Amazon Web Services は、同社がホストする S3 クラウド バケットが顧客によって誤ってインターネットに公開されたために引き起こされるデータ漏洩の蔓延を阻止するための措置を講じている。
したがって、吸い上げられる個人情報やその他の情報が詰まった、誤って設定された公開 S3 サイロを探している情報セキュリティ研究者が増えている場合、大金を稼ぐのが少し難しくなり、面倒になるかもしれません。
もちろん、これは人々が新しいセキュリティ機能に注目し、活用することを前提としています。私たちは期待していません。
AWSエバンジェリスト(つまりマーケティング担当者)のジェフ・バー氏は本日、クラウドストレージへのパブリックアクセスをブロックする包括的なポリシーをアカウント全体に設定できる新しい制御セットを発表しました。これはS3バケットとアクセス制御リスト(ACL)に適用できます。
保護機能が導入されると、バケットに配置されたオブジェクトはパブリックアクセスやクロスアカウントアクセスをブロックされます。Barr氏によると、この保護機能はS3バケットの管理者とエンドユーザーの両方に、パブリックアクセスは極めて限定的な範囲に限定されており、ウェブホスティングなどの用途にのみ有効にすべきであり、社内文書の一般的な保管には有効にすべきではないことを明確に示すことを目的としています。
問題は、S3 はウェブサイトで公開したいファイルの保存に使用できるだけでなく、クラウド上のプライベートデータも保存でき、結果的に誤って公開されてしまうことです。AWS が、ファイルのプライベートストレージと公開ウェブページの素材をより厳密に分離する方法を見つけてくれれば素晴らしいでしょう。当面は、前述の包括的なポリシーが適用されます。
米軍のソーシャルメディアスパイ活動に関する膨大なアーカイブがAWS S3バケットに公開されたまま
続きを読む
「これは、アカウントレベルだけでなく、将来作成するバケットも含めた個々のバケットにも機能する新しいレベルの保護です」とバー氏は説明した。
既存のパブリックアクセス(ACLまたはポリシーで指定されたもの)をブロックし、新しく作成されたアイテムにパブリックアクセスを付与しないようにすることができます。AWSアカウントをデータレイクやその他のビジネスアプリケーションのホスティングに使用している場合、パブリックアクセスをブロックすることで、アカウントレベルでの偶発的な公開を防ぐことができます。
バー氏は、管理者は引き続き必要に応じてアクセス制御を調整できると指摘しています。例えば、あるバケット内の特定のオブジェクトにパブリックアクセスが必要な場合、管理者は引き続きその特定の設定メニューにアクセスし、ケースバイケースでパブリックアクセスを有効にすることができます。
昨年のニュースの見出しをざっと見れば、Amazonがなぜ新しいアクセス制御を導入するのかは一目瞭然です。数十件もの注目を集めた情報漏洩事件は、S3バケットやオブジェクトがパブリックアクセスを許可するよう不適切に設定されていたために発生しており、偶然バケットにアクセスした人なら誰でも機密データにアクセスできてしまう状態でした。
Amazon はバケットの露出を制限する措置を講じているが (新しいインスタンスはデフォルトでプライベートに設定されていると Barr 氏は述べた)、研究者は、何らかの理由でバケット全体または個別のオブジェクトで設定が変更されたストレージ サイロに引き続き遭遇している。
昨年の今頃、Amazonは管理者向けのダイアログボックスの追加やグループ管理ポリシーの改善など、より責任ある行動の促進に努めていました。しかし、それだけでは不十分だったようで、AWSはさらに厳格化しています。
ここで、新しいコントロールが役立ちます。AWS は、すべてのアクセスとポリシーの変更をデフォルトでブロックする包括的なオプションを提供することで、パブリックおよびアカウント間の可視性に対する意図しない変更に対する追加の保護層を提供したいと考えています。®
