.jpg)
מי שעקב אחרי הטרנדים החמים בעולמות האבטחה, כנראה שם לב לכמות העצומה של פרצות נתונים שמקורן היה ב-S3 Buckets לא מאובטחים של אמזון.
ארגונים כמו FedEx, Capital One Bank, Verizon ואפילו US Defense Contractors סבלו מחשיפת מידע רגיש וסודי עקב הגדרה לא נכונה של שרתי האחסון בענן שלהם. למעשה, הבעיה החמירה כל כך, שמספר חוקרי אבטחה אפילו שלחו "אזהרות ידידותיות" לשרתים פרוצים בהם נתקלו, וייעצו לבעליהם לחשוב שוב על רמת האבטחה שלהם:
בסוף 2017, AWS הכריזה שהיא מתכוונת להשתמש ב"אזהרות הגלולה הכתומה" בלוחות המחוונים של האדמינים, אשר יפרסמו אזהרה בכל פעם שבאקט הוגדר להיות נגיש לכל.
בהחלט מדובר בצעד שהיה בכיוון הנכון, אבל כאשר אנחנו עדיין ממשיכים לשמוע על פרצות מידע חוזרות ונשנות, ניתן להסיק שנותרה עבודה רבה בכדי להגיע לפתרון אמיתי.
למזלנו, אמזון הכריזה על פיצ'ר חדש – AWS Identity & Access Management Access Analyzer, המעניק (בין היתר) את האפשרות לפקח על מדיניות הגישה ל-S3 Bucket ומספק התראות במידה ויש באקט אחסון בענן המוגדר לאפשר גישה לכל אחד ברשת, או כזה ששותף עם חשבונות AWS אחרים.
עם פיצ'ר זה, תוכלו להימנע מהגדרות לא נכונות שעלולות לגרום למידע רגיש להיחשף, מה שעלול "במקרה הטוב" לפגוע בשם הארגון שלכם, ובמקרה הרע, לעשות נזק של ממש עבורכם ועבור הלקוחות שלכם. בזכות כלי זה תוכלו גם להגיב להתראה בזמן אמת ולחסום כל גישה פומבית בקליק אחד, ולאחר מכן להשתמש באפשרויות הדיווח שלו בכדי להבין את טבע הבעיה ובכך לתת פתרון מלא לבעיה.
מיותר לציין שייתכן מאוד שישנם נתונים שאמורים להיות משותפים לציבור הרחב (למשל, דפי האתר שלכם), ולכן ניתן לסמן אותם כציבוריים בכוונה תחילה ובכך להימנע מאזהרות חוזרות ונשנות. מלבד הבאקטים של אמזון, ניתן להשתמש בכלי בכדי לנתח את ההרשאות שניתנו באמצעות פוליסות עבור AWS KMS keys, Amazon SQS queues, AWS IAM roles ו- AWS Lambda Functions. כלל אצבע בכל הנוגע לאבטחה הוא לעקוב אחרי כל רכיב בענן שלכם, ולוודא שהוא מקבל את כמות ההרשאות המינימלית שהוא צריך בכדי לפעול, ובכך לחסוך הרבה כאב ראש.
על מנת לאפשר את השימוש בפיצ'ר, האדמינים צריכים להיכנס לקונסולת ה-IAM ולאפשר את ה-AWS Identity and Access Management Access Analyzer. לאחר מכן, היא תופיע בקונסול של S3 Management.
אין ספק שמדובר בפיצ'ר נכון וחשוב מטעם אמזון, אשר יכול לעזור לחברות למנוע זליגת מידע דרך שרתים שהוגדרו בצורה לא טובה. מה שכן, "ההתראה" היא רק חצי מהקרב. המטרה העיקרית היא לגרום לכלל הארגונים להבין את החשיבות והבעייתיות של העניין, ולהניע אותם לטפל בו בהתאם, בכדי שפרצות אלו לא יחזור יותר לעולם.
מאת: מערכת IsraelClouds
רוצים להתעדכן בתכנים נוספים בנושאי אבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה
מי שעקב אחרי הטרנדים החמים בעולמות האבטחה, כנראה שם לב לכמות העצומה של פרצות נתונים שמקורן היה ב-S3 Buckets לא מאובטחים של אמזון.
ארגונים כמו FedEx, Capital One Bank, Verizon ואפילו US Defense Contractors סבלו מחשיפת מידע רגיש וסודי עקב הגדרה לא נכונה של שרתי האחסון בענן שלהם. למעשה, הבעיה החמירה כל כך, שמספר חוקרי אבטחה אפילו שלחו "אזהרות ידידותיות" לשרתים פרוצים בהם נתקלו, וייעצו לבעליהם לחשוב שוב על רמת האבטחה שלהם:
בסוף 2017, AWS הכריזה שהיא מתכוונת להשתמש ב"אזהרות הגלולה הכתומה" בלוחות המחוונים של האדמינים, אשר יפרסמו אזהרה בכל פעם שבאקט הוגדר להיות נגיש לכל.
בהחלט מדובר בצעד שהיה בכיוון הנכון, אבל כאשר אנחנו עדיין ממשיכים לשמוע על פרצות מידע חוזרות ונשנות, ניתן להסיק שנותרה עבודה רבה בכדי להגיע לפתרון אמיתי.
למזלנו, אמזון הכריזה על פיצ'ר חדש – AWS Identity & Access Management Access Analyzer, המעניק (בין היתר) את האפשרות לפקח על מדיניות הגישה ל-S3 Bucket ומספק התראות במידה ויש באקט אחסון בענן המוגדר לאפשר גישה לכל אחד ברשת, או כזה ששותף עם חשבונות AWS אחרים.
עם פיצ'ר זה, תוכלו להימנע מהגדרות לא נכונות שעלולות לגרום למידע רגיש להיחשף, מה שעלול "במקרה הטוב" לפגוע בשם הארגון שלכם, ובמקרה הרע, לעשות נזק של ממש עבורכם ועבור הלקוחות שלכם. בזכות כלי זה תוכלו גם להגיב להתראה בזמן אמת ולחסום כל גישה פומבית בקליק אחד, ולאחר מכן להשתמש באפשרויות הדיווח שלו בכדי להבין את טבע הבעיה ובכך לתת פתרון מלא לבעיה.
מיותר לציין שייתכן מאוד שישנם נתונים שאמורים להיות משותפים לציבור הרחב (למשל, דפי האתר שלכם), ולכן ניתן לסמן אותם כציבוריים בכוונה תחילה ובכך להימנע מאזהרות חוזרות ונשנות. מלבד הבאקטים של אמזון, ניתן להשתמש בכלי בכדי לנתח את ההרשאות שניתנו באמצעות פוליסות עבור AWS KMS keys, Amazon SQS queues, AWS IAM roles ו- AWS Lambda Functions. כלל אצבע בכל הנוגע לאבטחה הוא לעקוב אחרי כל רכיב בענן שלכם, ולוודא שהוא מקבל את כמות ההרשאות המינימלית שהוא צריך בכדי לפעול, ובכך לחסוך הרבה כאב ראש.
על מנת לאפשר את השימוש בפיצ'ר, האדמינים צריכים להיכנס לקונסולת ה-IAM ולאפשר את ה-AWS Identity and Access Management Access Analyzer. לאחר מכן, היא תופיע בקונסול של S3 Management.
אין ספק שמדובר בפיצ'ר נכון וחשוב מטעם אמזון, אשר יכול לעזור לחברות למנוע זליגת מידע דרך שרתים שהוגדרו בצורה לא טובה. מה שכן, "ההתראה" היא רק חצי מהקרב. המטרה העיקרית היא לגרום לכלל הארגונים להבין את החשיבות והבעייתיות של העניין, ולהניע אותם לטפל בו בהתאם, בכדי שפרצות אלו לא יחזור יותר לעולם.
מאת: מערכת IsraelClouds
רוצים להתעדכן בתכנים נוספים בנושאי אבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר