tadamichi - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

AWS se mueve para frenar las fugas de datos de S3

Amazon presenta nuevas configuraciones para ayudar a los usuarios a evitar fugas de datos de S3, pero Chris Vickery, de UpGuard, quien descubrió la mayoría de las exposiciones de AWS, duda que los cambios terminen con el problema.

Amazon está intentando una vez más ofrecer a los usuarios nuevas configuraciones en un esfuerzo por limitar las configuraciones erróneas que llevaron a una serie de fugas de datos de AWS S3, pero el analista de seguridad que descubrió muchas de las fugas está dudoso del impacto que tendrán las configuraciones.

La nueva configuración de AWS se divide en dos opciones para dos escenarios diferentes: deshabilitar el acceso público al grupo S3 y bloquear la creación de grupos públicos de S3 a través de listas de control de acceso (ACL) o políticas públicas, con la capacidad de cambiar la configuración por lotes y asegurar cubos contra fugas de datos S3 accidentales.

Jeff Barr, evangelista jefe de AWS, dijo que la nueva configuración, llamada Amazon S3 Block Public Access, debería hacer que "le resulte más fácil proteger sus cubos y objetos".

"Este es un nuevo nivel de protección que funciona en el nivel de la cuenta y también en grupos individuales, incluidos los que cree en el futuro. Tiene la capacidad de bloquear el acceso público existente (ya sea que haya sido especificado por una ACL o una política) y garantizar que no se conceda acceso público a los elementos recién creados", escribió Barr en una publicación de blog. "Si se usa una cuenta de AWS para alojar un lago de datos u otra aplicación comercial, el bloqueo del acceso público servirá como una protección a nivel de cuenta contra la exposición pública accidental. ¡Nuestro objetivo es dejar claro que el acceso público debe usarse para alojamiento web!".

El problema de las exposiciones de AWS llegó a primer plano en 2017, después de que Chris Vickery, director de investigación de riesgo cibernético en UpGuard, con sede en Mountain View, California, encontró cubos de S3 de acceso público del Departamento de Defensa, Comité Nacional Republicano, Verizon, Dow Jones y más.

Estos cambios son el último esfuerzo realizado por Amazon para limitar las configuraciones erróneas que podrían provocar fugas de datos de S3. En noviembre de 2017, Amazon hizo más obvio qué grupos se establecieron en público frente a los privados, se hizo de forma gratuita para verificar si se establecieron algunos grupos de S3 como públicos, y se enviaron correos electrónicos a los propietarios de grupos públicos para llamar la atención sobre el problema.

Pero, Vickery dijo que a pesar de que estas acciones provocaron la desaparición de muchos grupos públicos, "también observamos que persisten muchos más grupos con información confidencial y que se crearon nuevos desde entonces con datos confidenciales y de acceso público".

"Las nuevas características de seguridad de Amazon probablemente tendrán el mismo efecto que sus esfuerzos previos: Asegurarán algunos depósitos, pero el problema general persistirá en una escala masiva. Debido a que siempre que sea posible configurar mal un sistema, la gente lo hará", dijo Vickery. "Agregar nuevas capacidades que facilitan la configuración del almacenamiento de S3 para que sea privado no es lo mismo que eliminar la posibilidad de configurarlo para que sea público. Mientras los depósitos de S3 puedan configurarse para el acceso público, habrá exposiciones de datos a través de grupos de S3. Abordar esto requeriría cambios fundamentales en la plataforma que aún no hemos visto".

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close