem via cloudfront. Je kan hem zelfs aan een URL hangen en het als website laten fungeren. Google is je vriend.
Wel twee tips: Zorg ervoor dat als je via Certificate Manager een SSL aanvraagt je de regio North Virginia aan hebt staan. En pas Route 53 (DNS) pas aan ruim nadat cloudfront klaar is met deployen.
Het staat standaard gewoon dicht. Alleen is de S3 zo generiek in te stellen met zoveel doeleinden dat het soms lastig is om te bepalen wie nu welke rechten heeft. Je kunt er extreem veel mee, maar dat vergt dus skills en aandacht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.