AWS voegt twee nieuwe standaardbeveiligingsinstellingen toe aan Amazon S3. Die moeten een einde maken aan organisaties die per ongeluk publieke toegang geven tot hun buckets.
Amazon S3 (Simple Storage Service) zal vanaf april 2023 Block Public Access standaard inschakelen en toegangscontrolelijsten uitschakelen voor nieuwe buckets. Het gaat om instellingen die al beschikbaar waren via de S3-beheerconsole en nu by default ingesteld staan. AWS kondigt deze wijzigingen aan het beveiligingsbeleid aan in een blog.
De cloudprovider wilt het zo eenvoudiger maken voor gebruikers van S3 om de toegang tot de buckets te regelen. Dat blijkt ook nodig, want hoewel AWS bevestigt dat buckets altijd al afgeschermd waren voor externe toegang, bleken gebruikers moeite te hebben met het vinden en configureren van de juiste instellingen. In de jaren 2017 en 2018 regende het incidenten van bedrijven die zonder het te beseffen externen vrije toegang gaven tot hun dataemmers.
lees ook
Opensource-tool zoekt naar gevoelige data in publieke AWS S3-buckets
De toegang ontzeggen
AWS rolde daarom in 2018 de Block Public Access-functie uit en in 2021 volgde de mogelijkheid om het ingewikkelde systeem van de toegangscontrolelijsten te vervangen door AWS Identity and Access Management (IAM). Miljoenen gebruikers zouden die wijzigingen al zelf hebben doorgevoerd, maar sommige bedrijven hebben altijd een extra handje hulp nodig.
Door deze instellingen standaard te maken, zou het volgens AWS zo goed als onmogelijk zijn dat gebruikers per ongeluk externen toegang geven tot hun databuckets. Dit kan alleen nog als ze dit bewust zo configureren via het S3-beheerdashboard.
De wijzigingen zullen ingaan vanaf april 2023 in alle AWS-regio’s waar Simple Storage Service beschikbaar is. In deze blog geeft de provider tips voor hoe bedrijven zich kunnen voorbereiden op de beleidsaanpassingen. De nieuwe regels gelden ook enkel voor nieuw aangemaakte buckets. Voor huidige buckets moeten bedrijven de externe toegang en de controlelijsten nog steeds zelf aanpassen.