S3-Bucket-Fehlkonfiguration
Was ist S3-Bucket-Fehlkonfiguration?
S3-Bucket-FehlkonfigurationFehlkonfiguration eines Amazon-S3-Buckets (oder vergleichbaren Objektspeichers), die Objekte freigibt, unerwünschte Schreibzugriffe erlaubt oder zu breiten Cross-Account-Zugriff gewährt.
S3-Bucket-Fehlkonfigurationen sind eine häufige und besonders folgenschwere Unterkategorie der Cloud-Fehlkonfiguration. Typische Formen sind öffentliche Read-/Write-ACLs, Bucket Policies mit Principal: "*", fehlendes Block Public Access, schlechte Object Ownership, ACLs, die mit Policies kollidieren, fehlende Standardverschlüsselung, deaktiviertes Logging und vorab signierte URLs mit zu langer Lebensdauer. Da Buckets über ihren DNS-Namen aus dem Internet erreichbar sind, kann ein einziger Fehler Terabytes an Kundendaten, Quellcode oder Backups offenlegen. Gegenmaßnahmen: kontoweites S3 Block Public Access, Policies, die Nicht-TLS- und unverschlüsselte Zugriffe verbieten, IAM Access Analyzer, SCPs und kontinuierliche Prüfungen via CSPM. Vergleichbare Probleme bestehen in Azure Blob Storage und Google Cloud Storage.
● Beispiele
- 01
Ein S3-Bucket mit public-read-ACL, der Backup-Dateien freigibt.
- 02
Bucket Policy, die irrtümlich s3:GetObject an Principal: "*" erlaubt.
● Häufige Fragen
Was ist S3-Bucket-Fehlkonfiguration?
Fehlkonfiguration eines Amazon-S3-Buckets (oder vergleichbaren Objektspeichers), die Objekte freigibt, unerwünschte Schreibzugriffe erlaubt oder zu breiten Cross-Account-Zugriff gewährt. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet S3-Bucket-Fehlkonfiguration?
Fehlkonfiguration eines Amazon-S3-Buckets (oder vergleichbaren Objektspeichers), die Objekte freigibt, unerwünschte Schreibzugriffe erlaubt oder zu breiten Cross-Account-Zugriff gewährt.
Wie schützt man sich gegen S3-Bucket-Fehlkonfiguration?
Schutzmaßnahmen gegen S3-Bucket-Fehlkonfiguration kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für S3-Bucket-Fehlkonfiguration?
Übliche alternative Bezeichnungen: Öffentlicher S3-Bucket.