CDRとは何か?現代のサイバーセキュリティにおいてなぜ重要なのか

今すぐ読む
サイト翻訳には人工知能を利用しており、正確性を追求しておりますが、必ずしも100%正確とは限りません。ご了承ください。
ホーム/ ブログ / AWS S3設定のベストプラクティス:HTTPSを使用する...
ファイル・セキュリティ

AWS S3構成のベストプラクティス:HTTPS (TLS) を使用して転送中のデータを保護する

By OPSWAT
この記事を共有する

前回のブログ では、ヒューマンエラーや設定ミスによる致命的な障害を回避するための飛行前チェックリストの歴史を探った。今回のブログでは、重要なパブリック・クラウド・ストレージのセキュリティ・チェックについて掘り下げてみよう。

暗号化されていないトラフィックは、転送中のデータを盗んだり変更したりする中間者攻撃(man-in-the-middle attack)に対して脆弱であるためです。この種の攻撃は、貴重な企業データの損失や、PCI DSS や NIST 800-53 (rev 4) などの規制のコンプライアンス違反につながる可能性があります。

アマゾンは、オペレーショナルエクセレンス、セキュリティ、信頼性、パフォーマンス効率、コスト最適化に関するベストプラクティスの達成を支援するために、AWS Well-Architected Frameworkを策定した。Security Pillarは、セキュアなAWSワークロードの設計、デリバリー、およびメンテナンスにおけるベストプラクティスを実装するためのガイダンスを提供します。

アマゾンのファイルアップロードs3チェックリストとセキュリティ設定スコアのスクリーンショット

責任の共有

Shared Responsibility(責任の共有)」というコンセプトは、Security Pillarの基盤の一つである。アマゾンによると、AWSは「クラウドのセキュリティ」に責任を持ち、顧客は「クラウドにおけるセキュリティ」に責任を持つ。これらの顧客の責任には、アイデンティティとアクセス管理、脅威の検出、インフラ保護、データ保護、インシデント対応などが含まれる。

データ保護

データ保護には、データの分類に加え、静止中のデータおよび転送中のデータの保護が含まれる。アマゾンによれば

トランジット中のデータとは、あるシステムから別のシステムへ送信されるデータのことである。これには、ワークロード内のリソース間の通信だけでなく、他のサービスとエンドユーザー間の通信も含まれます。転送中のデータに適切なレベルの保護を提供することで、ワークロードのデータの機密性と完全性を保護することができます。

アマゾンは、転送中のデータを保護するための4つのベストプラクティスを紹介している:

  • セキュアな鍵および証明書管理の実装
  • 輸送中の暗号化の実施
  • ネットワーク通信の認証
  • 意図しないデータアクセスの自動検出

    トランスポート層のセキュリティ

    転送中の暗号化を強制するために、AWS サービスは通信に TLS を使用する HTTPS エンドポイントを提供する。AWS Configは、ベストプラクティスを実施するために簡単に設定できる、定義済みでカスタマイズ可能な多数のマネージドルールを提供する。これらのルールのうち、s3-bucket-ssl-requests-only は、Amazon S3 バケットに HTTP リクエストへのアクセスを明示的に拒否するポリシーがあるかどうかをチェックします。HTTPをブロックせずにHTTPSを許可するバケットポリシーは、非準拠と見なされます。

    組織は、"aws:SecureTransport " 条件キーでこのルールを強制することができる。このキーがtrueの場合、リクエストはHTTPSで送信されたことになるが、falseの場合はHTTPリクエストへのアクセスを明示的に拒否するバケットポリシーが必要になる。

    Amazonは、"aws:SecureTransport "が "false "の場合にアクセスを拒否するバケットポリシーの例を提供しています:"false "である:

    {
 "Id": "ExamplePolicy",
 "Version": "2012-10-17",
 "Statement": [
 {
 "Sid": "AllowSSLRequestsOnly",
 "Action": "s3:*",
 "Effect": "Deny",
 "Resource": [
 "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
 "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
 ],
 "Condition": {
 "Bool": {
 "aws:SecureTransport": "false"
 }
 },
 "Principal": "*"
 }
 ]
}


    図:バケット・ポリシーの例


    よくある設定ミスを防ぐOPSWAT

    HTTPS (TLS)のような一般的な設定ミスに関しては、組織はチェックリストを使用して、ベストプラクティスを確実に実施すべきである。このプロセスをテクノロジーで自動化すれば、時間とコストのかかる手作業によるミスを避けることができる。

    MetaDefender Storage Securityこれにより、サイバーセキュリティの専門家は、クラウドストレージの開発段階と本番段階を含むプロビジョニング時に、組織のクラウドストレージが誤って設定されていないことを確認することができる。

    バケツデータへのアクセスに HTTPS(TLS)を強制することは、MetaDefender Storage Security における重要なチェック項目ですが、それだけではありません。今後のブログでは、Bucket のバージョン管理、サーバサイドの暗号化、Bucket へのアクセスロギングなど、静止状態のデータを保護するためのその他の主要な設定エラーについて説明します。

    詳細については、OPSWAT サイバーセキュリティの専門家にお問い合わせください。

    最新の投稿

    OPSWAT ニュースレター

    OPSWAT 最新情報を、イベント情報とともにお届けします。 業界を牽引するニュースをお届けします。
    サインアップする

    ソーシャルメディアでフォローする

    LinkedIn、Facebook、Twitter、YouTubeでOPSWAT !

    OPSWATで最新情報をお届けします!

    今すぐご登録ください、 ストーリー、イベント情報などをお届けします。
    購読する