Conclusiones clave La noticia de una fuga de datos de un depósito de Google Cloud Storage ha vuelto a llamar la atención del público sobre los riesgos de los depósitos de almacenamiento en la nube mal configurados, uno de los problemas de seguridad en la nube y causas de fugas de datos más comunes. Alice’s Table, ex concursante de Shark Tank de ABC, filtró inadvertidamente la información de identificación personal (PII) de más de 83.000 clientes de un depósito de Google Cloud Storage mal configurado. La fuga subraya la importancia de los controles de acceso al depósito de almacenamiento en la nube, así como de la auditoría periódica de permisos y la supervisión de fugas de datos. Las fugas de depósitos de almacenamiento en la nube son muy comunes: Cyble Odin está detectando actualmente más de 500.000 exposiciones de este tipo entre AWS y Google Cloud Storage. Analizamos las mejores prácticas para el control de acceso al depósito de almacenamiento en la nube y las formas de detectar exposiciones no deseadas. Descripción general Una fuga de depósito de Google Cloud Storage ha vuelto a llamar la atención sobre el riesgo de los depósitos de almacenamiento en la nube mal configurados, uno de los problemas de seguridad en la nube y causas de fugas de datos más comunes. Alice’s Table, ex concursante del programa Shark Tank de la cadena ABC, aparentemente filtró sin darse cuenta más de 37.000 archivos de un depósito de Google Cloud Storage mal configurado, que incluía información de identificación personal (PII) de más de 83.000 clientes, como nombres completos, direcciones de correo electrónico y domicilios particulares. Algunas de las cuentas estaban asociadas a organizaciones, desde Pfizer, PwC y Charles Schwab hasta cuentas gubernamentales. La información podría usarse con fines maliciosos, como phishing y robo de identidad. La filtración subraya la importancia del control de acceso al depósito de almacenamiento en la nube, y de la auditoría periódica de permisos y la supervisión de fugas de datos. Las configuraciones incorrectas del depósito de almacenamiento en la nube son sorprendentemente comunes: la herramienta de búsqueda de vulnerabilidades Odin de Cyble está detectando actualmente más de 332.000 depósitos de almacenamiento de AWS expuestos y más de 168.000 exposiciones de Google Cloud Storage. Analizamos las mejores prácticas y opciones para la gestión del acceso al almacenamiento en la nube, y las formas de detectar accesos no deseados o maliciosos. Prácticas recomendadas para el acceso y la configuración de los depósitos de almacenamiento en la nube No sabemos exactamente qué salió mal en la exposición de los datos de Alice’s Table, pero administrar el acceso a los depósitos de almacenamiento en la nube es una práctica complicada que incluso las organizaciones más grandes pueden hacer mal. Analizaremos las opciones de control de acceso para los depósitos de almacenamiento en la nube en Google Cloud, cómo hacer que un depósito u objetos sean legibles para el público de la forma más segura posible y las opciones para monitorear y detectar depósitos y datos expuestos. Restringir el acceso a los depósitos de almacenamiento de forma predeterminada La mejor manera de proteger un depósito de Google Cloud Storage es no hacerlo público en primer lugar. El acceso a los depósitos de Cloud Storage está restringido de forma predeterminada, pero puede haber razones legítimas por las que los usuarios quieran hacer público un depósito. Google Cloud Storage ofrece dos medios para controlar el acceso a los depósitos de almacenamiento: administración de identidad y acceso (IAM) y listas de control de acceso (ACL). IAM es el método preferido para proteger los depósitos, pero las ACL se pueden usar para configurar el acceso a objetos específicos en un depósito. Google recomienda un acceso uniforme a nivel de depósito, que deshabilita las ACL y hace que IAM sea el medio exclusivo para el control de acceso. El enfoque más detallado de usar IAM y ACL en conjunto plantea un gran riesgo de exposición de datos. La prevención de acceso público es quizás el nivel de control más sólido, ya que anula IAM y ACL. Cómo hacer que un depósito de almacenamiento en la nube sea legible para el público Para que todos los objetos de un depósito sean legibles para todos en Internet pública, puede otorgar al principal allUsers el rol de Visor de objetos de almacenamiento (roles/storage.objectViewer), que incluye el permiso necesario para enumerar los objetos en el depósito, pero un enfoque más seguro es otorgar el rol de Lector de objetos heredados de almacenamiento (roles/storage.legacyObjectReader) para que los usuarios puedan acceder a los objetos sin enumerarlos. Otra forma de equilibrar el acceso y el riesgo es usar carpetas administradas, que permiten un acceso detallado a grupos específicos de objetos con un depósito. Detección de contenedores de almacenamiento en la nube expuestos No existe una forma sencilla de detectar contenedores de almacenamiento en la nube expuestos (los registros de uso son una opción posible), por lo que las auditorías de rutina de los permisos de acceso a los contenedores (y la posible eliminación de los permisos para allUsers y allAuthenticatedUsers) es una práctica de importancia fundamental. Las herramientas de prevención de pérdida de datos (DLP) pueden ayudarlo a identificar dónde tiene almacenados datos confidenciales que necesitan protección, y las herramientas de administración de la postura de seguridad en la nube (CSPM) pueden ayudarlo a identificar problemas de configuración. Otras prácticas importantes de seguridad y cumplimiento del almacenamiento en la nube incluyen el control de versiones de objetos, el cifrado de objetos y la administración de la retención y el ciclo de vida. Cyble Odin puede ayudar a las organizaciones a detectar contenedores de almacenamiento en la nube expuestos, y las herramientas de monitoreo de la web oscura como las de Cyble pueden brindarles a las organizaciones una advertencia temprana cuando ocurren filtraciones para que puedan responder más rápido y tomar medidas para proteger las cuentas y los datos. Relacionado