Пользователи Amazon S3 смогут обеспечить более высокую степень безопасности данных и снизить вероятность ошибки при конфигурировании облачного хранилища благодаря пяти новым функциям. Об этом компания сообщила в своем блоге.

Истории известны многочисленные случаи утечек критически важных данных, произошедшие из-за неправильной конфигурации так называемых «корзин» — виртуальных хранилищ Amazon. Администраторы зачастую оставляли в открытом доступе конфиденциальную информацию. Например, в августе этого года исследователи Kromtech обнаружили уязвимость в облаке Groupize — компании, которая помогает клиентам организовывать встречи и бронировать отели. Были скомпрометированы формы авторизации кредиток, включая данные карт, даты окончания срока их действия и CVV-коды. Также в открытом доступе нашелся полный список избирателей Чикаго, а также данные 14 млн клиентов Verizon на стороннем хранилище, открытом всему миру. Подрядчик частной военной компании TigerSwan, компания Talent Pen, по недосмотру оставила на публичном сервере  резюме сотрудников и соискателей. Все эти утечки случились только за лето 2017 года.

Чтобы снизить негативный эффект от ошибок в конфигурации, нововведения Amazon предусматривают применение шифрования ко всем объектам без исключения. Таким образом, при занесении объекта в «корзину» он будет автоматически зашифрован, и при этом администратору не придется создавать отдельную папку для незашифрованных файлов, как это было раньше.

Кроме того, в консоли управления появится заметный желтый индикатор Public, который будет сообщать администратору сервера, если какая-либо из «корзин» открыта для публичного доступа. Это сократит время для обнаружения ошибки конфигурирования и позволит избежать утечек, насколько это возможно. Также администратор сможет легко определить, какой из элементов политики доступа (ACL, Bucket Policy или оба) «виновен» в том, что данные оказались в публичном доступе.

Обновление Amazon также упрощает управление политиками доступа к объектам в S3 с разных аккаунтов (например, в географически распределенных компаниях). При репликации объектов происходит перемещение всех относящихся к ним ACL (Access Control Lists) и меток, но теперь эта функция доработана таким образом, что контроль над перемещаемой «корзиной» безопасно делится между двумя администраторами. Последние могут копировать объекты, зашифрованные при помощи ключей, управляемых через AWS Key Management Service, что оставляет данные зашифрованными, но облегчает жизнь администраторам, которым не придется управлять ключами самостоятельно.

Наконец, в новом AWS предусмотрены автоматически генерируемые ежедневные или еженедельные отчеты о статусе шифрования каждого объекта в S3. Эти отчеты, конечно, придется просматривать, но это еще один шаг в борьбе с человеческим фактором, который часто является причиной компрометации данных с серьезными последствиями.

Обновления вступают в силу незамедлительно и бесплатны для всех пользователей, уточнили в Amazon.

Категории: Главное, Кибероборона