Sécuriser un bucket amazon s3

Best Practices : Sécurisé un bucket Amazon S3

AWS S3 est l’un des services fondamentaux de l’infrastructure AWS. Amazon Simple Storage Service (S3) est un service de stockage d’objets évolutif, rapide et fiable que vous pouvez utiliser pour stocker et récupérer n’importe quelle quantité de données, où que vous soyez dans le monde. Vous ne payez que pour ce que vous utilisez, vous avez le contrôle total de vos données et n’avez jamais à vous soucier des limites de quotas ou des frais de dépassement.

Amazon S3 fournit différentes fonctions de sécurité à prendre en compte lorsque vous développez et implémentez vos propres stratégies de sécurité.

Cet article de blog montre comment sécuriser vos  systèmes afin de prévenir les incidents de cybersécurité.

1 – Assurez-vous que vos buckets Amazon S3 utilisent les bonnes politiques (policies) et ne sont pas accessibles au public

À moins que vous ne demandiez explicitement à quiconque sur Internet de pouvoir lire ou écrire dans votre compartiment S3, vous devez vous assurer que votre compartiment S3 n’est pas public. Voici quelques-unes des mesures que vous pouvez prendre : 

  • Utilisez Amazon S3 pour bloquer l’accès public. Avec Amazon S3 bloquer l’accès public, les administrateurs de compte et les propriétaires de compartiment peuvent facilement configurer des contrôles centralisés pour limiter l’accès public à leurs ressources Amazon S3 qui sont appliquées quelle que soit la manière dont les ressources sont créées. 
  • Identifiez les policies Amazon S3 qui autorisent une identité générique telle que Principal « * »  ou autorisent une action générique « * » car ils permettent à n’importe quel utilisateur de faire des actions sur votre bucket. De même, identifiez les listes de contrôle d’accès (ACL) de bucket S3 qui fournissent un accès en lecture, en écriture ou complet à « Tout le monde » ou « Tout utilisateur AWS authentifié ».
  • Utilisez l’API ListBuckets pour analyser tous vos compartiments Amazon S3. Utilisez ensuite GetBucketAcl, GetBucketWebsite et GetBucketPolicy pour déterminer si le compartiment dispose de contrôles d’accès et d’une configuration à la norme. 

2 – Donner un accès suffisant pour effectuer une opération, ni plus, ni moins.

Lorsque vous accordez des autorisations, vous décidez qui obtient quelles autorisations pour quelles ressources Amazon S3. Vous activez les actions spécifiques que vous souhaitez autoriser sur ces ressources. Par conséquent, vous ne devez accorder que les autorisations requises pour effectuer une tâche. La mise en œuvre de l’accès au moindre privilège est fondamentale pour réduire les risques de sécurité et l’impact qui pourrait résulter d’erreurs ou d’intentions malveillantes.

3 – Utiliser les rôles IAM pour les applications et les services AWS qui nécessitent un accès Amazon S3

Pour que les applications sur Amazon EC2 ou d’autres services AWS accèdent aux ressources Amazon S3, elles doivent inclure des informations d’identification AWS valides dans leurs demandes d’API AWS. 

Vous ne devez pas stocker les informations d’identification AWS directement dans l’application ou l’instance Amazon EC2. 

Au lieu de cela, vous devez utiliser un rôle IAM pour gérer les informations d’identification temporaires pour les applications ou les services qui doivent accéder à Amazon S3. 

Lorsque vous utilisez un rôle, vous n’avez pas besoin de distribuer des informations d’identification à long terme (telles qu’un nom d’utilisateur et un mot de passe ou des clés d’accès) à une instance Amazon EC2 ou à un service AWS tel qu’AWS Lambda. Le rôle fournit des autorisations temporaires que les applications peuvent utiliser lorsqu’elles effectuent des appels vers d’autres ressources AWS.

4- Considérez les points de terminaison VPC pour l’accès à Amazon S3

Un point de terminaison de VPC pour Amazon S3 est une entité logique au sein d’un cloud privé virtuel (VPC) qui permet la connectivité uniquement à Amazon S3. Vous pouvez utiliser des stratégies de compartiment Amazon S3 pour contrôler l’accès aux compartiments à partir de points de terminaison de VPC spécifiques ou de VPC spécifiques. Un point de terminaison de VPC peut aider à empêcher le trafic de traverser potentiellement l’Internet ouvert et d’être soumis à un environnement Internet ouvert.

Les points de terminaison de VPC pour Amazon S3 offrent plusieurs façons de contrôler l’accès à vos données Amazon S3 :

  • Contrôler les demandes, les utilisateurs ou les groupes autorisés via un point de terminaison de VPC spécifique.
  • Contrôler quels VPC ou points de terminaison de VPC ont accès à vos compartiments S3 à l’aide de stratégies de compartiment S3.
  • Empêcher l’exfiltration de données en utilisant un VPC qui n’a pas de passerelle Internet.

Conclusion: 

Amazon S3 étant devenu l’une des solutions les plus populaires pour le stockage d’objets, la sécurité de S3 est également devenue cruciale. Comme AWS assure la sécurité du cloud en tant qu’utilisateurs, vous devez s’assurer de suivre les meilleures pratiques pour garantir la sécurité dans le cloud. Les étapes présentées dans ce guide ne sont qu’un début. Afin de mettre en œuvre une stratégie globale en matière de cybersécurité, il est également nécessaire de fournir un suivi constant de l’accès aux données afin de détecter les anomalies et les incidents potentiels.

Contactez-nous pour organiser un appel avec nos experts cloud et Devops pour savoir comment Pisquare peut vous aider à gérer votre infrastructure cloud.

Do you have a cloud project?