BLOG

A Nuvem Não Pode Proteger Você Contra Você Mesmo

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 27 de novembro de 2017

Segurança na nuvem. O termo em si não tem sentido sem qualificação. Você quer dizer a segurança da infraestrutura subjacente que compõe a “nuvem”? Ou talvez de APIs de comando e controle que permitem provisionar e gerenciar computação, armazenamento e serviços na “nuvem”?

Porque eu sei que você não estava pensando na capacidade dele de protegê-lo magicamente contra seus próprios erros. Você sabe, aqueles em que você altera propositalmente as políticas de segurança padrão nos buckets do Amazon S3 para permitir que qualquer pessoa com o endereço IP acesse os dados armazenados nele.

Se você acha que essa é uma ideia ridícula, você está certo. Mas você estaria errado em pensar que isso significa que organizações com habilidades de segurança decentes não fizeram exatamente isso.

Um exemplo: foi revelado recentemente que um certo integrador de sistemas deixou todos os tipos de dados interessantes abertos e disponíveis no Amazon S3 . Você sabe, coisas como credenciais e chaves privadas e tudo mais. O "erro" foi rapidamente corrigido, fomos informados, mas o fato é que, para chegar a um estado no S3 que seja aberto a qualquer pessoa, é necessária uma ação por parte de um operador.

Você deve destrancar a porta conscientemente. Por padrão, o Amazon S3 é provisionado com controles de segurança rigorosos com relação ao acesso. Da documentação da Amazon:

Por padrão, todos os recursos do Amazon S3 são privados, o que significa que somente o proprietário do recurso pode acessá-lo.

-- Definindo permissões de acesso a buckets e objetos

Então, para chegar a um estado em que qualquer pessoa com o endereço IP correto possa navegar no conteúdo de um bucket, é necessária uma ação consciente por parte de um ser humano.

O SI em questão não é o primeiro a ser vítima da própria desproteção do Amazon S3. Em fevereiro de 2017, o pesquisador Troy Hunt detalhou uma série fascinante de eventos de segurança de nuvem malsucedidos relacionados a um brinquedo de IoT, o Cloud Pets. Isso incluía “um bucket do Amazon S3 sem autorização específica necessária”. Em julho, soubemos que um dos três grandes provedores de serviços expôs registros de assinantes por meio do Amazon S3 mal configurado .

Para ilustrar o quão difundido esse problema é, o Rhino Security Labs ofereceu uma visão fascinante de seus testes do Amazon S3 nos 10000 sites do Alexa Top . Ele descobriu que “107 buckets (1,07%) foram encontrados com permissões de lista pertencentes a 68 domínios exclusivos. Destes 107 buckets, 61 (57%) tinham permissões de download abertas para qualquer pessoa que os visualizasse. 13 (12%) tinham permissões de upload aberto e 8% tinham todos os três.”

O download aberto já é ruim o suficiente, pois expõe os dados ao roubo. Mas upload aberto também? Isso é como encorajar os funcionários a clicar em e-mails de phishing.

A nuvem não pode proteger você de você mesmo. Seja por falta de portões de segurança , verificações ou supervisão, você não pode simplesmente abrir permissões no armazenamento em nuvem e esperar que ninguém as encontre. É como instalar um CFTV e deixar o acesso telnet aberto para o mundo exterior .

Opa, hein?

A questão é a seguinte. Aplicativos e dados são tão seguros quanto as políticas e procedimentos que você usa para protegê-los. Existem razões legítimas para que o armazenamento em nuvem, como o S3, permita acesso “aberto”. Mas, assim como as portas no seu firewall corporativo, você não deve configurá-las como totalmente abertas, a menos que haja um bom motivo. 

Se você não instituiu algum tipo de política que exija uma revisão da “segurança na nuvem” antes de ativar aquele aplicativo ou compartilhar aquele URL, você precisa fazê-lo. Agora mesmo. Tipo, pare de ler e vá trabalhar nisso.

Não seja seu pior inimigo. Verifique suas políticas e procedimentos e certifique-se de que eles alinhem a segurança com a importância e o uso designado dos dados que você está armazenando na nuvem.

Somente você pode evitar que as configurações incorretas do S3 se tornem manchetes.

Se você precisar de ajuda para bloquear buckets do Amazon S3, a Amazon fornece não apenas documentação , mas também ferramentas para ajudar