Die fünf häufigsten Fehler bei S3

Im Allgemeinen ist der Cloud-Objektspeicher Amazon S3 recht einfach zu bedienen, aber Fehler werden leicht gemacht. Der Dienst selbst ist erwiesenermaßen sicher ("Sicherheit in der Cloud"), zuverlässig und leistungsfähig. Eine Fehlkonfiguration durch den Eigentümer der S3-Buckets kann jedoch zu einer völlig anderen Erfahrung führen ("Sicherheit in der Cloud"). In diesem Blog werden die fünf häufigsten Fehler als Lernerfahrung behandelt.

1. Undichte S3-Eimer

Konfigurieren Sie Ihren S3-Bucket niemals so, dass ein direkter öffentlicher Zugriff auf Ihre S3-Buckets möglich ist. Die bekanntesten Sicherheitsverstöße bei Anwendungen, die auf AWS laufen, wurden durch falsch konfigurierte S3-Buckets verursacht (bekannte Fälle: Verizon, Securitas, Reindeer, etc.). Terabytes vertraulicher Daten wurden versehentlich preisgegeben, nur weil ein einziger Konfigurationsschalter falsch konfiguriert war. Dies hat zu schwerwiegenden Schäden geführt, obwohl sie leicht zu vermeiden sind. Das Gleiche gilt für falsch konfigurierte Ressourcenrichtlinien und ACLs, z.B. bei der Verwendung von Platzhaltern zur Zugriffsgewährung.

Tun Sie dies: Aktivieren Sie die Einstellung zum Sperren des öffentlichen Zugriffs auf Kontoebene, um zu verhindern, dass Buckets öffentlich zugänglich gemacht werden. Wenn Sie in S3 gehostete Daten öffentlich zugänglich machen müssen: Konfigurieren Sie den S3-Bucket als Ursprung für eine CloudFront-Verteilung, konfigurieren Sie die Identität des Ursprungszugriffs und geben Sie nur Ihrer CloudFront-Verteilung Zugriff auf den Bucket. Auf diese Weise haben Sie die volle Kontrolle über die Sicherheitskontrollen wie TLS-Konfiguration, Protokollierung, DDoS-Schutz und WAF. Außerdem erhalten Sie so eine hervorragende Leistung. Und zu guter Letzt verwenden Sie Cloud Security Posture Management, um den Konfigurationsstatus Ihrer AWS-Umgebung zu überwachen.

2. Keine Verschlüsselung verwenden

Als Best-Practice sollten alle Daten im Ruhezustand und bei der Übertragung verschlüsselt werden. Dieser Grundsatz gilt auch für in S3 gespeicherte Daten. Es gibt keine Ausrede für nicht verschlüsseln Sie Ihre Daten, da S3 eine transparente Verschlüsselung bietet. Unverschlüsselte Daten sind anfällig für das Abfangen und unbefugte Änderungen.

Aufenthalt: Schützen Sie Ihre Daten mit serverseitiger Verschlüsselung. Verwenden Sie vorzugsweise die serverseitige Verschlüsselung mit AWS KMS-Schlüsseln (SSE-KMS) und verwenden Sie Ihre vom Kunden verwalteten KMS-Schlüssel. So haben Sie die volle Kontrolle über den Verschlüsselungsschlüssel (Ressourcenrichtlinie, Schlüsselrotation usw.). Um die Kosten zu senken oder die Leistung zu steigern, sollten Sie den S3 Bucket Key konfigurieren, um die Anzahl der Aufrufe des KMS-Dienstes zu reduzieren. Für weitere Informationen lesen Sie den Blog AWS-Kosten mit S3 Bucket Keys reduzieren von Kollege Vikas Bange.

3. Hohe Kosten und schlechte Leistung

Schlecht konzipierte Zugriffsmuster können zu hohen Kosten und geringer Leistung führen. Die wichtigste Kostenkennzahl für S3 ist das Abrufen von Daten. Bei der Synchronisierung von Daten mit S3 ist es beispielsweise am besten, anhand von Metadaten zu ermitteln, ob Objekte aktualisiert werden müssen, anstatt das gesamte Objekt herunterzuladen, um Quelle und Ziel zu vergleichen.

Tun Sie Folgendes: Verwenden Sie Metadaten bei der Synchronisierung von Daten, verwenden Sie Präfixe, implementieren Sie S3-Gateway-Endpunkte, vermeiden Sie das Überschreiben vorhandener Daten in S3, konfigurieren Sie die richtigen Speicherklassen, verwenden Sie die Region, die den Verbrauchern am nächsten liegt usw. Mehr dazu finden Sie auf der Seite Leistung optimieren Richtlinien Seite.

4. Bucket-Replikation als Backup verwenden

Die Replikation sollte nicht zur Notfallwiederherstellung verwendet werden. Die Replikation schützt nicht vor dem versehentlichen Löschen von Dateien, Dateibeschädigungen, Ransomware usw. Alle Aktionen auf dem Quell-Bucket werden auf den Ziel-Bucket repliziert. Dies macht eine Wiederherstellung nach einem Vorfall unmöglich.

Tun Sie das: Verwenden Sie AWS Backup, um nicht reproduzierbare Daten zu sichern. Im Gegenzug erhalten Sie typische Disaster Recovery-Funktionen wie Point-in-Time Recovery, Sicherungspläne und Datenschutz mit Verschlüsselung.

5. Nicht wissen, welche Daten in S3 gespeichert sind

Wenn Ihr Unternehmen wächst, wird es schwieriger, die Klassifizierung der in S3 gespeicherten Objekte zu kennen. Teams können leicht Fehler machen und zum Beispiel sensible Daten in einen Bucket hochladen, der nicht als Bucket für diese Datenklassifizierung konfiguriert wurde. In einem großen Maßstab ist es schwierig und zeitaufwändig, alles genau zu wissen.

Tun: Verwenden Sie Amazon Macie, um sensible Daten in großem Umfang zu entdecken. Als großen Bonus wird Amazon Macie auch über Ihre Sicherheitslage (Fehlkonfigurationen) berichten.

Die oben genannten Punkte sind nur Beispiele für häufige Fehler und nicht als Leitfaden für die ordnungsgemäße Nutzung von Amazon S3 gedacht. Die Absicht dieses Blogs ist es, Sie auf die häufigen Fallstricke bei S3 aufmerksam zu machen.