Sinds 2006 is het mogelijk van AWS S3 (Amazon Simple Storage Service) gebruik te maken en nog steeds treden dezelfde makkelijk te vermijden fouten op. In veertien jaar tijd lijken de gebruikers dus weinig geleerd te hebben. Valt AWS hier iets te verwijten?
S3 is een doorslaggevend succes.
Als er iets de adoptie en acceptatie van cloud diensten heeft mogelijk gemaakt is het wel S3. Hiermee hebben bedrijven een alternatief voor lokale storage ontdekt. Er is ook een hele rits bedrijven die zijn opgericht om eigen diensten gebaseerd op S3 te ontwikkelen. Verder hebben de prijsverlagingen van S3 de marktvraag over de volle breedte gestimuleerd. Wat dat betreft is S3 echt een doorslaggevend succes.
S3 als bron van fouten
Maar over S3 zijn ook minder positieve geluiden te horen. Sinds 2006 wordt de discussie gevoerd of data in een public cloud wel veilig is. Op zich heeft dat marktpartijen de ruimte gegeven private cloud aanbod te ontwikkelen. Het vermeende nadeel is daarmee omgebogen in een business opportunity.
Het is echter niet alleen de vraag over public die in tech en security kringen de ronde blijft doen. Met enige regelmaat (understatement!) wordt geschreven over datalekken die te herleiden zijn tot slecht beveiligde data in S3 buckets.
Voorheen was het vinden van een open S3 bucket nog zoekwerk. Sinds Shodan en andere technieken is het kinderspel geworden. Tel daarbij het toegenomen aantal gebruikers en het resultaat mag duidelijk zijn.
Om het nog vervelender te maken voor de eigenaren van de data is dat het tegenwoordig een dure grap kan zijn data voor het brede publiek zichtbaar te maken. Wetgeving zoals de AVG/GDPR in de EU heeft daar een prijskaartje aan gehangen. Voor cybercriminelen zijn open S3 buckets een reden tot chantage en misbruik over te gaan. Ook dat kan voor de eigenaar tot hoge uitgaven leiden.
Waarom gaat het mis met S3
De vraag waarom het zo vaak mis gaat met S3 is sinds 2006 vaak gesteld. De antwoorden daarop zijn evenzo vaak gegeven. Veel verandering is er niet zichtbaar. Een S3 bucket goed configureren vergt zowel concentratie als kennis. Beiden lijken te vaak te ontbreken. Te vaak ook blijken snelheid en lage kosten doorslaggevend te zijn voor het gebruik van S3. Opties en handelingen om de buckets veilig te maken worden bewust overgeslagen.
Het is triest te zien dat de top 3 S3 kwetsbaarheden die in het CSA blog van juni staan terug te vinden zijn in de top 9 van veel gemaakte fouten waarover CRN in juni 2019 schreef. Die top 9 komt dan weer overeen met wat Techcrunch in 2012 in de top 10 S3 fouten beschreef.
Alleen al met het doornemen van deze drie lijstjes kan van elke S3 bucket een veilige S3 bucket worden gemaakt. Moeilijk is het niet, maar het gebeurt nog steeds te weinig.