Le cloud ne peut pas vous protéger de vous-même
Sécurité du cloud. Le terme lui-même n’a en réalité aucun sens sans qualification. Voulez-vous parler de la sécurité de l’infrastructure sous-jacente qui constitue le « cloud » ? Ou peut-être des API de commande et de contrôle qui vous permettent de provisionner et de gérer le calcul, le stockage et les services dans le « cloud » ?
Parce que je sais que tu ne pensais pas à sa capacité à te protéger comme par magie contre tes propres faux pas. Vous savez, ceux où vous modifiez délibérément les politiques de sécurité par défaut sur les buckets Amazon S3 pour permettre à toute personne disposant de l'adresse IP d'accéder aux données qu'il stocke.
Si vous pensez que c’est une idée ridicule, vous avez raison. Mais vous auriez tort de penser que cela signifie que les organisations dotées de bonnes compétences en matière de sécurité n’ont pas fait exactement cela.
Prenons un exemple concret : il a récemment été révélé qu’un certain intégrateur de systèmes avait laissé toutes sortes de données intéressantes ouvertes et disponibles dans Amazon S3 . Vous savez, des trucs comme les identifiants, les clés privées et tout ça. L'« erreur » a été rapidement corrigée, nous dit-on, mais il n'en demeure pas moins que pour arriver à un état dans S3 qui soit ouvert à tous, il faut une action de la part d'un opérateur.
Vous devez consciemment déverrouiller la porte. Amazon S3 est doté par défaut de contrôles de sécurité stricts en matière d'accès. Extrait de la documentation d’Amazon :
Par défaut, toutes les ressources Amazon S3 sont privées, ce qui signifie que seul le propriétaire de la ressource peut accéder à la ressource.
-- Définition des autorisations d'accès aux buckets et aux objets
Donc, pour que n’importe qui disposant de la bonne adresse IP puisse parcourir le contenu d’un bucket, il faut une action consciente de la part d’un être humain.
Le SI en question n'est pas le premier à être victime de sa propre non-sécurisation d'Amazon S3. En février 2017, le chercheur Troy Hunt a détaillé une série fascinante d'événements de sécurité cloud ratés liés à un jouet IoT, Cloud Pets. Cela incluait « un compartiment Amazon S3 sans autorisation spécifique requise ». En juillet, nous avons appris que l'un des trois plus grands fournisseurs de services avait exposé les enregistrements des abonnés via Amazon S3 mal configuré .
Pour illustrer à quel point ce problème est répandu, Rhino Security Labs a offert une vue fascinante de ses tests d'Amazon S3 sur les 10 000 meilleurs sites Alexa . Il a été constaté que « 107 buckets (1,07 %) ont été trouvés avec des autorisations de liste appartenant à 68 domaines uniques. Parmi ces 107 buckets, 61 (57 %) disposaient d'autorisations de téléchargement ouvertes à toute personne les consultant. 13 (12 %) disposaient d’autorisations de téléchargement ouvertes et 8 % disposaient des trois.
Le téléchargement ouvert est déjà assez mauvais car il expose les données au vol. Mais le téléchargement ouvert aussi ? C’est comme encourager les employés à cliquer sur un e-mail de phishing.
Le cloud ne peut pas vous protéger contre vous-même. Qu'il s'agisse d'un manque de barrières de sécurité , de contrôles ou de surveillance, vous ne pouvez pas simplement ouvrir les autorisations sur le stockage cloud et espérer que personne ne les trouvera. C'est comme installer un système de vidéosurveillance et laisser l'accès Telnet ouvert au monde extérieur .
Oups, hein ?
Voilà le truc. Les applications et les données ne sont sécurisées que dans la mesure où les politiques et les procédures que vous utilisez pour les protéger. Il existe des raisons légitimes pour lesquelles le stockage en cloud comme S3 permet un accès « ouvert ». Mais tout comme les ports de votre pare-feu d’entreprise, vous ne devez pas les ouvrir complètement, sauf s’il existe une très bonne raison.
Si vous n’avez pas mis en place une sorte de politique exigeant un examen de la « sécurité du cloud » avant d’activer cette application ou de partager cette URL, vous devez le faire. Tout de suite. Arrête de lire et mets-toi au travail.
Ne soyez pas votre pire ennemi. Vérifiez vos politiques et procédures et assurez-vous qu’elles alignent la sécurité avec l’importance et l’utilisation prévue des données que vous stockez dans le cloud.
Vous seul pouvez empêcher que les mauvaises configurations de S3 ne fassent la une des journaux.
Si vous avez besoin d'aide pour verrouiller les compartiments Amazon S3, Amazon fournit non seulement de la documentation , mais également des outils pour vous aider .