Protokollierung von Interaktionen und Abhilfemaßnahmen

Eine vorsignierte URL enthält eine Signatur und kann in der Zeit vor Ablauf verwendet werden, um den spezifischen API-Vorgang auszuführen, für den sie signiert wurde. Sie sollte als temporäre Zugangsberechtigung behandelt werden. Die Signatur sollte nur Dritten zugänglich sein, die sie kennen müssen. In den meisten Umgebungen ist dies der Client, der die Anfrage sendet, und der Server, der sie empfängt. Das Senden der Signatur als Teil einer direkten HTTPS-Sitzung behält ihren privaten Charakter bei, da nur ein Teilnehmer der HTTPS-Sitzung Einblick in den URI hat, der die Signatur überträgt.

Beim URLs Vorsignieren wird die Signatur als X-Amz-Signature Abfragezeichenfolgenparameter übertragen. Abfragezeichenfolgenparameter sind Bestandteil einer URI. Das Risiko besteht darin, dass Clients den URI und die damit verbundene Signatur protokollieren könnten. Clients haben Zugriff auf die gesamte HTTP-Anfrage und können jeden Teil der Anfrage, der Daten und der Header (einschließlich der Authentifizierungsheader) protokollieren. Dies ist jedoch konventionell weniger verbreitet. Die URI-Protokollierung ist üblicher und in Fällen wie der Zugriffsprotokollierung erforderlich. Kunden sollten die Signatur vor der Protokollierung mit Schwärzung oder Maskierung entfernen. URIs

In einigen Umgebungen ermöglichen Benutzer Vermittlern (Proxys), Einblick in ihre HTTPS-Sitzungen zu erhalten. Für die Aktivierung von Proxys ist ein hohes Maß an privilegiertem Zugriff auf Clientsysteme erforderlich, da für diese eine Konfiguration und vertrauenswürdige Zertifikate erforderlich sind. Die Installation der Proxykonfiguration und vertrauenswürdiger Zertifikate im lokalen Kontext der Client-Zwischenumgebung ermöglicht ein sehr hohes Maß an Rechten. Aus diesem Grund sollte der Zugang zu solchen Vermittlern streng kontrolliert werden.

Der Zweck eines Vermittlers besteht in der Regel darin, ungewollten Austritt zu blockieren und anderen Austritt nachzuverfolgen. Daher ist es üblich, dass solche Vermittler Anfragen protokollieren. Zwar könnten Vermittler, wie Clients, alle Inhalte, Header und Daten protokollieren (die alle sehr sensibel wären), aber es ist üblicher, dass sie protokollieren URIs, z. B. solche, die den X-Amz-Signature Abfragezeichenfolgenparameter enthalten.

Abhilfemaßnahmen

Wir empfehlen, bei der URI-Protokollierung den Parameter der X-Amz-Signature Abfragezeichenfolge zu schwärzen, die gesamte Abfragezeichenfolge zu schwärzen oder die Informationen streng vertraulich zu behandeln, wie beim direkten Zugriff auf den Zwischenserver. Obwohl diese Schutzmaßnahmen dringend empfohlen werden, verringert die Tatsache, dass vorsigniertes URLs Ablaufen das Risiko der Offenlegung von Protokollen verringert, sofern die Offenlegung so lange verzögert wird, dass die Signaturen ablaufen.

Amazon S3 sieht auch die Signaturen und muss sie entsprechend behandeln. Die Amazon S3 S3-Serverzugriffsprotokolle enthalten die Anfrage-URI, aber redigieren Sie sieX-Amz-Signature, wie empfohlen. Das Gleiche gilt, wenn CloudTrail Datenereignisse für Amazon S3 protokolliert werden. Sie können Amazon CloudWatch Logs so konfigurieren, dass Daten mithilfe von benutzerdefinierten Datenkennungen maskiert werden.

Der folgende reguläre Ausdruck entspricht dem, X-Amz-Signature wie er in einer URI erscheint:

X-Amz-Signature=[a-f0-9]{64}

Der folgende reguläre Ausdruck fügt Gruppierungsmuster hinzu, um den zu ersetzenden Text genauer zu identifizieren:

(?:X-Amz-Signature=)([a-f0-9]{64})

Wenn Sie einen Zugriffsprotokolleintrag wie den folgenden haben:

X-Amz-Signature=733255ef022bec3f2a8701cd61d4b371f3f28c9f193a1f02279211d48d5193d7

Der erste reguläre Ausdruck übersetzt den Eintrag im Zugriffsprotokoll in:

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 

Der zweite reguläre Ausdruck übersetzt auf Systemen, die Gruppen ohne Erfassung von Gruppen unterstützen, den Eintrag im Zugriffsprotokoll wie folgt:

X-Amz-Signature=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX