✕ סגור 
צור קשר
תודה על ההתעניינות .

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form

כל מה שרציתם לדעת על פתרון האבטחה של אמזון כנגד פרצות באקט S3

IsraelClouds
|
Dec 1, 2018
alt="blogs"
title="Google"
EuropeClouds.com

מי שעקב אחרי הטרנדים החמים בעולמות האבטחה, כנראה שם לב לכמות העצומה של פרצות נתונים שמקורן היה ב-S3 Buckets לא מאובטחים של אמזון.

ארגונים כמו FedEx, Capital One Bank, Verizon ואפילו US Defense Contractors סבלו מחשיפת מידע רגיש וסודי עקב הגדרה לא נכונה של שרתי האחסון בענן שלהם. למעשה, הבעיה החמירה כל כך, שמספר חוקרי אבטחה אפילו שלחו "אזהרות ידידותיות" לשרתים פרוצים בהם נתקלו, וייעצו לבעליהם לחשוב שוב על רמת האבטחה שלהם:

friendly-warning



בסוף 2017, AWS הכריזה שהיא מתכוונת להשתמש ב"אזהרות הגלולה הכתומה" בלוחות המחוונים של האדמינים, אשר יפרסמו אזהרה בכל פעם שבאקט הוגדר להיות נגיש לכל.

orange-pill



בהחלט מדובר בצעד שהיה בכיוון הנכון, אבל כאשר אנחנו עדיין ממשיכים לשמוע על פרצות מידע חוזרות ונשנות, ניתן להסיק שנותרה עבודה רבה בכדי להגיע לפתרון אמיתי.

למזלנו, אמזון הכריזה על פיצ'ר חדש – AWS Identity & Access Management Access Analyzer, המעניק (בין היתר) את האפשרות לפקח על מדיניות הגישה ל-S3 Bucket ומספק התראות במידה ויש באקט אחסון בענן המוגדר לאפשר גישה לכל אחד ברשת, או כזה ששותף עם חשבונות AWS אחרים.

analyzer



עם פיצ'ר זה, תוכלו להימנע מהגדרות לא נכונות שעלולות לגרום למידע רגיש להיחשף, מה שעלול "במקרה הטוב" לפגוע בשם הארגון שלכם, ובמקרה הרע, לעשות נזק של ממש עבורכם ועבור הלקוחות שלכם. בזכות כלי זה תוכלו גם להגיב להתראה בזמן אמת ולחסום כל גישה פומבית בקליק אחד, ולאחר מכן להשתמש באפשרויות הדיווח שלו בכדי להבין את טבע הבעיה ובכך לתת פתרון מלא לבעיה.

מיותר לציין שייתכן מאוד שישנם נתונים שאמורים להיות משותפים לציבור הרחב (למשל, דפי האתר שלכם), ולכן ניתן לסמן אותם כציבוריים בכוונה תחילה ובכך להימנע מאזהרות חוזרות ונשנות. מלבד הבאקטים של אמזון, ניתן להשתמש בכלי בכדי לנתח את ההרשאות שניתנו באמצעות פוליסות עבור AWS KMS keys, Amazon SQS queues, AWS IAM roles ו- AWS Lambda Functions. כלל אצבע בכל הנוגע לאבטחה הוא לעקוב אחרי כל רכיב בענן שלכם, ולוודא שהוא מקבל את כמות ההרשאות המינימלית שהוא צריך בכדי לפעול, ובכך לחסוך הרבה כאב ראש.

על מנת לאפשר את השימוש בפיצ'ר, האדמינים צריכים להיכנס לקונסולת ה-IAM ולאפשר את ה-AWS Identity and Access Management Access Analyzer. לאחר מכן, היא תופיע בקונסול של S3 Management.

אין ספק שמדובר בפיצ'ר נכון וחשוב מטעם אמזון, אשר יכול לעזור לחברות למנוע זליגת מידע דרך שרתים שהוגדרו בצורה לא טובה. מה שכן, "ההתראה" היא רק חצי מהקרב. המטרה העיקרית היא לגרום לכלל הארגונים להבין את החשיבות והבעייתיות של העניין, ולהניע אותם לטפל בו בהתאם, בכדי שפרצות אלו לא יחזור יותר לעולם.


מאת: מערכת IsraelClouds

רוצים להתעדכן בתכנים נוספים בנושאי אבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה

מי שעקב אחרי הטרנדים החמים בעולמות האבטחה, כנראה שם לב לכמות העצומה של פרצות נתונים שמקורן היה ב-S3 Buckets לא מאובטחים של אמזון.

ארגונים כמו FedEx, Capital One Bank, Verizon ואפילו US Defense Contractors סבלו מחשיפת מידע רגיש וסודי עקב הגדרה לא נכונה של שרתי האחסון בענן שלהם. למעשה, הבעיה החמירה כל כך, שמספר חוקרי אבטחה אפילו שלחו "אזהרות ידידותיות" לשרתים פרוצים בהם נתקלו, וייעצו לבעליהם לחשוב שוב על רמת האבטחה שלהם:

friendly-warning



בסוף 2017, AWS הכריזה שהיא מתכוונת להשתמש ב"אזהרות הגלולה הכתומה" בלוחות המחוונים של האדמינים, אשר יפרסמו אזהרה בכל פעם שבאקט הוגדר להיות נגיש לכל.

orange-pill



בהחלט מדובר בצעד שהיה בכיוון הנכון, אבל כאשר אנחנו עדיין ממשיכים לשמוע על פרצות מידע חוזרות ונשנות, ניתן להסיק שנותרה עבודה רבה בכדי להגיע לפתרון אמיתי.

למזלנו, אמזון הכריזה על פיצ'ר חדש – AWS Identity & Access Management Access Analyzer, המעניק (בין היתר) את האפשרות לפקח על מדיניות הגישה ל-S3 Bucket ומספק התראות במידה ויש באקט אחסון בענן המוגדר לאפשר גישה לכל אחד ברשת, או כזה ששותף עם חשבונות AWS אחרים.

analyzer



עם פיצ'ר זה, תוכלו להימנע מהגדרות לא נכונות שעלולות לגרום למידע רגיש להיחשף, מה שעלול "במקרה הטוב" לפגוע בשם הארגון שלכם, ובמקרה הרע, לעשות נזק של ממש עבורכם ועבור הלקוחות שלכם. בזכות כלי זה תוכלו גם להגיב להתראה בזמן אמת ולחסום כל גישה פומבית בקליק אחד, ולאחר מכן להשתמש באפשרויות הדיווח שלו בכדי להבין את טבע הבעיה ובכך לתת פתרון מלא לבעיה.

מיותר לציין שייתכן מאוד שישנם נתונים שאמורים להיות משותפים לציבור הרחב (למשל, דפי האתר שלכם), ולכן ניתן לסמן אותם כציבוריים בכוונה תחילה ובכך להימנע מאזהרות חוזרות ונשנות. מלבד הבאקטים של אמזון, ניתן להשתמש בכלי בכדי לנתח את ההרשאות שניתנו באמצעות פוליסות עבור AWS KMS keys, Amazon SQS queues, AWS IAM roles ו- AWS Lambda Functions. כלל אצבע בכל הנוגע לאבטחה הוא לעקוב אחרי כל רכיב בענן שלכם, ולוודא שהוא מקבל את כמות ההרשאות המינימלית שהוא צריך בכדי לפעול, ובכך לחסוך הרבה כאב ראש.

על מנת לאפשר את השימוש בפיצ'ר, האדמינים צריכים להיכנס לקונסולת ה-IAM ולאפשר את ה-AWS Identity and Access Management Access Analyzer. לאחר מכן, היא תופיע בקונסול של S3 Management.

אין ספק שמדובר בפיצ'ר נכון וחשוב מטעם אמזון, אשר יכול לעזור לחברות למנוע זליגת מידע דרך שרתים שהוגדרו בצורה לא טובה. מה שכן, "ההתראה" היא רק חצי מהקרב. המטרה העיקרית היא לגרום לכלל הארגונים להבין את החשיבות והבעייתיות של העניין, ולהניע אותם לטפל בו בהתאם, בכדי שפרצות אלו לא יחזור יותר לעולם.


מאת: מערכת IsraelClouds

רוצים להתעדכן בתכנים נוספים בנושאי אבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה

הירשם לרשימת הדיוור של IsraelClouds

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form

מילון מונחיםהשירותים שלנו תנאי שימושהרשמה לניוזלטרמדיניות פרטיות