Amazon S3 est un service qui vous permet de stocker de grandes quantités de données.
Amazon S3 fournit plusieurs options pour atteindre la protection des données au repos. Les options incluent Permission (Politique), Encryption (Côté client et côté serveur), Bucket Versioning et MFAbasé sur la suppression. L'utilisateur peut activer l'une de ces options pour atteindre la protection des données. La réplication des données est une fonctionnalité interne d'AWS où S3 réplique automatiquement chaque objet à travers toutes les zones de disponibilité et l'organisation n'a pas besoin de l'activer dans ce cas.
Avec des permissions basées sur les ressources, vous pouvez définir des permissions pour les sous-répertoires de votre bucket séparément.
Bucket Versioning et suppression basée sur MFA
Lorsque la versioning de bucket est activée, toute action qui tente de modifier un fichier à l'intérieur d'un fichier générera une nouvelle version du fichier, conservant également le contenu précédent de celui-ci. Par conséquent, cela ne remplacera pas son contenu.
De plus, la suppression basée sur MFA empêchera les versions de fichiers dans le bucket S3 d'être supprimées et également la désactivation de la versioning de bucket, donc un attaquant ne pourra pas modifier ces fichiers.
Journaux d'accès S3
Il est possible d'activer la connexion d'accès S3 (qui est désactivée par défaut) pour un bucket et de sauvegarder les journaux dans un autre bucket pour savoir qui accède au bucket (les deux buckets doivent être dans la même région).
URLs pré-signées S3
Il est possible de générer une URL pré-signée qui peut généralement être utilisée pour accéder au fichier spécifié dans le bucket. Une URL pré-signée ressemble à ceci:
Une URL pré-signée peut être créée depuis le cli en utilisant les identifiants d'un principal ayant accès à l'objet (si le compte que vous utilisez n'a pas accès, une URL pré-signée plus courte sera créée mais elle sera inutile)
La seule autorisation requise pour générer une URL pré-signée est l'autorisation accordée, donc pour la commande précédente, la seule autorisation nécessaire par le principal est s3:GetObject
Il est également possible de créer des URL pré-signées avec d'autres autorisations :
DEK signifie Data Encryption Key et est la clé qui est toujours générée et utilisée pour chiffrer les données.
Chiffrement côté serveur avec des clés gérées par S3, SSE-S3
Cette option nécessite une configuration minimale et toute la gestion des clés de chiffrement utilisées est gérée par AWS. Tout ce que vous avez à faire est de télécharger vos données et S3 s'occupera de tous les autres aspects. Chaque bucket dans un compte S3 se voit attribuer une clé de bucket.
Chiffrement :
Données d'objet + DEK en clair créé --> Données chiffrées (stockées dans S3)
DEK en clair créé + Clé maître S3 --> DEK chiffré (stocké dans S3) et le texte en clair est supprimé de la mémoire
Déchiffrement :
DEK chiffré + Clé maître S3 --> DEK en clair
DEK en clair + Données chiffrées --> Données d'objet
Veuillez noter que dans ce cas la clé est gérée par AWS (rotation uniquement tous les 3 ans). Si vous utilisez votre propre clé, vous pourrez faire pivoter, désactiver et appliquer un contrôle d'accès.
Chiffrement côté serveur avec des clés gérées par KMS, SSE-KMS
Cette méthode permet à S3 d'utiliser le service de gestion des clés pour générer vos clés de chiffrement de données. KMS vous offre une bien plus grande flexibilité sur la gestion de vos clés. Par exemple, vous pouvez désactiver, faire pivoter et appliquer des contrôles d'accès au CMK, et ordonner leur utilisation à l'aide d'AWS Cloud Trail.
Chiffrement :
S3 demande des clés de données à KMS CMK
KMS utilise un CMK pour générer la paire DEK en clair et DEK chiffré et les envoie à S3
S3 utilise la clé en clair pour chiffrer les données, stocke les données chiffrées et la clé chiffrée et supprime de la mémoire la clé en clair
Déchiffrement :
S3 demande à KMS de déchiffrer la clé de données chiffrée de l'objet
KMS déchiffre la clé de données avec le CMK et la renvoie à S3
S3 déchiffre les données de l'objet
Chiffrement côté serveur avec des clés fournies par le client, SSE-C
Cette option vous donne l'opportunité de fournir votre propre clé maître que vous utilisez peut-être déjà en dehors d'AWS. Votre clé fournie par le client serait alors envoyée avec vos données à S3, où S3 effectuerait ensuite le chiffrement pour vous.
Chiffrement :
L'utilisateur envoie les données de l'objet + clé client à S3
La clé client est utilisée pour chiffrer les données et les données chiffrées sont stockées
une valeur HMAC salée de la clé client est également stockée pour la validation future de la clé
la clé client est supprimée de la mémoire
Déchiffrement :
L'utilisateur envoie la clé client
La clé est validée par rapport à la valeur HMAC stockée
La clé fournie par le client est ensuite utilisée pour déchiffrer les données
Chiffrement côté client avec KMS, CSE-KMS
De manière similaire à SSE-KMS, cela utilise également le service de gestion des clés pour générer vos clés de chiffrement de données. Cependant, cette fois, KMS est appelé via le client et non S3. Le chiffrement a donc lieu côté client et les données chiffrées sont ensuite envoyées à S3 pour être stockées.
Chiffrement :
Le client demande une clé de données à KMS
KMS renvoie le DEK en clair et le DEK chiffré avec le CMK
Les deux clés sont renvoyées
Le client chiffre ensuite les données avec le DEK en clair et envoie à S3 les données chiffrées + le DEK chiffré (qui est enregistré comme métadonnées des données chiffrées dans S3)
Déchiffrement :
Les données chiffrées avec le DEK chiffré sont envoyées au client
Le client demande à KMS de déchiffrer la clé chiffrée en utilisant le CMK et KMS renvoie le DEK en clair
Le client peut maintenant déchiffrer les données chiffrées
Chiffrement côté client avec des clés fournies par le client, CSE-C
En utilisant ce mécanisme, vous pouvez utiliser vos propres clés fournies et utiliser un client AWS-SDK pour chiffrer vos données avant de les envoyer à S3 pour stockage.
Chiffrement :
Le client génère un DEK et chiffre les données en clair
Ensuite, en utilisant son propre CMK personnalisé, il chiffre le DEK
soumet les données chiffrées + DEK chiffré à S3 où elles sont stockées
Déchiffrement :
S3 envoie les données chiffrées et le DEK
Comme le client a déjà le CMK utilisé pour chiffrer le DEK, il déchiffre le DEK et utilise ensuite le DEK en clair pour déchiffrer les données
Énumération
L'un des moyens traditionnels de compromettre les organisations AWS commence par compromettre les buckets accessibles publiquement. Vous pouvez trouverdes énumérateurs de buckets publics sur cette page.
# Get buckets ACLsawss3apiget-bucket-acl--bucket<bucket-name>awss3apiget-object-acl--bucket<bucket-name>--keyflag# Get policyawss3apiget-bucket-policy--bucket<bucket-name>awss3apiget-bucket-policy-status--bucket<bucket-name>#if it's public# list S3 buckets associated with a profileawss3lsawss3apilist-buckets# list content of bucket (no creds)awss3lss3://bucket-name--no-sign-requestawss3lss3://bucket-name--recursive# list content of bucket (with creds)awss3lss3://bucket-nameawss3apilist-objects-v2--bucket<bucket-name>awss3apilist-objects--bucket<bucket-name>awss3apilist-object-versions--bucket<bucket-name># copy local folder to S3awss3cpMyFolders3://bucket-name--recursive# deleteawss3rbs3://bucket-name–-force# download a whole S3 bucketawss3syncs3://<bucket>/.# move S3 bucket to different locationawss3syncs3://oldbuckets3://newbucket--source-regionus-west-1# list the sizes of an S3 bucket and its contentsawss3apilist-objects--bucketBUCKETNAME--outputjson--query"[sum(Contents[].Size), length(Contents[])]"# Update Bucket policyawss3apiput-bucket-policy--policyfile:///root/policy.json--bucket<bucket-name>##JSON policy example{"Id":"Policy1568185116930","Version":"2012-10-17","Statement": [{"Sid":"Stmt1568184932403","Action": ["s3:ListBucket"],"Effect":"Allow","Resource":"arn:aws:s3:::welcome","Principal":"*"},{"Sid":"Stmt1568185007451","Action": ["s3:GetObject"],"Effect":"Allow","Resource":"arn:aws:s3:::welcome/*","Principal":"*"}]}# Update bucket ACLawss3apiget-bucket-acl--bucket<bucket-name># Way 1 to get the ACLawss3apiput-bucket-acl--bucket<bucket-name>--access-control-policyfile://acl.jsonawss3apiget-object-acl--bucket<bucket-name>--keyflag#Way 2 to get the ACLawss3apiput-object-acl--bucket<bucket-name>--keyflag--access-control-policyfile://objacl.json##JSON ACL example## Make sure to modify the Owner’s displayName and ID according to the Object ACL you retrieved.{"Owner":{"DisplayName":"<DisplayName>","ID":"<ID>"},"Grants": [{"Grantee":{"Type":"Group","URI":"http://acs.amazonaws.com/groups/global/AuthenticatedUsers"},"Permission":"FULL_CONTROL"}]}## An ACL should give you the permission WRITE_ACP to be able to put a new ACL
dual-stack
Vous pouvez accéder à un bucket S3 via un point de terminaison dual-stack en utilisant un nom de point de terminaison de style hébergé virtuel ou de style chemin. Ceux-ci sont utiles pour accéder à S3 via IPv6.
Les points de terminaison dual-stack utilisent la syntaxe suivante :
bucketname.s3.dualstack.aws-region.amazonaws.com
s3.dualstack.aws-region.amazonaws.com/bucketname
Privesc
Dans la page suivante, vous pouvez vérifier comment abuser des permissions S3 pour escalader les privilèges :
Selon cette recherche, il était possible de mettre en cache la réponse d'un bucket arbitraire comme si elle appartenait à un autre. Cela aurait pu être abusé pour changer par exemple les réponses de fichiers javascript et compromettre des pages arbitraires utilisant S3 pour stocker du code statique.
Amazon Athena
Amazon Athena est un service de requête interactif qui facilite l'analyse des données directement dans Amazon Simple Storage Service (Amazon S3) en utilisant le SQL standard.
Vous devez préparer une table de base de données relationnelle avec le format du contenu qui va apparaître dans les buckets S3 surveillés. Ensuite, Amazon Athena pourra peupler la base de données à partir des journaux, afin que vous puissiez l'interroger.
Amazon Athena prend en charge la capacité d'interroger des données S3 qui sont déjà chiffrées et si configuré pour le faire, Athena peut également chiffrer les résultats de la requête qui peuvent ensuite être stockés dans S3.
Ce chiffrement des résultats est indépendant des données S3 sous-jacentes interrogées, ce qui signifie que même si les données S3 ne sont pas chiffrées, les résultats interrogés peuvent être chiffrés. Quelques points à garder à l'esprit sont qu'Amazon Athena ne prend en charge que les données qui ont été chiffrées avec les méthodes de chiffrement S3 suivantes, SSE-S3, SSE-KMS et CSE-KMS.
SSE-C et CSE-E ne sont pas pris en charge. En outre, il est important de comprendre qu'Amazon Athena n'exécutera des requêtes que sur des objets chiffrés qui se trouvent dans la même région que la requête elle-même. Si vous devez interroger des données S3 qui ont été chiffrées à l'aide de KMS, des autorisations spécifiques sont requises par l'utilisateur Athena pour leur permettre d'effectuer la requête.
Énumération
# Get catalogsawsathenalist-data-catalogs# Get databases inside catalogawsathenalist-databases--catalog-name<catalog-name>awsathenalist-table-metadata--catalog-name<catalog-name>--database-name<db-name># Get query executions, queries and resultsawsathenalist-query-executionsawsathenaget-query-execution--query-execution-id<id># Get query and meta of resultsawsathenaget-query-results--query-execution-id<id># This will rerun the query and get the results# Get workgroups & Prepared statementsawsathenalist-work-groupsawsathenalist-prepared-statements--work-group<wg-name>awsathenaget-prepared-statement--statement-name<name>--work-group<wg-name># Run queryawsathenastart-query-execution--query-string<query>