Prenditi cura delle tue chiavi di accesso AWS

L'Identity and Access Management (IAM) è un'area importante all'interno del capitolo sicurezza del Well-Architected Framework di Amazon Web Services (AWS). Noi di Swisscom condividiamo questa opinione. Per sensibilizzare e coinvolgere le tecnologie AWS, abbiamo lanciato un semplice test. Volevamo scoprire cosa succede quando le chiavi di accesso AWS valide vengono pubblicate su GitHub. Questo blog post descrive la procedura e gli effetti.

Da Christoph Ernst, Cloud Solution Engineer

16.08.2018 10:00:00

"Accesso programmatico" contro "Accesso alla console di gestione".

Innanzitutto, è necessario spiegare brevemente la differenza tra "accesso programmatico" e "accesso alla console di gestione". L'accesso programmatico viene utilizzato quando un utente o una macchina ha bisogno di accedere all'interfaccia a riga di comando (CLI) di AWS, agli SDK di AWS o alle chiamate HTTPS dirette alle API dei singoli servizi AWS. Strumenti come Ansible o Terraform sono esempi tipici di questo tipo di accesso.

Poi c'è l'accesso alla console di gestione. Normalmente, un essere umano accede alla console di gestione tramite un browser web. L'utente si autentica con un nome utente e una password (e auspicabilmente con un secondo fattore) per accedere all'interfaccia grafica per la gestione delle risorse.

D'ora in poi questo articolo si concentrerà solo sull'accesso programmatico. I dati di accesso per l'accesso programmatico sono chiamati chiavi di accesso. Le chiavi di accesso sono costituite da due componenti: un ID della chiave di accesso e una chiave di accesso segreta. Potrebbero avere il seguente aspetto:

Access Key ID: AKIAJ[……..]VVSUIS
Secret Access Key: 9sDXP9aLws[……..]GxCPurPzCKo2stXPIB

Pubblicazione delle chiavi di accesso

Per verificare cosa succede esattamente quando i dati di accesso vengono pubblicati, sono state implementate diverse misure di sicurezza. Tra le altre cose, è stato utilizzato un utente privo di autorizzazioni ed è stata attivata l'autenticazione a più fattori (MFA) per tutti gli utenti di questo account. L'account è stato inoltre monitorato molto da vicino in modo da poter riconoscere immediatamente eventuali incidenti sospetti.

Abbiamo testato più volte le misure di sicurezza per assicurarci che funzionassero come previsto. Dovevamo essere sicuri che non fosse possibile eseguire azioni con le chiavi di accesso pubblicate e che le voci di registro fossero scritte come previsto.

Infine, abbiamo pubblicato le chiavi di accesso su GitHub. Abbiamo utilizzato un semplice playbook per Ansible con il seguente contenuto:

La reazione alla pubblicazione dei dati del mandato è stata assolutamente travolgente per noi. In meno di un minuto, soggetti stranieri hanno cercato di sfruttare le credenziali trapelate. Nei 6 minuti in cui le credenziali erano valide, abbiamo ricevuto connessioni da varie reti di anonimizzazione e dalla Cina.

AWS si è accorta subito del problema e ci ha avvisato immediatamente. Subito dopo la fuga di notizie, nella nostra casella di posta elettronica è arrivata un'e-mail che ci informava del problema. Siamo stati informati che le chiavi di accesso erano ancora valide. Per proteggere l'account, AWS ha limitato temporaneamente la possibilità di creare risorse AWS.

Prenditi cura delle tue chiavi di accesso

I malintenzionati monitorano attivamente il codice pubblicato su GitHub (e altri repository di codice sorgente). Grazie alle API offerte da GitHub, è facile farlo. Se una chiave viene pubblicata per sbaglio, qualcuno cercherà immediatamente di approfittarne. Esistono strumenti automatici che possono sfruttare le credenziali trapelate in pochi secondi. AWS ha reagito in modo esemplare e ha immediatamente adottato misure di protezione per l'account compromesso.

Volevamo sensibilizzare l'opinione pubblica con questo test. Access Keys(apre una nuova finestra) sono componenti critici che richiedono una protezione speciale. Il sito web di AWS descrive dettagliatamente come vengono gestite le chiavi di accesso e come proteggerle di conseguenza. Swisscom è inoltre lieta di rispondere a domande specifiche sulla sicurezza di IAM o di Amazon Web Services in generale.

Se vuoi saperne di più sul portafoglio e sui servizi di Swisscom su Amazon Web Services (AWS), mettiti in contatto con i nostri esperti. Coc.aws@swisscom.com oppure visita il sito swisscom.ch/aws

Christoph Ernst

Cloud Solution Engineer

Altri articoli getIT

Pronti per Swisscom

Trova il posto di lavoro o il percorso di carriera che fa per te. Dove dare il tuo contributo e crescere professionalmente.

Ciò che tu fai, è ciò che siamo.