Appliquer des contrôles d’accès Cloud pour éviter l’exposition de ses données
Plusieurs expositions de données récentes ont impliqué des buckets Amazon S3 mal configurés. Dave Shackleford souligne l’importante d’un contrôle rigoureux des accès Cloud.
Un chercheur a découvert une base de données d’électeurs gérée par le conseil national du parti républicain américain, accidentellement accessible au public. Les données personnelles de 198 millions d’électeurs ont ainsi été exposées. Selon UpGuard, la base de données en question était hébergée dans un bucket Amazon S3 dépourvu de contrôle d’accès et de mécanisme d’authentification.
Ce genre de mésaventure est devenu bien trop courant. En fait, UpGuard a également mis la main sur quantité de données classifiée, ouvertes à tous les vents, sur un autre bucket S3 mal configuré, en mai dernier. Et en juillet dernier, ce sont des données clients de Verizon qui ont ainsi été exposées par son sous-traitant Nice Systems.
Il y a de nombreuses leçons à retirer de ces événements. La première est que les pratiques de sécurité de base apparaissent largement oubliée lorsque l’on utilise des services Cloud, et en particulier du stockage en mode Cloud.
Mais le manque de contrôle, de gouvernance et d’évaluation du risque associé au stockage de données sensibles en mode Cloud est encore plus préoccupant. Comment se fait-il que ces données se soient trouvées là ? Qu’aussi peu d’attention leur ait été accordées une fois qu’elles y ont été déposées ? Ce sont des questions sur lesquelles toutes les DSI doivent se pencher, rapidement.
Toutes les données déplacées dans le Cloud doivent être classées suivant les politiques internes – et réglementaires. Et un examen des politiques et des risques associés au Cloud devrait idéalement déterminer si des données peuvent être ou pas transférées dans le Cloud. Si c’est le cas, il existe de nombreuses pratiques de références que les entreprises devraient suivre pour s’assurer que le recours au Cloud est étroitement contrôlé et surveillé.
Pour prévenir un incident tel que l’exposition d’espaces de stockage Cloud, les organisations ont besoin d’un niveau plus élevé d’examen et de surveillance. L’utilisation d’un service de passerelle d’accès Cloud sécurisé (CASB) peut aider, pour de nombreux services Cloud, à suivre et contrôler les usages. Dans certains cas, un CASB pourrait même prévenir, voire même détecter et alerter lorsque des données sensibles sont transmises à des environnements Cloud.
Au-delà de cela, il revient aux équipes de sécurité de définir et de contrôler les accès aux environnements de stockage Cloud. Les buckets Amazon S3 offrent de nombreux contrôles dont les utilisateurs d’AWS devraient se servir. Il existe ainsi plusieurs contrôles d’accès et niveaux de permissions. Mais pour les données sensibles, les entreprises devraient à la fois exiger des contrôles d’accès stricts et une supervision et journalisation des activités en continu.
Il y a deux manières principales de contrôler les accès aux buckets Amazon S3 et à leur contenu. La première est la plus simple, accessible via la console graphique d’administration S3, dans les réglages de liste de contrôle d’accès : là, il est possible de définir des contrôles de base pour les utilisateurs authentifiés et anonymes. Par défaut, le propriétaire d’un bucket S3 dispose d’un accès en lecture/écriture à tout le contenu, jusqu’aux permissions. La seconde méthode est plus contraignante, mais bien plus granulaire. Elle implique de définir des politiques avec AWS Identity and Access Management.
Une fois que les contrôles d’accès sont configurés, il existe de nombreux outils à dispositions des équipes de test d’intrusion et d’évaluation des vulnérabilités, pour les mettre à l’épreuve et analyser la posture de sécurité générale. L’outil d’interface en ligne de commande d’AWS peut être utilisé pour administrer les buckets et lister à distance leurs politiques.
Le spécialiste indépendant du test d’intrusion Robin Wood a écrit un outil appelé Bucket Finder, qui peut être utilisé pour explorer en force brute l’espace de nommage de S3 à la recherche de buckets. Mais il existe d’autres outils de découverte et d’analyse, comme S3 Knock, Lazy S3 et AWS Scan.
Quels que soient les outils utilisés, les organisations doivent définir leurs politiques dès le départ, contrôler les flux de données vers les espaces de stockage Cloud, via un CASB en mode service ou en local, et surveiller en continu leurs buckets S3 et autres nœuds de stockage Cloud. Pour s’assurer qu’ils soient bien sécurisés de manière conforme à leurs politiques internes et à leur impératifs réglementaires.