AWS S3 允許應用程式將資料儲存在儲存桶中。 顧名思義,儲存桶可以儲存任何類型的數據,從完全非結構化資料到完全結構化資料。 應用程式可以將任何類型的資料轉儲到儲存桶中,然後在需要時檢索它。 對任何類型資料的支援使 S3 儲存桶成為雲端資料儲存的靈活工具。 然而,它也可能為雲端資料可見性和資料安全性帶來重大挑戰。 在雲端共享責任模型下,組織負責其儲存在 S3 儲存桶中的資料的安全性。
AWS S3 儲存桶可以設定為可公開存取或不可公開存取。 目前,S3儲存桶預設是非公開的;然而,情況並非總是如此。 整合到 S3 儲存桶中的預設私有暴露和其他安全設定是 Amazon 持續增強 S3 儲存桶和 AWS 安全性的結果。
然而,雖然許多新的安全性增強功能內建於新部署的 S3 儲存桶中,但這些更新不會追溯部署到組織的現有 S3 儲存桶中。 因此,在切換到非公開暴露之前就一直使用 S3 的公司可能會擁有預設公開暴露的儲存桶。 同樣,早於其他安全增強功能(例如 Amazon CloudFront Origin Access Control)的 S3 儲存桶也可能缺乏這些保護。
理論上,公司應該手動將安全更新部署到舊版 S3 儲存桶,但這可能是一項具有挑戰性的工作。 缺乏全面的雲端可見性可能意味著公司不知道包含公司資料的 S3 儲存桶,因此無法推出新的安全功能。 在其他情況下,應用程式安全性更新(例如配置 S3 儲存桶以進行非公開存取)可能會破壞關鍵業務流程。
舊版 S3 儲存桶可能會為組織帶來重大安全風險。 在可能的情況下,公司應嘗試識別舊版 S3 儲存桶並套用安全更新。 如果這不可行,則應在企業風險管理(ERM) 系統中為舊儲存桶分配風險因素。
組織面臨的一些主要 S3 儲存桶安全挑戰包括:
S3 儲存桶使組織能夠在雲端大規模儲存非結構化資料。 然而,雖然 S3 儲存桶提供了許多好處,但如果監控和管理不當,它們也會帶來安全風險。 如果公司擁有早於 S3 安全性最新進展且不會自動追溯應用的舊版 S3 儲存桶,則尤其如此。
Check Point CloudGuard為安全團隊提供了保護雲端環境所需的工具,包括 AWS S3 儲存桶。 CloudGuard 可以協助識別企業 S3 儲存桶、審核其安全配置,並協助安全團隊彌補安全漏洞並保護 S3 儲存桶免受攻擊。 Check Point CloudGuard 還為身分識別和存取管理(IAM) 提供直覺支持,並使公司能夠跨多雲端部署實現安全標準化。
確保 AWS 部署安全的第一步是識別存在的安全漏洞。 若要詳細了解您目前的 AWS 安全狀況,請立即參加免費的AWS 雲端資安檢查。
反映意見