更新顧客が次々と AWS S3 のセキュリティを台無しにし、機密性の高いファイルをインターネット上に公開しているのを見て、Amazon は対応しました。
ダッシュボードの警告インジケーター付き。シンプルで、効果も期待できます。
ここ数ヶ月、研究者らがS3バケットを発見したという報告をしてきました。これらのバケットには機密情報や極めて個人情報が詰まっており、偶然データストアを見つけた悪意ある人物が盗み出すのを待っている状態です。アクセンチュア、ベライゾン、バイアコム、イリノイ州の有権者情報、そして軍事情報が、IT担当者のS3サイロの設定ミスにより、オンライン上の誰にでも不用意に公開されていたことが判明しました。
数週間前、私たちはAmazonに、Regの読者(文字通りテクノロジー業界で働く何百万人もの人々)に向けて、AWSでホストされているシステムを安全にロックダウンし、詮索好きな目から守る方法についてアドバイスを求めました。同社の広報担当者はためらいがちに答え、その後は沈黙が続きましたが、ついに解決策が提示されました。
AWSのチーフエバンジェリスト、ジェフ・バー氏は本日のブログ投稿で、クラウドサービスにおける5つの新しいセキュリティ機能を発表しました。特に、AmazonはS3バケットのオープン問題に対し、非常にハイテクなソリューション、つまり黄色とオレンジ色のボタンで対処しています。
警告: S3 バケットが公開されているため、このオレンジ色の警告が表示されます... クリックして拡大
皮肉はさておき、率直に言って現状よりは何でもよかったと思っています。また、権限設定時に警告バーが表示されるので、プロジェクトの秘密を漏らさないように注意を促されます。さらに、本日発表されたS3ユーザー向けのセキュリティ面での非常にありがたい追加機能もいくつかあり、非常に役立つはずです。
AWSがLightsailに何百万も請求してくる気まずい瞬間
続きを読む
まず、ユーザーはバケット暗号化設定を有効化できます。これにより、バケットにドロップされたすべてのファイルが例外なく自動的に暗号化されます。サブスクライバーはキーマネージャーを使用してデータへのアクセスを制御し、PUTリクエストを介してAES-256などの使用する暗号化アルゴリズムを選択できます。
マルチリージョンアカウントをロックダウンするため、Amazonはバケットコンテンツに対するアクセス制御リストの適用範囲を拡大しました。管理者はファイルへのアクセス権限を設定でき、ファイルが別のリージョンに複製される際に、これらの設定も自動的に転送されます。ユーザーがAWS Key Management Serviceを使用している場合、暗号化されたファイルをリージョン間で複製しても、Key Management Service経由でアクセス可能です。追加の安全対策として、管理者がロックダウンされているものとそうでないものを簡単に確認できる、新しいインベントリレポート画面も用意されています。
総じて言えば、これらはAWSにとって非常に歓迎すべき追加機能になるでしょう。しかも、Amazonはこれらを無償で提供しています。今後、人間がこれらの機能を使い忘れる可能性が出てくるか注目されますが、S3バケットがオープンになって機密情報を漏洩するという話が減ることを期待しています。®
追加更新
アマゾンの最新セキュリティシステムは役立つが、計画にある重大な欠陥のせいで十分ではないと、セキュリティ企業アップガードのクリス・ビッカリー氏はザ・レジスター紙に語った。
「結局は人次第です」と、S3バケットの脆弱性を暴くハンターは説明した。「安全でないストレージサイトを作る選択肢を人々に与えれば、たとえどれだけ安全に作れるとしても、それを実行する人は必ずいるのです。」
質問に対し、ヴィッカリー氏は、もし自分がアマゾンの責任者だったら、ユーザーが設定を上書きしたり誤設定したりできない安全なストレージプラットフォームを構築するだろうと述べた。しかし、それは実現しないだろうと指摘し、むしろ制約が多く、収益性が著しく低下するだろうと指摘した。
新しいツールも今のところそれほど大きな効果は見られないようです。ヴィッカリー氏は今朝、オープン状態のS3バケットをスキャンしたところ、セキュリティ強化は遡及適用されていないようだと述べています。たとえS3アカウントが最終的にロックダウンされたとしても、他にやるべきことはあるのです。
「Amazonに移る前に、MongoDBデータベースでこの仕事を始めました」と彼は言った。「終わりは見えません。常に何かを探す必要があるのです。」
PS: Amazon は、Xen ハイパーバイザーから独自のカスタム KVM ソフトウェアに切り替えています。
