Amazon S3 est un service qui vous permet de stocker de grandes quantités de données.
Amazon S3 propose plusieurs options pour assurer la protection des données au repos. Les options incluent les Permissions (Politique), le Chiffrement (Côté client et côté serveur), la Versionnage du bucket et la Suppression basée sur MFA. L'utilisateur peut activer l'une de ces options pour assurer la protection des données. La réplication des données est une fonctionnalité interne d'AWS où S3 réplique automatiquement chaque objet dans toutes les zones de disponibilité et l'organisation n'a pas besoin de l'activer dans ce cas.
Avec les autorisations basées sur les ressources, vous pouvez définir des autorisations pour les sous-répertoires de votre bucket séparément.
Versionnage du bucket et suppression basée sur MFA
Lorsque le versionnage du bucket est activé, toute action tentant de modifier un fichier à l'intérieur d'un fichier générera une nouvelle version du fichier, en conservant également le contenu précédent du même. Par conséquent, cela ne remplacera pas son contenu.
De plus, la suppression basée sur MFA empêchera les versions de fichiers dans le bucket S3 d'être supprimées et empêchera également la désactivation du versionnage du bucket, de sorte qu'un attaquant ne pourra pas modifier ces fichiers.
Journaux d'accès S3
Il est possible d'activer la journalisation des accès S3 (qui est désactivée par défaut) pour un certain bucket et enregistrer les journaux dans un autre bucket pour savoir qui accède au bucket (les deux buckets doivent être dans la même région).
URL pré-signées S3
Il est possible de générer une URL pré-signée qui peut généralement être utilisée pour accéder au fichier spécifié dans le bucket. Une URL pré-signée ressemble à ceci:
Un URL pré-signé peut être créé à partir de la CLI en utilisant les informations d'identification d'un principal ayant accès à l'objet (si le compte que vous utilisez n'a pas accès, un URL pré-signé plus court sera créé mais il sera inutile)
La seule autorisation requise pour générer une URL pré-signée est l'autorisation accordée, donc pour la commande précédente, la seule autorisation nécessaire pour le principal est s3:GetObject
Il est également possible de créer des URL pré-signées avec d'autres autorisations:
DEK signifie Data Encryption Key et est la clé qui est toujours générée et utilisée pour chiffrer les données.
Chiffrement côté serveur avec les clés gérées par S3, SSE-S3
Cette option nécessite une configuration minimale et toute la gestion des clés de chiffrement utilisées est gérée par AWS. Tout ce que vous avez à faire est de télécharger vos données et S3 gérera tous les autres aspects. Chaque compartiment dans un compte S3 se voit attribuer une clé de compartiment.
Chiffrement :
Données d'objet + DEK en clair créé --> Données chiffrées (stockées à l'intérieur de S3)
DEK en clair créé + Clé maître S3 --> DEK chiffré (stocké à l'intérieur de S3) et le texte en clair est supprimé de la mémoire
Déchiffrement :
DEK chiffré + Clé maître S3 --> DEK en clair
DEK en clair + Données chiffrées --> Données d'objet
Veuillez noter que dans ce cas la clé est gérée par AWS (rotation uniquement tous les 3 ans). Si vous utilisez votre propre clé, vous pourrez la faire tourner, la désactiver et appliquer un contrôle d'accès.
Chiffrement côté serveur avec les clés gérées par KMS, SSE-KMS
Cette méthode permet à S3 d'utiliser le service de gestion des clés pour générer vos clés de chiffrement de données. KMS vous offre une plus grande flexibilité quant à la gestion de vos clés. Par exemple, vous pouvez désactiver, faire tourner et appliquer des contrôles d'accès à la CMK, et ordonner de s'opposer à leur utilisation en utilisant AWS Cloud Trail.
Chiffrement :
S3 demande des clés de données à KMS CMK
KMS utilise une CMK pour générer la paire DEK en clair et DEK chiffré et les envoie à S3
S3 utilise la clé en clair pour chiffrer les données, stocke les données chiffrées et la clé chiffrée et supprime de la mémoire la clé en clair
Déchiffrement :
S3 demande à KMS de déchiffrer la clé de données chiffrée de l'objet
KMS déchiffre la clé de données avec la CMK et la renvoie à S3
S3 déchiffre les données de l'objet
Chiffrement côté serveur avec des clés fournies par le client, SSE-C
Cette option vous donne la possibilité de fournir votre propre clé maître que vous pourriez déjà utiliser en dehors d'AWS. Votre clé fournie par le client serait ensuite envoyée avec vos données à S3, où S3 effectuerait alors le chiffrement pour vous.
Chiffrement :
L'utilisateur envoie les données d'objet + Clé client à S3
La clé client est utilisée pour chiffrer les données et les données chiffrées sont stockées
une valeur HMAC salée de la clé client est également stockée pour une validation future de la clé
la clé client est supprimée de la mémoire
Déchiffrement :
L'utilisateur envoie la clé client
La clé est validée par rapport à la valeur HMAC stockée
La clé fournie par le client est ensuite utilisée pour déchiffrer les données
Chiffrement côté client avec KMS, CSE-KMS
De manière similaire à SSE-KMS, cela utilise également le service de gestion des clés pour générer vos clés de chiffrement de données. Cependant, cette fois, KMS est sollicité par le client et non par S3. Le chiffrement a alors lieu côté client et les données chiffrées sont ensuite envoyées à S3 pour être stockées.
Chiffrement :
Le client demande une clé de données à KMS
KMS renvoie le DEK en clair et le DEK chiffré avec la CMK
Les deux clés sont renvoyées
Le client chiffre ensuite les données avec le DEK en clair et envoie à S3 les données chiffrées + le DEK chiffré (qui est enregistré en tant que métadonnée des données chiffrées à l'intérieur de S3)
Déchiffrement :
Les données chiffrées avec le DEK chiffré sont envoyées au client
Le client demande à KMS de déchiffrer la clé chiffrée en utilisant la CMK et KMS renvoie le DEK en clair
Le client peut maintenant déchiffrer les données chiffrées
Chiffrement côté client avec des clés fournies par le client, CSE-C
En utilisant ce mécanisme, vous pouvez utiliser vos propres clés fournies et utiliser un client AWS-SDK pour chiffrer vos données avant de les envoyer à S3 pour les stocker.
Chiffrement :
Le client génère un DEK et chiffre les données en clair
Ensuite, en utilisant sa propre CMK personnalisée, il chiffre le DEK
soumet les données chiffrées + le DEK chiffré à S3 où elles sont stockées
Déchiffrement :
S3 envoie les données chiffrées et le DEK
Comme le client possède déjà la CMK utilisée pour chiffrer le DEK, il déchiffre le DEK puis utilise le DEK en clair pour déchiffrer les données
Énumération
L'une des principales méthodes traditionnelles de compromission des organisations AWS commence par la compromission des compartiments accessibles publiquement. Vous pouvez trouverdes énumérateurs de compartiments publics sur cette page.
# Get buckets ACLsawss3apiget-bucket-acl--bucket<bucket-name>awss3apiget-object-acl--bucket<bucket-name>--keyflag# Get policyawss3apiget-bucket-policy--bucket<bucket-name>awss3apiget-bucket-policy-status--bucket<bucket-name>#if it's public# list S3 buckets associated with a profileawss3lsawss3apilist-buckets# list content of bucket (no creds)awss3lss3://bucket-name--no-sign-requestawss3lss3://bucket-name--recursive# list content of bucket (with creds)awss3lss3://bucket-nameawss3apilist-objects-v2--bucket<bucket-name>awss3apilist-objects--bucket<bucket-name>awss3apilist-object-versions--bucket<bucket-name># copy local folder to S3awss3cpMyFolders3://bucket-name--recursive# deleteawss3rbs3://bucket-name–-force# download a whole S3 bucketawss3syncs3://<bucket>/.# move S3 bucket to different locationawss3syncs3://oldbuckets3://newbucket--source-regionus-west-1# list the sizes of an S3 bucket and its contentsawss3apilist-objects--bucketBUCKETNAME--outputjson--query"[sum(Contents[].Size), length(Contents[])]"# Update Bucket policyawss3apiput-bucket-policy--policyfile:///root/policy.json--bucket<bucket-name>##JSON policy example{"Id":"Policy1568185116930","Version":"2012-10-17","Statement": [{"Sid":"Stmt1568184932403","Action": ["s3:ListBucket"],"Effect":"Allow","Resource":"arn:aws:s3:::welcome","Principal":"*"},{"Sid":"Stmt1568185007451","Action": ["s3:GetObject"],"Effect":"Allow","Resource":"arn:aws:s3:::welcome/*","Principal":"*"}]}# Update bucket ACLawss3apiget-bucket-acl--bucket<bucket-name># Way 1 to get the ACLawss3apiput-bucket-acl--bucket<bucket-name>--access-control-policyfile://acl.jsonawss3apiget-object-acl--bucket<bucket-name>--keyflag#Way 2 to get the ACLawss3apiput-object-acl--bucket<bucket-name>--keyflag--access-control-policyfile://objacl.json##JSON ACL example## Make sure to modify the Owner’s displayName and ID according to the Object ACL you retrieved.{"Owner":{"DisplayName":"<DisplayName>","ID":"<ID>"},"Grants": [{"Grantee":{"Type":"Group","URI":"http://acs.amazonaws.com/groups/global/AuthenticatedUsers"},"Permission":"FULL_CONTROL"}]}## An ACL should give you the permission WRITE_ACP to be able to put a new ACL
double pile
Vous pouvez accéder à un compartiment S3 via un point d'extrémité double pile en utilisant un nom d'extrémité de style hébergé virtuellement ou de style chemin. Ces points d'extrémité sont utiles pour accéder à S3 via IPv6.
Les points d'extrémité double pile utilisent la syntaxe suivante :
Selon cette recherche, il était possible de mettre en cache la réponse d'un compartiment arbitraire comme s'il appartenait à un autre. Cela aurait pu être abusé pour modifier par exemple les réponses de fichiers JavaScript et compromettre des pages arbitraires utilisant S3 pour stocker du code statique.
Amazon Athena
Amazon Athena est un service de requête interactif qui facilite l'analyse des données directement dans le service de stockage simple d'Amazon (Amazon S3) en utilisant le SQL standard.
Vous devez préparer une table de base de données relationnelle avec le format du contenu qui va apparaître dans les compartiments S3 surveillés. Ensuite, Amazon Athena pourra peupler la base de données à partir des journaux, afin que vous puissiez interroger.
Amazon Athena prend en charge la capacité de requêter des données S3 déjà chiffrées et si configuré pour le faire, Athena peut également chiffrer les résultats de la requête qui peuvent ensuite être stockés dans S3.
Ce chiffrement des résultats est indépendant des données S3 interrogées sous-jacentes, ce qui signifie que même si les données S3 ne sont pas chiffrées, les résultats interrogés peuvent l'être. Il est important de noter qu'Amazon Athena prend en charge uniquement les données qui ont été chiffrées avec les méthodes de chiffrement S3 suivantes, SSE-S3, SSE-KMS et CSE-KMS.
SSE-C et CSE-E ne sont pas pris en charge. De plus, il est important de comprendre qu'Amazon Athena n'exécutera des requêtes que contre des objets chiffrés qui se trouvent dans la même région que la requête elle-même. Si vous devez interroger des données S3 qui ont été chiffrées à l'aide de KMS, des autorisations spécifiques sont nécessaires pour l'utilisateur Athena afin de lui permettre d'effectuer la requête.
Énumération
# Get catalogsawsathenalist-data-catalogs# Get databases inside catalogawsathenalist-databases--catalog-name<catalog-name>awsathenalist-table-metadata--catalog-name<catalog-name>--database-name<db-name># Get query executions, queries and resultsawsathenalist-query-executionsawsathenaget-query-execution--query-execution-id<id># Get query and meta of resultsawsathenaget-query-results--query-execution-id<id># This will rerun the query and get the results# Get workgroups & Prepared statementsawsathenalist-work-groupsawsathenalist-prepared-statements--work-group<wg-name>awsathenaget-prepared-statement--statement-name<name>--work-group<wg-name># Run queryawsathenastart-query-execution--query-string<query>
