Startseite > Security > AWS S3 Buckets richtig schützen

Palo Alto Networks erläutert Vorgehensweise

AWS S3 Buckets richtig schützen

15. Januar 2021, 12:00 Uhr |

Fortsetzung des Artikels von Teil 1

Schritt 5 bis 8

5. Bucket-Berechtigungen: Neue Buckets sind standardmäßig privat und nur für den Eigentümer und diejenigen zugänglich, denen er ausdrücklich Zugriff gewährt hat. Benutzer können den öffentlichen Zugriff beim Erstellen eines Buckets gewähren, indem sie die Optionen auf dem Bildschirm „Berechtigungen festlegen“ deaktivieren. Wollen Benutzer ihre Buckets absichern, sollten sie alle Optionen aktiviert lassen.

6. Zugriffskontrolllisten: Wollen Benutzer aus irgendeinem Grund öffentlichen Zugriff auf ihren Bucket gewähren, können sie den Zugriff auf ihre Objekte mit einer Zugriffskontrollliste (Access Control List, ACL) steuern. Auf diese Weise können sie die Zugriffsstufe für jedes Objekt festlegen, wenn es hochgeladen wird. Wenn sie ein Objekt mit öffentlichem Zugriff und offenen Richtlinien hochladen, kann jeder, der den HTTP-Link zum Objekt hat, darauf zugreifen.

7. S3-Bucket-Richtlinien: AWS Identity and Access Management (IAM) ist das zentrale Sicherheits- und Berechtigungs-Management-System innerhalb des AWS-Ökosystems. Bei der Bereitstellung des Zugriffs auf die S3-Buckets hilft die Anwendung des Prinzips der geringsten Berechtigung (Least Privilege), um Fehler zu vermeiden. Standardmäßig hat nur der Ersteller des Buckets Zugriff auf dessen Inhalt. Benutzer können zusätzliche Berechtigungen hinzufügen, indem sie eine IAM-Richtlinie anhängen. Laut Best Practices sollte man Rollen verwenden, um spezifischen Zugriff auf eine klar definierten Ressourcenpool zu gewähren.

Wenn Benutzer einen Bucket öffnen und zur Registerkarte „Berechtigungen“ navigieren, können sie eine Bucket-Richtlinie hinzufügen. Dazu können sie den AWS Policy Generator nutzen oder eine Richtlinie direkt in den Policy Editor eingeben. Um eine IAM-Richtlinie zu erstellen, benötigen Benutzer zwei ARNs (Amazon Resource Names): den ARN für den Bucket, der auf der Bucket-Richtlinienseite verfügbar ist, und den ARN für die Rolle, den die Benutzer über die IAM-Rolle abrufen können. Diese Richtlinie erlaubt jedem Benutzer oder jeder Ressource, die diese Rolle verwendet, Objekte aus diesem spezifischen Bucket hinzuzufügen und abzurufen. Sie erlaubt nicht, Objekte zu löschen (dazu ist die Aktion s3:DeleteObject erforderlich).

8. AWS S3 Buckets mit Auditing und Überwachung schützen: Da nun ein sicherer und gut verwalteter Bucket bereitsteht, ist der letzte Schritt, dafür zu sorgen, dass der Bucket auch sicher bleibt. Haben Benutzer beim Erstellen des Buckets die Zugriffs- und Aktivitätsprotokollierung aktiviert, können sie diese Protokolle regelmäßig überprüfen, um fehlgeschlagene Zugriffsversuche und potenziell bösartige Aktivitäten zu identifizieren.

Die Überprüfung von Protokollen kann jedoch mühsam sein – und langweilige Aktivitäten erhalten normalerweise nicht die Aufmerksamkeit, die sie verdienen. Eine bessere und sicherere Alternative ist die Zusammenarbeit mit einem Drittanbieter, der in der Lage ist, die S3-Aktivitäten automatisch zu überwachen und auf verdächtige Aktivitäten, Schwachstellen und Sicherheitsbedrohungen zu reagieren. Moderne Security-Lösungen vereinfachen den Prozess der Überwachung und des Schutzes der S3-Buckets sowie der anderen Ressourcen im AWS-Ökosystem.

Weitere Informationen finden sich unter www.paloaltonetworks.com.