Blog de Amazon Web Services (AWS)

Prevención, investigación y medidas de respuesta en Bucket S3

Por Kimmy Wu, Arquitecto de Soluciones en AWS

 

Amazon Simple Storage Service (S3) está diseñado para facilitar el almacenamiento de objetos. Cuando crea un bucket, la propiedad es total de la cuenta de AWS que lo creó y no es transferible. Por lo tanto, según el modelo de responsabilidad compartida de AWS, en el que el cliente es responsable de la “seguridad en la nube”, las acciones y las operaciones de configuración que garantizarán la seguridad de los datos almacenados en el bucket  son responsabilidad del propietario de la cuenta de AWS.
Al igual que todas las soluciones de AWS, siempre buscamos primero la seguridad y nada cambia con el bucket S3, ya que puede almacenar datos confidenciales de su empresa. Es necesario tomar medidas para proteger sus datos, ya que estar expuesto en Internet puede generar pérdidas significativas para su empresa.
Aunque el bucket se crea de como privado de forma predeterminada, siempre es susceptible a errores humanos. De esta forma, cubriremos 3 maneras de manejar la seguridad de sus datos dentro de un bucket S3:

 

1. Medidas preventivas

La seguridad preventiva tiene como objetivo utilizar medidas de seguridad que eviten posibles errores que puedan ocurrir.

Un paso inicial e importante es el cifrado. Amazon S3 proporciona el cifrado predeterminado del bucket de S3, por lo que todos los objetos nuevos se cifran cuando se almacenan en él. La clave puede gestionarla Amazon S3 (SSE) o las claves maestras del cliente (CMKs) almacenadas en AWS Key Management Service (AWS KMS).

El uso del cifrado del lado del servidor garantiza que el objeto se cifra antes de almacenarlo y descifrarlo al descargarlo. Cada objeto de forma predeterminada dentro del bucket S3 está expuesto por una URL con HTTPS que garantiza el cifrado de canal.

La configuración se puede realizar a través de la línea de comandos o a través de la consola de AWS accediendo a la pestaña de propiedades dentro de su bucket.

 

 

Otra opción sería el cifrado del lado del cliente, ya que el objeto ya está cifrado antes de enviarlo al almacenamiento S3, por lo que AWS no lo administra.

 

2. Medidas de investigación

Siempre es importante tener control de acceso y poder ver las acciones que se han producido en el bucket de S3. Con esto, el registro y la supervisión son esenciales para que pueda investigar acciones inesperadas en su bucket, como la eliminación de objetos importantes, la exposición de datos confidenciales, entre otros. Las capacidades de registro y seguimiento dentro de los buckets de S3 también ayudan a las empresas que necesitan auditoría.

Para hacerlo con tan solo unos clics es posible activar los registros de su bucket S3, al hacerlo el bucket recogerá los registros y los almacenará en otro bucket de destino. El registro de acceso al servidor proporciona detalles sobre la solicitud de acceso, incluida información sobre el solicitante, el nombre del bucket, el tiempo de solicitud, la acción de la solicitud, el estado de la respuesta y el código de error.

Cuando está habilitado, todos los registros se recopilarán y almacenarán en otro bucket en la misma región que definirá como bucket de destino. También puede poner un prefijo antes de todo el registro que cree, lo que facilita la búsqueda en los registros.

Aunque no está habilitado de forma predeterminada, puede realizar ajustes mediante la consola, de AWS o la línea de comandos .

 

 

Cuando pensamos en el nivel de objeto, AWS CloudTrail admite el registro de operaciones de API en el nivel de objeto Amazon S3, GetObject, DeleteObject  y PutObject, almacenando así las acciones realizadas en el objeto. También puede poner un prefijo antes de todo el registro que cree, lo que facilita las consultas y futuras auditorías.

Es importante recordar que primero debe crear la configuración de CloudTrail, que se encuentra en la misma región que su bucket. Puede iniciar el registro en el nivel de objeto mediante la consola de AWS o la línea de comandos.

 

 

Una buena práctica consiste en aislar el bucket de registro en una cuenta de auditoría para que no se puedan realizar cambios en los datos, lo que garantiza la inmutabilidad de los datos.

 

3. Medidas de respuesta

A pesar de todas las medidas de seguridad que ayudarán en la protección preventiva e investigativa de los datos de su empresa, todo falla todo el tiempo, por lo que es importante contar con guías y medidas automatizadas que actúen sobre el problema de manera asertiva y rápida. Para ello, AWS Config utiliza soluciones a partir de reglas definidas, de acuerdo con las políticas de su empresa, para garantizar el cumplimiento de un bucket nuevo o existente. Una vez creada la regla se le mostrará dentro de la consola los buckets que no están en cumplimiento. AWS Config proporciona varias reglas administradas pero también puede crear sus reglas personalizadas.

 

 

Además de las reglas, puede crear acciones de corrección automáticas que garanticen que los buckets cumplen con las reglas definidas. Al crear la acción para la regla, debe utilizar IAM para garantizar el permiso de AWS Config para realizar los cambios.

Este blog mostró algunas formas sencillas de mejorar la seguridad de los datos de su empresa. Aunque se centra en el servicio Amazon S3, se pueden aplicar indicaciones de medidas preventivas, de investigación y de respuesta a otros servicios.

 

 

Sobre el autor

Kimmy Wu es Arquitecto de Soluciones y responsable de ayudar a los clientes empresariales con enfoque financiero a crear cargas de trabajo que permitan su viaje de transformación digital a la nube de AWS.

 

 

 

Revisor

Armando Barrales Hernandez es Arquitecto de Soluciones en AWS México.