Aufgabenverteilung in Sachen Sicherheit Unberechtigte Zugriffe auf Amazon S3 Buckets blockieren

Autor / Redakteur: Bertram Dorn / Peter Schmitz

Sicherheit und Compliance können Dienstanbieter und Administratoren in Unternehmen nur gemeinsam erreichen. Ein Beispiel ist das Aufzeigen von Zugriffen auf Amazon Simple Storage (Amazon S3) Buckets durch den AWS Identity and Access Management (IAM) Access Analyzer und deren Kontrolle durch den IT-Administrator im Unternehmen.

Firma zum Thema

Ein Beispiel für die Zusammenarbeit von Dienstanbieter und Kunde ist das Aufzeigen von Zugriffen auf Amazon S3 Buckets durch den AWS Identity and Access Management (IAM) Access Analyzer.
Ein Beispiel für die Zusammenarbeit von Dienstanbieter und Kunde ist das Aufzeigen von Zugriffen auf Amazon S3 Buckets durch den AWS Identity and Access Management (IAM) Access Analyzer.
(Bild: gemeinfrei / Pixabay )

Im Rahmen des Modells einer geteilten Verantwortung ist der Dienstanbieter für die „Sicherheit der Cloud“ zuständig und schützt die gesamte Infrastruktur, in der seine Cloud-Dienste ausgeführt werden. Dazu zählen Hardware, Software, das Netzwerk sowie die Einrichtungen, auf und in denen die Dienste ausgeführt werden.

Der Kunde seinerseits bleibt für seine eigene „Sicherheit in der Cloud“ verantwortlich. Ein Beispiel: Im Fall von Amazon Elastic Compute Cloud (Amazon EC2) können seine Aufgaben das Gastbetriebssystem und dessen Verwaltung enthalten. Im selben Kontext ist die Unternehmens-IT ist auch für die Sicherheit der Anwendungen oder für die Konfiguration der von AWS bereitgestellten Paketfilter verantwortlich. Weitere Aufgaben im Beispiel Amazon EC2 sind das Einspielen von Updates, insbesondere von Sicherheitspatches. Der genaue Umfang seiner Zuständigkeiten hängt von den genutzten Diensten, ihrer Integration in die IT-Umgebung sowie von den geltenden Gesetzen und Vorschriften ab.

Gemeinsame Zugangskontrolle mit dem AWS IAM Access Analyzer

Sicherheit lässt sich also nur gemeinsam verwirklichen. Ein Beispiel für ein effektives Zusammenspiel von Diensten und Kunden ist das Aufzeigen von Zugriffen auf Amazon S3 Buckets durch den AWS Identity and Access Management (IAM) Access Analyzer und deren Kontrolle durch die Unternehmens-IT.

Der IAM Access Analyzer zeigt dem Administrator die Zugriffsmöglichkeiten auf S3 Buckets, die über Access Points gemeinsam genutzt werden. Darauf aufbauend kann dieser unbeabsichtigte Zugriffe erkennen.

In den S3 Buckets lassen sich auch kritische Daten speichern und der Zugriff skaliert verwalten. Über die Amazon S3 Access Points funktioniert das auch mit gemeinsam genutzten Datensätzen. Dabei werden für einzelne Anwendungen eindeutige Host-Namen (Access Points) erstellt, die einem Bucket zugeordnet sind. Mithilfe der Access-Point-Richtlinien lassen sich die entsprechenden Berechtigungen zuweisen.

Um herauszufinden, auf welche Buckets öffentlich oder von anderen AWS-Konten zugegriffen werden kann, analysiert IAM Access Analyzer die Ressourcen-bezogenen Richtlinien, das heißt: Access-Point-Richtlinien, Bucket-Richtlinien und Bucket-ACLs. Dadurch erkennt er Zugriffe auf S3 Buckets, die über Access Points erfolgen, und kann bei einer unbeabsichtigten, öffentlichen oder AWS-bezogenen gemeinsamen Nutzung gegensteuern – etwa durch Einschränken des Bucket-Zugriffs oder durch das bewährte Prinzip der Vergabe minimaler Berechtigungen.

Überblick über den IAM Access Analyzer

Für die Darstellung, auf welche Ressourcen öffentlich oder von einem anderen Konto beziehungsweise einer anderen Organisation zugegriffen werden kann, nutzt der Access Analyzer eine mathematische Analyse der Richtlinien für die Zugriffskontrolle und verknüpft diese mit den Ressourcen. Bei diesem so genannten Automated Reasoning werden logische Schlussfolgerungen angewendet, um alle möglichen Zugriffspfade zu bestimmen, die gemäß einer Ressourcenrichtlinie erlaubt sind. Damit zeigt der IAM Access Analyzer sicher und umfassend auch unbeabsichtigte Bucket-Zugriffe auf. Aktivieren lässt er sich über die IAM-Konsole: Hier wählen Sie Access Analyzer, um das Analyseprogramm für ein Konto oder eine Organisation zu erstellen.

So identifizieren Sie mit dem IAM Access Analyzer einen S3 Bucket, der über einen Access Point gemeinsam genutzt wird

IAM-Access-Analyzer-Bericht mit den Ergebnissen für Ressourcen, die außerhalb eines Kontos gemeinsam genutzt werden.
IAM-Access-Analyzer-Bericht mit den Ergebnissen für Ressourcen, die außerhalb eines Kontos gemeinsam genutzt werden.
(Bild: AWS)

Sobald der Analyzer aktiv ist, zeigt er alle Ressourcen an, die öffentlich oder von anderen AWS-Konten beziehungsweise Organisationen aus zugänglich sind. In den S3-Bucket-Ergebnissen zeigt die Spalte Shared through an, ob ein Bucket über die S3-Bucket-Richtlinie, einen seiner Access Points oder über die Bucket-ACL geteilt wird. In der Abbildung unten beispielsweise erfolgt die gemeinsame Nutzung über einen Access Point, wie der erste Eintrag zeigt.

Der IAM Access Analyzer liefert Details für einen Bucket, der über einen Access Point gemeinsam genutzt wird.
Der IAM Access Analyzer liefert Details für einen Bucket, der über einen Access Point gemeinsam genutzt wird.
(Bild: AWS)

Wenn Sie den Zugang zu einem Bucket über Access Points verwalten und einer der Buckets über einen Access Point gemeinsam genutzt wird, steht in der jeweiligen Spalte 'Access Point'. Wenn Sie darauf klicken, sehen Sie unter Shared through den Amazon Resource Name (ARN) des Zugangspunkts, der den Zugriff auf den Bucket gewährt, sowie Details zu den Ressourcen und zu den Vollmachtgebern. Wenn Sie den Zugriff nicht beabsichtigt haben, können Sie die Richtlinie ändern und ihn so entfernen.

Bericht "Access Analyzer for S3 findings" in der S3 Management Console.
Bericht "Access Analyzer for S3 findings" in der S3 Management Console.
(Bild: AWS)

Die Ergebnisse lassen sich auch in der S3-Managementkonsole mit Access Analyzer für S3 anzeigen. Hier werden S3 Buckets aufgelistet, die so konfiguriert sind, dass sie jedem den Zugriff auf das Internet oder andere AWS-Konten ermöglichen – auch auf Konten außerhalb der eigenen AWS-Organisation. So ist der my-test-public-bucket im Beispiel unten auf den öffentlichen Zugriff mit einer Bucket-Richtlinie und Bucket-ACL eingestellt. Zusätzlich möglich ist der Zugriff auf andere AWS-Konten über eine Bucket-Richtlinie sowie über einen oder mehrere Access Points. Wurde ein Bucket mit unbeabsichtigtem Zugriff identifiziert, lässt sich der öffentliche Zugriff auf den Bucket blockieren. Zu diesem Zweck setzt Amazon S3 die entsprechenden Bucket-Richtlinien sowie die jeweiligen Access-Point-Richtlinien außer Kraft.

Über den Autor: Bertram Dorn ist Principal Solutions Architect Security and Compliance bei Amazon Web Services.

(ID:47060782)