YES3 Scanner je alat otvorenog koda koji skenira i analizira više od 10 različitih konfiguracijskih stavki za vaše S3 bucket-e u AWS-u. Ovo uključuje pristupe kao što su javni pristup putem ACL-ova i bucket politika – uključujući složene kombinacije postavki naloga i bucket-a koje mogu efektivno učiniti S3 bucket javnim.
„Napravili smo ovaj alat nakon što smo shvatili da potencijalnim korisnicima treba bolji način da skeniraju svoje S3 resurse u cilju provjere pristupa i zaštite od ransomware-a. Željeli smo alat koji ne samo da otkriva probleme s pristupom, već i provjerava dodatne slojeve sigurnosti, uključujući zaštitu od ransomware prijetnji,“ rekao je Jason Kao, osnivač kompanije Fog Security, za Help Net Security.
Kada su procjenjivali trenutno dostupne alate – kako komercijalne tako i besplatne – za sigurnosnu procjenu S3 okruženja, Kao i njegov tim su uočili značajne nedostatke. „Primijetili smo probleme sa postojećim alatima, pa čak i s određenim sigurnosnim i usklađenosnim okvirima, uključujući lažno negativne i lažno pozitivne rezultate, kao i zbunjujuće i nepotpune informacije,“ istakao je.
Dodatni izazov predstavlja i to što je AWS uveo nove funkcije kao što su podrazumijevana enkripcija, blokiranje javnog pristupa (Block Public Access), i mogućnost onemogućavanja ACL-ova u posljednjih nekoliko godina. Iako ove funkcije nude dodatne slojeve zaštite, Kao napominje da one takođe mogu zakomplikovati procjenu stvarnog stanja sigurnosti podataka u AWS okruženju.
Upravo tu kompleksnost YES3 Scanner nastoji riješiti. „Jedinstvenost YES3 Scannera potiče iz našeg razumijevanja načina na koji različite S3 konfiguracijske stavke međusobno funkcionišu,“ objasnio je Kao. Dodao je da mnogi alati na tržištu pružaju samo djelimičan uvid. „Sigurnost zahtijeva sveobuhvatno i potpuno razumijevanje svih relevantnih konfiguracija. Zato smo razvili YES3.“
YES3 Scanner provjerava sljedeće konfiguracijske stavke za S3:
- Liste kontrole pristupa za bucket (ACL)
- Bucket politika (politike bazirane na resursima)
- Postavke za bucket kao web stranicu
- Blokiranje javnog pristupa na nivou naloga
- Blokiranje javnog pristupa na nivou bucket-a
- Onemogućeni ACL-ovi (putem kontrole vlasništva)
- Postavke enkripcije bucket-a
- Konfiguracija zaključavanja objekata (Object Lock)
- Postavke verzionisanja bucket-a
- Konfiguracija životnog ciklusa bucket-a
Planovi za budućnost i preuzimanje
„Naši budući planovi uključuju proširenu analizu S3 i konfiguracije cloud-a, kao što su logovi, kako bismo pružili sveobuhvatnu sigurnost protiv neautorizovanog pristupa i ransomware prijetnji u cloud-a. Takođe planiramo slušati zahtjeve korisnika kako bismo poboljšali alat za njihove specifične potrebe. Uz to, planiramo razviti detaljnije slojeve zaštite – i na nivou više naloga (organizacioni nivo) i na nivou pojedinačnih objekata/podataka unutar S3,“ objasnio je Kao.
YES3 Scanner je besplatan i dostupan na GitHubu.
Izvor:Help Net Security