La nube no puede protegerte de ti mismo.
Seguridad en la nube. El término en sí mismo carece de sentido sin ninguna calificación. ¿Te refieres a la seguridad de la infraestructura subyacente que conforma la “nube”? ¿O quizás de API de comando y control que le permitan aprovisionar y administrar computación, almacenamiento y servicios en la “nube”?
Porque sé que no estabas pensando en su capacidad de protegerte mágicamente contra tus propios errores. Ya sabe, aquellos en los que cambia deliberadamente las políticas de seguridad predeterminadas en los buckets de Amazon S3 para permitir que cualquier persona con la dirección IP acceda a los datos que almacena.
Si piensas que es una idea ridícula, tienes razón. Pero sería un error pensar que eso significa que las organizaciones con conocimientos de seguridad decentes no han hecho precisamente eso.
Un ejemplo concreto: recientemente se reveló que un determinado integrador de sistemas había dejado todo tipo de datos jugosos abiertos y disponibles en Amazon S3 . Ya sabes, cosas como credenciales y claves privadas y todo eso. El 'error' fue rápidamente solucionado, nos dijeron, pero el hecho es que para llegar a un estado en S3 que esté abierto a cualquiera se requiere una acción por parte de un operador.
Debes abrir la puerta conscientemente. De forma predeterminada, Amazon S3 está provisto de estrictos controles de seguridad con respecto al acceso. De la documentación de Amazon:
De forma predeterminada, todos los recursos de Amazon S3 son privados, lo que significa que solo el propietario del recurso puede acceder al recurso.
-- Configuración de permisos de acceso a contenedores y objetos
Por lo tanto, para llegar a un estado en el que cualquier persona con la dirección IP correcta pueda examinar el contenido de un depósito se necesita una acción consciente por parte de un ser humano.
La SI en cuestión no es la primera en ser víctima de su propia falta de seguridad en Amazon S3. En febrero de 2017, el investigador Troy Hunt detalló una fascinante serie de eventos fallidos de seguridad en la nube relacionados con un juguete de IoT, Cloud Pets. Esto incluía “un bucket de Amazon S3 que no requería autorización específica”. En julio nos enteramos de que uno de los tres grandes proveedores de servicios expuso registros de suscriptores a través de Amazon S3 mal configurado .
Para ilustrar cuán generalizado es este problema, Rhino Security Labs ofreció una vista fascinante de sus pruebas de Amazon S3 en los 10000 sitios principales de Alexa . Se encontraron “107 grupos (1,07 %) con permisos de lista pertenecientes a 68 dominios únicos. De estos 107 grupos, 61 (57%) tenían permisos de descarga abiertos para cualquiera que los viera. 13 (12%) tenían permisos de carga abiertos y el 8% tenía los tres”.
La descarga abierta es bastante mala, ya que expone los datos al robo. ¿Pero también subir archivos abiertos? Eso es como animar a los empleados a hacer clic en un correo electrónico de phishing.
La nube no puede protegerte de ti mismo. Ya sea por falta de puertas de seguridad , controles o supervisión, no puedes simplemente abrir permisos en el almacenamiento en la nube y esperar que nadie los encuentre. Eso es como instalar un circuito cerrado de televisión y dejar el acceso telnet abierto al mundo exterior .
Ups, ¿eh?
Aquí está la cuestión. Las aplicaciones y los datos son tan seguros como las políticas y los procedimientos que utilice para protegerlos. Existen razones legítimas para que el almacenamiento en la nube como S3 permita el acceso “abierto”. Pero, al igual que los puertos de su firewall corporativo, no debería configurarlos completamente abiertos a menos que haya una muy buena razón.
Si no ha instituido algún tipo de política que requiera una revisión de la “seguridad en la nube” antes de activar esa aplicación o compartir esa URL, debe hacerlo. Ahora mismo. O sea, deja de leer y ponte a trabajar en eso.
No seas tu peor enemigo. Revise sus políticas y procedimientos, y asegúrese de que alineen la seguridad con la importancia y el uso designado de los datos que almacena en la nube.
Sólo usted puede evitar que las configuraciones incorrectas de S3 se conviertan en titulares.
Si necesita ayuda para bloquear los buckets de Amazon S3, Amazon proporciona no solo documentación sino también herramientas para ayudarlo .