Se você usa AWS, com certeza conhece o Simple Storage Service, principal produto de armazenamento desse provedor. Mas será que você e seu time sabem como utilizar o S3 de forma segura?
Confira agora quais são as principais recomendações de segurança no Amazon S3 e como começar a implementá-las.
1. Cuidado com buckets públicos
Quando algumas políticas do S3 permitem acesso irrestrito aos seus buckets, isso aumenta consideravelmente as oportunidades de atividades e ataques maliciosos. Para evitar esses problemas, existem alguns recursos oferecidos pela própria AWS no S3. Confira:
Acesso restrito por padrão
É importante encontrar os buckets com acesso irrestrito (público) e verificar se eles de fatos devem estar abertos a qualquer usuário. Em caso de imagens do site da empresa hospedados no Amazon S3, o acesso público é justificável. Por outro lado, dados sensíveis como nome e e-mail de clientes devem sempre estar protegidos.
Pensando nisso, no momento da criação de um novo objeto, o próprio S3 apresenta a opção de acesso público desabilitada. Ainda assim, é importante que você verifique o estado dos objetos e buckets atualmente existentes na sua nuvem e, se necessário, restrinja o acesso àqueles que hoje estejam abertos.
Modalidades de permissão
Na AWS, você estabelece políticas de acesso baseadas em recurso, podendo associar uma política de acesso padrão a determinado serviço, como o S3. Há duas formas de permissionamento, que são independentes: a permissão para acesso a determinados buckets e a permissão para acesso a determinados objetos.
De forma simples, as permissões de acesso do bucket determinam quais usuários têm autorização para acessar os objetos em um bucket e quais tipos de permissão de acesso esses usuários têm. Já as permissões de acesso de objeto determinam quais pessoas têm autorização para acessar o objeto e quais tipos de acesso eles têm. Assim, dizemos que essas duas modalidades são independentes, porque um objeto não herda as permissões de seus buckets.
Essa distinção é bastante útil para que você possa disponibilizar acesso a objetos específicos – e somente a eles – para determinado usuário, independentemente de onde esses objetos estejam alocados. Veja aqui como definir permissões em buckets e em objetos do S3.
Listas de controle de acesso (Access Control Lists, ACL)
As ACL fazem parte do conjunto de opções disponíveis no Amazon S3 para ajudar a proteger seus objetos armazenados. As ACLs são adequadas para cenários específicos, pois através delas você pode conceder permissões básicas de leitura ou gravação a outras contas da AWS. Este é um ponto importante: as listas de controle de acesso servem apenas para conceder essa permissão a usuários externos à conta que as gerencia.
Por exemplo, se um proprietário de bucket permitir que outras contas da AWS enviem objetos, as permissões para esses objetos só poderão ser gerenciadas usando a ACL de objeto pela conta da AWS que possui o objeto. Veja aqui como criar e gerenciar uma ACL no seu S3.
Entenda, nesse post, os riscos de ter seus dados expostos no S3 e como algumas atitudes simples podem ajudar a minimizá-los.
2. Ative o versionamento de seus buckets
O versionamento no S3 é um recurso que garante a manutenção de diversas versões de um objeto em seu respectivo repositório (bucket). Ativando o recurso de controle de versão, você pode recuperar facilmente de ações não intencionais do usuário e de falhas de aplicativos.
Imagine que uma pessoa com permissão de edição acabe deletando, por engano, determinado objeto de um dos buckets da sua empresa. Se a opção de versionamento estiver habilitada, o S3 adicionará a esse objeto um marcador de exclusão, em vez de apagá-lo permanentemente. Assim, se necessário, o objeto poderá ser facilmente restaurado, recuperando-se a versão anterior.
Da mesma maneira, se um objeto for substituído por outro, isso também fará com que o S3 crie uma nova versão. Caso você precise, é possível reverter essa substituição.
Muito melhor, né? Veja aqui como configurar o versionamento de seus buckets e melhorar a segurança de seus objetos contra ações maliciosas ou acidentais.
Vale lembrar que cada versão do objeto será cobrada individualmente.
3. Habilite os logs do Amazon S3
É altamente recomendado que você mantenha os logs do S3 ativos, porque, dessa forma, você tem visibilidade detalhada do histórico de solicitações dos objetos armazenados. No S3, é possível definir um intervalo de tempo específico para visualizar os logs de determinado objeto. Para habilitar, simplesmente acesse o bucket, selecione a aba Properties e escolha o bucket onde os logs serão salvos.
Atenção: o S3, por padrão, não coleta logs de acesso ao servidor. Por isso, você deve lembrar de ativar essa função quando criar novos objetos e fazer isso também com todo o volume armazenado atualmente na sua nuvem.
A habilitação de logs no S3 pode ter, ainda, uma importância especial: auditorias de segurança de sua aplicação. Nesse ponto, é importante contatar o time responsável por compliance na sua empresa e pensar em conjunto quais alterações técnicas devem ser realizadas para fortalecer a segurança de seus objetos e, especialmente, assegurar a conformidade legal de sua aplicação.
Não sabe como habilitar os logs dos seus buckets no S3? Confira este passo a passo.
4. Adicione encriptação a seus objetos
A encriptação dos dados é capaz de protegê-los durante seu trânsito, para dentro ou para fora do S3, bem como durante o período em que eles permanecem armazenados.
Modalidades de encriptação
O Amazon S3 oferece duas opções de encriptação de objetos: do lado do servidor e do lado do cliente.
A criptografia do lado do servidor significa que a AWS vai proteger o objeto antes de salvá-lo em seu datacenter. Quando você fizer o download desse objeto, ele será desencriptado e poderá ser acessado normalmente. Já a criptografia do lado do cliente é aquela em que você tem controle sobre os processos de criptografia, as chaves de criptografia e as ferramentas relacionadas a esse processo. Nesse segundo caso, os objetos são encriptados antes do upload na plataforma da AWS.
O S3 se destaca entre os produtos da AWS como um dos poucos em que se é possível encriptar dados antigos. Em serviços como RDS e disco EBS, por exemplo, não é possível encriptá-los caso já não sejam criados assim. Nesses casos é necessário criar uma imagem, encriptá-la e criar um novo disco ou um novo banco de dados, com a imagem encriptada.
Encriptação automática
Pensando em oferecer ainda mais segurança para seus usuários, a AWS permite ainda que você configure a encriptação como um padrão nos seus buckets do S3. Com essa funcionalidade, você pode definir a criptografia para que todos os objetos pertencentes àquele bucket sejam protegidos dessa maneira.
Nesse processo automático, os objetos são criptografados usando criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou chaves gerenciadas pelo AWS Key Management Service (SSE-KMS).
Aprenda neste passo a passo como habilitar essa funcionalidade para todos os seus buckets.
Como a CleanCloud pode ajudar você
Se você já desanimou pensando na quantidade de itens para verificar na sua nuvem, temos uma boa notícia! Com o nosso Optimize, os itens mencionados nesse post são verificados automaticamente em sua nuvem.
Caso alguma falha de segurança seja identificada no seu S3, essa informação fica disponível para você em um gráfico dinâmico. Veja, abaixo, uma situação em que são identificados 91 itens vulneráveis, entre eles 25 buckets com acesso irrestrito:
Ao selecionar determinado insight, você poderá ver detalhes sobre essa verificação. No caso dos buckets com acesso irrestrito, por exemplo, é possível visualizar o nome do diretório, a região em que ele está alocado e em que momento ele foi identificado como vulnerável. Veja:
Gerenciar seus recursos de nuvem pode parecer cada dia mais difícil, pois o volume de armazenamento e processamento aumenta a cada ano, na realidade da maioria das organizações. Por isso, é importante contar com ferramentas que automatizem tarefas e ajudem sua empresa a melhorar sua segurança.
Com a CleanCloud, você tem acesso ainda a outras verificações de segurança, relacionadas ao IAM e a muitos produtos da AWS além do S3.
Gostou? Entre em contato com nosso time pelo team@cleancloud.com.br e tire suas dúvidas 🙂
Leia também: Como reduzir seus custos de EC2 com instâncias spot.
