Amazon S3 je usluga koja vam omogućava skladištenje velikih količina podataka.
Amazon S3 pruža više opcija za postizanje zaštite podataka u mirovanju. Opcije uključuju dozvole (Politika), Enkripciju (Klijentska i serverska strana), Verzioniranje kante i MFAbazirano brisanje. Korisnik može omogućiti bilo koju od ovih opcija za postizanje zaštite podataka. Replikacija podataka je interna mogućnost od strane AWS-a gde S3 automatski replikuje svaki objekat preko svih zona dostupnosti i organizacija ne mora da je omogući u ovom slučaju.
Sa dozvolama zasnovanim na resursima, možete definisati dozvole za pod-direktorijume vaše kante zasebno.
Verzioniranje kante i MFA bazirano brisanje
Kada je verzioniranje kante omogućeno, bilo koja akcija koja pokušava da izmeni fajl unutar fajla će generisati novu verziju fajla, čuvajući takođe prethodni sadržaj istog. Stoga, neće prepisati njegov sadržaj.
Osim toga, MFA bazirano brisanje će sprečiti verzije fajlova u S3 kanti da budu obrisane i takođe onemogućiti Verzioniranje kante, tako da napadač neće moći da izmeni ove fajlove.
S3 Pristupni logovi
Moguće je omogućiti pristupne logove S3 (što je podrazumevano onemogućeno) za neku kantu i sačuvati logove u drugoj kanti kako bi se znalo ko pristupa kanti (obe kante moraju biti u istom regionu).
S3 Prepotpisani URL-ovi
Moguće je generisati prepotpisani URL koji se obično može koristiti za pristupanje određenom fajlu u kanti. Prepotpisani URL izgleda ovako:
Može se kreirati prethodno potpisani URL sa klijentske strane koristeći akreditive glavnog subjekta sa pristupom objektu (ako nalog koji koristite nema pristup, biće kreiran kraći prethodno potpisani URL ali će biti beskoristan)
Jedina potrebna dozvola za generisanje prethodno potpisanog URL-a je dozvola koja se daje, tako da je jedina dozvola potrebna od strane principala s3:GetObject
Takođe je moguće kreirati prethodno potpisane URL-ove sa drugim dozvolama:
DEK znači Data Encryption Key i ključ koji se uvek generiše i koristi za šifrovanje podataka.
Šifrovanje na strani servera sa upravljanjem ključevima S3, SSE-S3
Ova opcija zahteva minimalnu konfiguraciju i svi ključevi za šifrovanje koje koristi upravlja AWS. Sve što treba da uradite je da otpremite svoje podatke i S3 će se baviti svim ostalim aspektima. Svaki bucket u S3 nalogu dodeljen je ključu za bucket.
Šifrovanje:
Podaci objekta + kreirani plaintext DEK --> Šifrovani podaci (sačuvani unutar S3)
Kreirani plaintext DEK + S3 Master ključ --> Šifrovani DEK (sačuvan unutar S3) i plaintext se briše iz memorije
Dekripcija:
Šifrovani DEK + S3 Master ključ --> Plaintext DEK
Plaintext DEK + Šifrovani podaci --> Podaci objekta
Molimo, imajte na umu da je u ovom slučaju ključ upravljan od strane AWS-a (rotacija samo svake 3 godine). Ako koristite svoj ključ, moći ćete da vršite rotaciju, onemogućite i primenite kontrolu pristupa.
Šifrovanje na strani servera sa upravljanjem ključevima KMS, SSE-KMS
Ovaj metod omogućava S3 da koristi uslugu upravljanja ključevima za generisanje ključeva za šifrovanje podataka. KMS vam pruža mnogo veću fleksibilnost u upravljanju ključevima. Na primer, možete onemogućiti, rotirati i primeniti kontrole pristupa na CMK, i naručiti protiv njihove upotrebe koristeći AWS Cloud Trail.
Šifrovanje:
S3 zahteva ključeve podataka od KMS CMK
KMS koristi CMK za generisanje para plaintext DEK i šifrovanog DEK-a i šalje ih S3
S3 koristi plaintext ključ za šifrovanje podataka, čuva šifrovane podatke i šifrovani ključ i briše plaintext ključ iz memorije
Dekripcija:
S3 traži od KMS-a da dešifruje šifrovani ključ podataka objekta
KMS dešifruje ključ podataka sa CMK i šalje ga nazad S3
S3 dešifruje podatke objekta
Šifrovanje na strani servera sa ključevima koje pruža korisnik, SSE-C
Ova opcija vam pruža mogućnost da obezbedite svoj sopstveni master ključ koji već možda koristite van AWS-a. Vaš ključ koji je obezbedio korisnik biće zatim poslat sa vašim podacima S3, gde će S3 zatim izvršiti šifrovanje za vas.
Šifrovanje:
Korisnik šalje podatke objekta + Ključ korisnika S3
Ključ korisnika se koristi za šifrovanje podataka i šifrovani podaci se čuvaju
sačuvana je soljena HMAC vrednost ključa korisnika i za buduću validaciju ključa
ključ korisnika se briše iz memorije
Dekripcija:
Korisnik šalje ključ korisnika
Ključ se validira protiv sačuvane HMAC vrednosti
Ključ koji je obezbedio korisnik se zatim koristi za dešifrovanje podataka
Šifrovanje na strani klijenta sa KMS-om, CSE-KMS
Slično kao SSE-KMS, i ovo koristi uslugu upravljanja ključevima za generisanje ključeva za šifrovanje podataka. Međutim, ovog puta KMS se poziva putem klijenta, a ne S3. Šifrovanje se zatim vrši na strani klijenta i šifrovani podaci se zatim šalju S3 radi čuvanja.
Šifrovanje:
Klijent zahteva ključ podataka od KMS-a
KMS vraća plaintext DEK i šifrovani DEK sa CMK
Oba ključa se šalju nazad
Klijent zatim šifruje podatke sa plaintext DEK i šalje S3 šifrovane podatke + šifrovani DEK (koji se čuva kao metapodaci šifrovanih podataka unutar S3)
Dekripcija:
Šifrovani podaci sa šifrovanim DEK-om se šalju klijentu
Klijent traži od KMS-a da dešifruje šifrovani ključ koristeći CMK i KMS šalje nazad plaintext DEK
Klijent sada može dešifrovati šifrovane podatke
Šifrovanje na strani klijenta sa ključevima koje pruža korisnik, CSE-C
Koristeći ovaj mehanizam, možete koristiti svoje sopstvene ključeve i koristiti AWS-SDK klijent za šifrovanje podataka pre slanja u S3 radi čuvanja.
Šifrovanje:
Klijent generiše DEK i šifruje plaintext podatke
Zatim, koristeći svoj sopstveni prilagođeni CMK, šifruje DEK
podnosi šifrovane podatke + šifrovani DEK S3 gde se čuvaju
Dekripcija:
S3 šalje šifrovane podatke i DEK
Pošto klijent već ima CMK koji se koristio za šifrovanje DEK-a, dešifruje DEK a zatim koristi plaintext DEK za dešifrovanje podataka
# Get buckets ACLsawss3apiget-bucket-acl--bucket<bucket-name>awss3apiget-object-acl--bucket<bucket-name>--keyflag# Get policyawss3apiget-bucket-policy--bucket<bucket-name>awss3apiget-bucket-policy-status--bucket<bucket-name>#if it's public# list S3 buckets associated with a profileawss3lsawss3apilist-buckets# list content of bucket (no creds)awss3lss3://bucket-name--no-sign-requestawss3lss3://bucket-name--recursive# list content of bucket (with creds)awss3lss3://bucket-nameawss3apilist-objects-v2--bucket<bucket-name>awss3apilist-objects--bucket<bucket-name>awss3apilist-object-versions--bucket<bucket-name># copy local folder to S3awss3cpMyFolders3://bucket-name--recursive# deleteawss3rbs3://bucket-name–-force# download a whole S3 bucketawss3syncs3://<bucket>/.# move S3 bucket to different locationawss3syncs3://oldbuckets3://newbucket--source-regionus-west-1# list the sizes of an S3 bucket and its contentsawss3apilist-objects--bucketBUCKETNAME--outputjson--query"[sum(Contents[].Size), length(Contents[])]"# Update Bucket policyawss3apiput-bucket-policy--policyfile:///root/policy.json--bucket<bucket-name>##JSON policy example{"Id":"Policy1568185116930","Version":"2012-10-17","Statement": [{"Sid":"Stmt1568184932403","Action": ["s3:ListBucket"],"Effect":"Allow","Resource":"arn:aws:s3:::welcome","Principal":"*"},{"Sid":"Stmt1568185007451","Action": ["s3:GetObject"],"Effect":"Allow","Resource":"arn:aws:s3:::welcome/*","Principal":"*"}]}# Update bucket ACLawss3apiget-bucket-acl--bucket<bucket-name># Way 1 to get the ACLawss3apiput-bucket-acl--bucket<bucket-name>--access-control-policyfile://acl.jsonawss3apiget-object-acl--bucket<bucket-name>--keyflag#Way 2 to get the ACLawss3apiput-object-acl--bucket<bucket-name>--keyflag--access-control-policyfile://objacl.json##JSON ACL example## Make sure to modify the Owner’s displayName and ID according to the Object ACL you retrieved.{"Owner":{"DisplayName":"<DisplayName>","ID":"<ID>"},"Grants": [{"Grantee":{"Type":"Group","URI":"http://acs.amazonaws.com/groups/global/AuthenticatedUsers"},"Permission":"FULL_CONTROL"}]}## An ACL should give you the permission WRITE_ACP to be able to put a new ACL
dual-stack
Možete pristupiti S3 kanti putem dual-stack endpointa koristeći virtual hosted-style ili path-style endpoint ime. Ovi su korisni za pristup S3 putem IPv6.
Dual-stack endpointi koriste sledeću sintaksu:
bucketname.s3.dualstack.aws-region.amazonaws.com
s3.dualstack.aws-region.amazonaws.com/bucketname
Privesc
Na sledećoj stranici možete proveriti kako zloupotrebiti S3 dozvole za eskalaciju privilegija:
Prema ovom istraživanju bilo je moguće keširati odgovor proizvoljne kante kao da pripada drugoj. Ovo bi moglo biti zloupotrebljeno da se promene, na primer, odgovori javascript fajlova i kompromituju proizvoljne stranice koje koriste S3 za čuvanje statičkog koda.
Amazon Athena
Amazon Athena je interaktivna upitna usluga koja olakšava analizu podataka direktno u Amazon Simple Storage Service (Amazon S3) koristeći standardni SQL.
Potrebno je pripremiti relacijsku DB tabelu sa formatom sadržaja koji će se pojaviti u praćenim S3 kantama. Zatim, Amazon Athena će moći da popuni DB iz logova, tako da možete upitati.
Amazon Athena podržava mogućnost upita nad S3 podacima koji su već enkriptovani i ako je konfigurisano, Athena takođe može enkriptovati rezultate upita koji se mogu zatim čuvati u S3.
Ova enkripcija rezultata je nezavisna od osnovnih upitanih S3 podataka, što znači da čak i ako S3 podaci nisu enkriptovani, upitani rezultati mogu biti enkriptovani. Važno je napomenuti da Amazon Athena podržava samo podatke koji su enkriptovani sa sledećim S3 metodama enkripcije, SSE-S3, SSE-KMS i CSE-KMS.
SSE-C i CSE-E nisu podržani. Pored toga, važno je razumeti da će Amazon Athena izvršavati upite samo nad enkriptovanim objektima koji se nalaze u istom regionu kao i sam upit. Ako treba da upitate S3 podatke koji su enkriptovani korišćenjem KMS, onda su potrebne specifične dozvole od strane korisnika Athene da im omoguće da izvrše upit.
Enumeracija
# Get catalogsawsathenalist-data-catalogs# Get databases inside catalogawsathenalist-databases--catalog-name<catalog-name>awsathenalist-table-metadata--catalog-name<catalog-name>--database-name<db-name># Get query executions, queries and resultsawsathenalist-query-executionsawsathenaget-query-execution--query-execution-id<id># Get query and meta of resultsawsathenaget-query-results--query-execution-id<id># This will rerun the query and get the results# Get workgroups & Prepared statementsawsathenalist-work-groupsawsathenalist-prepared-statements--work-group<wg-name>awsathenaget-prepared-statement--statement-name<name>--work-group<wg-name># Run queryawsathenastart-query-execution--query-string<query>
