Registrazione delle interazioni e delle mitigazioni

Un URL predefinito contiene una firma e può essere utilizzato, nel periodo precedente alla scadenza, per eseguire l'operazione API specifica per cui è stato firmato. Deve essere considerata una credenziale di accesso temporanea. La firma deve rimanere privata solo per le parti che hanno bisogno di conoscerla. Nella maggior parte degli ambienti, si tratta del client che invia la richiesta e del server che la riceve. L'invio della firma come parte di una sessione HTTPS diretta ne mantiene la natura privata, poiché solo un partecipante alla sessione HTTPS ha visibilità sull'URI che trasmette la firma.

Per presigned URLs, la firma viene trasmessa come parametro della stringa di X-Amz-Signature query. I parametri della stringa di query sono componenti di un URI. Il rischio è che i client possano registrare l'URI e la firma con esso. I client hanno accesso all'intera richiesta HTTP e possono registrare qualsiasi parte della richiesta, dei dati e delle intestazioni (incluse le intestazioni di autenticazione). Tuttavia, questo è per convenzione meno comune. La registrazione degli URI è più comune ed è necessaria in casi come la registrazione degli accessi. I client devono utilizzare la redazione o il mascheramento per rimuovere la firma prima della registrazione. URIs

In alcuni ambienti, gli utenti consentono agli intermediari (proxy) di ottenere visibilità nelle loro sessioni HTTPS. L'abilitazione dei proxy richiede un elevato livello di accesso privilegiato ai sistemi client, poiché richiedono configurazione e certificati affidabili. L'installazione della configurazione proxy e dei certificati affidabili, nel contesto locale dell'ambiente intermediario del client, consente un livello di privilegio molto elevato. Per questo motivo, l'accesso a tali intermediari dovrebbe essere strettamente controllato.

Lo scopo di un intermediario è in genere bloccare le uscite indesiderate e tracciare altre uscite. Pertanto, è normale che tali intermediari registrino le richieste. Sebbene gli intermediari possano, come i client, registrare qualsiasi contenuto, intestazione e dato (tutti elementi molto sensibili), è più comune che effettuino log URIs, ad esempio quelli che includono il parametro della stringa di X-Amz-Signature query.

Mitigazioni

È consigliabile che la registrazione URI oscuri il parametro della stringa di X-Amz-Signature query, l'intera stringa di query o tratti le informazioni come altamente riservate, come nel caso dell'accesso diretto al server intermediario. Sebbene queste protezioni siano altamente consigliate, il fatto che la scadenza preimpostata riduca i rischi di URLs esposizione dei log, purché l'esposizione venga ritardata abbastanza a lungo da far scadere le firme.

Anche Amazon S3 rileva le firme e deve gestirle in modo appropriato. I log di accesso al server Amazon S3 includono l'URI della richiesta ma lo oscurano, come consigliato. X-Amz-Signature Lo stesso vale quando gli eventi CloudTrail relativi ai dati vengono registrati per Amazon S3. Puoi configurare Amazon CloudWatch Logs per mascherare i dati utilizzando identificatori di dati personalizzati.

La seguente espressione regolare corrisponde a X-Amz-Signature quella visualizzata in un URI:

X-Amz-Signature=[a-f0-9]{64}

La seguente espressione regolare aggiunge modelli di raggruppamento per identificare più specificamente il testo da sostituire:

(?:X-Amz-Signature=)([a-f0-9]{64})

Se è presente una voce del registro di accesso come la seguente:

X-Amz-Signature=733255ef022bec3f2a8701cd61d4b371f3f28c9f193a1f02279211d48d5193d7

La prima espressione regolare traduce la voce del registro degli accessi in:

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 

La seconda espressione regolare, sui sistemi che supportano gruppi non di acquisizione, traduce la voce del registro di accesso in:

X-Amz-Signature=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX