Son blogumuzda İnsan hatalarından ve yanlış yapılandırmadan kaynaklanan yıkıcı arızaları önlemek için uçuş öncesi kontrol listelerinin tarihini araştırdık. Bu blogda kritik bir genel bulut depolama güvenlik kontrolünü derinlemesine inceleyeceğiz.
Önemli bir AWS S3 yapılandırma hatası, kova verilerine erişmek için HTTPS'yi (TLS) zorunlu kılmayı ihmal etmektir çünkü şifrelenmemiş trafik, aktarım sırasında verileri çalabilen veya değiştirebilen ortadaki adam saldırılarına karşı savunmasızdır. Bu tür saldırılar, değerli kurumsal verilerin kaybına ve PCI DSS ve NIST 800-53 (rev 4) gibi düzenlemelerle uyumluluk ihlallerine yol açabilir.
Amazon, kuruluşların operasyonel mükemmellik, güvenlik, güvenilirlik, performans verimliliği ve maliyet optimizasyonu ile ilgili en iyi uygulamaları gerçekleştirmelerine yardımcı olmak için AWS İyi Mimari Çerçevesini oluşturdu. Güvenlik Sütunu, güvenli AWS iş yüklerinin tasarlanması, sunulması ve sürdürülmesinde en iyi uygulamaların hayata geçirilmesi için rehberlik sağlar.
Ortak Sorumluluk
"Paylaşılan Sorumluluk" kavramı Güvenlik Sütununun temellerinden biridir. Amazon'a göre AWS "bulutun güvenliğinden", müşterileri ise "buluttaki güvenlikten" sorumludur. Bu müşteri sorumlulukları arasında kimlik ve erişim yönetimi, tehdit tespiti, altyapı koruması, veri koruması ve olay müdahalesi yer alıyor.
Veri Koruma
Veri koruma, veri sınıflandırmasının yanı sıra bekleyen ve aktarım halindeki verilerin korunmasını da kapsar. Amazon'a göre:
Aktarım halindeki veriler, bir sistemden diğerine gönderilen tüm verilerdir. Bu, iş yükünüz içindeki kaynaklar arasındaki iletişimin yanı sıra diğer hizmetler ve son kullanıcılarınız arasındaki iletişimi de içerir. Aktarım halindeki verileriniz için uygun düzeyde koruma sağlayarak iş yükünüzün verilerinin gizliliğini ve bütünlüğünü korursunuz.
Amazon, aktarım halindeki verileri korumak için en iyi dört uygulamayı vurguluyor:
- Güvenli anahtar ve sertifika yönetimi uygulayın
- Aktarım sırasında şifreleme uygulayın
- Ağ iletişimlerini doğrulama
- İstenmeyen veri erişiminin tespitini otomatikleştirin
Aktarım Katmanı Güvenliği
Aktarım sırasında şifrelemeyi zorunlu kılmak için AWS hizmetleri, iletişim için TLS kullanan HTTPS uç noktaları sağlar. AWS Config, en iyi uygulamaları uygulamak için kolayca yapılandırılabilen çok sayıda önceden tanımlanmış ve özelleştirilebilir yönetilen kural sunar. Bu kurallar arasında, Amazon S3 kovalarının HTTP isteklerine erişimi açıkça reddeden ilkelere sahip olup olmadığını kontrol eden s3-bucket-ssl-requests-only de yer alır. HTTP'yi engellemeden HTTPS'ye izin veren kova ilkeleri uyumsuz olarak kabul edilir.
Kuruluşlar bu kuralı "aws:SecureTransport" koşul anahtarı ile uygulayabilir. Bu anahtar doğru olduğunda, istek HTTPS aracılığıyla gönderilmiştir, ancak yanlış olduğunda kuruluşların HTTP isteklerine erişimi açıkça reddeden bir kova ilkesine ihtiyacı vardır.
Amazon, "aws:SecureTransport" olduğunda erişimi reddeden bir kova ilkesinin bu örneğini sağlar: "false":
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
Yaygın Yapılandırma Hatalarını Önlemek için OPSWAT
HTTPS (TLS) gibi yaygın yapılandırma hataları söz konusu olduğunda, kuruluşlar en iyi uygulamaları uyguladıklarından emin olmak için kontrol listeleri kullanmalıdır. Bu sürecin teknoloji ile otomatikleştirilmesi, zaman alıcı ve pahalı manuel hataların önlenmesine yardımcı olabilir.
MetaDefender Storage Security bulut depolama güvenlik çözümünü entegre bir güvenlik kontrol listesiyle geliştiriyor; böylece siber güvenlik uzmanları, kuruluşlarının bulut depolamasının geliştirme ve üretim aşamalarını içeren tedarik sürecinde yanlış yapılandırılmadığından emin olabiliyor.
Kova verilerine erişmek için HTTPS'yi (TLS) zorunlu kılmak, MetaDefender Storage Security adresindeki kritik bir kontrol listesi öğesidir, ancak tek değildir. Gelecekteki bloglarda, kova sürümü oluşturma, sunucu tarafı şifreleme ve kova erişim günlüğü tutma dahil olmak üzere bekleyen verileri korumaya yönelik diğer önemli yapılandırma hatalarını inceleyeceğiz.
Daha fazla bilgi edinmek için bir OPSWAT siber güvenlik uzmanıyla iletişime geçin.
