.
A Amazon quer que você saiba que não é culpada pelos dados que você expôs por meio de seu serviço de armazenamento em nuvem. Afinal, o AWS Simple Storage Service (S3) é simples.
Sem dúvida, você tentou manter seus dados seguros. Mas convenhamos, no dezesseis anos S3 está disponívelo serviço de armazenamento de dados baseado em nuvem não foi simples o suficiente para ajudar usuários involuntários a evitar configurações inseguras.
A Amazon, é claro, quer que você saiba que deseja apenas o melhor para seus dados. “Os baldes S3 são e sempre foram privados por padrão”, lembrou a empresa a seus clientes em uma postagem na terça-feira. “Apenas o proprietário do bucket pode acessar o bucket ou optar por conceder acesso a outros usuários.”
Infelizmente, os proprietários do bucket S3 deliberadamente ou de outra forma têm concedido mais acesso online do que talvez seja aconselhável e o resultado tem sido um cluster-fsck contínuo. Como o IBM Security X-Force observou em seu Relatório do cenário de segurança na nuvem de 2021 [PDF]”Ao examinar casos baseados em nuvem, o X-Force IR frequentemente identificou recursos não seguros expostos acidentalmente à Internet, como serviços de armazenamento de objetos mal configurados, como um dos principais contribuintes para violações observadas.”
Volte para 2018 – para escolher um ano entre muitos – e as exposições de dados S3 surgiram com tanta frequência que nos cansamos de escrever sobre elas.
Teve essa história em dezembro de 2017, dois mais em fevereiro de 2018, outro dois em abril de 2018, outro exposição do balde em maio, em junho, Julho, Agostoe Outubroaté que a AWS não aguentou mais as dificuldades do cliente.
Em novembro de 2018, a AWS adicionou mais controles de segurança ao serviço que mantém sempre privado por padrão.
“Queremos garantir que você use baldes e objetos públicos conforme necessário, ao mesmo tempo em que fornecemos ferramentas para garantir que você não os torne acessíveis ao público devido a um simples erro ou mal-entendido”, disse a empresa. explicou pois introduziu o Amazon S3 Block Public Access, uma maneira de bloquear o acesso público aos buckets do S3 por meio do console de gerenciamento do S3.
O Simple Storage Service recebeu outra dose de simplicidade em novembro de 2021. Foi quando a AWS anunciou “alguns novos recursos que simplificam o gerenciamento de acesso para dados armazenados no Amazon Simple Storage Service (Amazon S3)”.
Basicamente, a AWS lançou em 2011 o AWS Identity and Access Management (IAM), para definir políticas que definem permissões e controlar o acesso a buckets e objetos no Amazon S3. O resultado foram muitas maneiras de controlar o acesso ao bucket do S3: políticas do IAM, políticas do bucket do S3, políticas do S3 Access Point, S3 Block Public Access e ACLs (listas de controle de acesso).
A solução que a AWS apresentou no ano passado foi uma configuração de propriedade de objeto do Amazon S3 chamada Bucket owner enforced que permite aos usuários do S3 desabilitar todas as ACLs associadas a um bucket e aos objetos nele contidos. Amazonas explicou na época, “Isso simplifica o gerenciamento de acesso aos dados armazenados no Amazon S3” – que, lembremos, significa Simple Storage Service.
E quanto você pagaria por este serviço de armazenamento em nuvem nada complicado? Espere, não responda ainda. Em abril de 2023, a simplicidade do Simple Storage Service será ainda mais simples.
“A partir de abril de 2023, o Amazon S3 apresentará duas novas configurações de segurança de bucket padrão, ativando automaticamente o S3 Block Public Access e desabilitando as listas de controle de acesso (ACLs) do S3 para todos os novos buckets S3”, disse a Amazon em seu post.
O que isso significa é que não será simples criar um depósito de armazenamento S3 com acesso público por acidente. Você terá que excluir deliberadamente o bloco de acesso público – a configuração que impede o acesso público aos dados do S3 – chamando DeletePublicAccessBlock.
A manopla foi lançada e você pode disparar seu espingarda à vontade.
Esses padrões de práticas recomendadas de segurança – já existentes para depósitos criados por meio do console de gerenciamento S3 – serão aplicados em breve a todos os novos depósitos, sejam eles criados por meio da interface de linha de comando da AWS, APIs, SDKs ou AWS CloudFormation. E eles serão aplicados em todas as regiões da AWS, incluindo as regiões AWS GovCloud e AWS China.
Então aí está: segurança contra configuração incorreta autoinfligida por padrão. E para pensar, levou apenas dezesseis anos. ®
.
