אבטחת ענן: 7 טעויות תצורה נפוצות ב-AWS

ה-Cloud Security Alliance פרסמה שוב ושוב את אותה מסקנה: רוב אירועי האבטחה בענן נגרמים מטעויות תצורה – לא מניצול חולשות טכנולוגיות מתוחכמות. ב-AWS, שבה גמישות התצורה גבוהה במיוחד, המרחק בין "עובד" לבין "חשוף" הוא לפעמים checkbox אחד.

1. S3 Buckets ציבוריים

זו הטעות הנפוצה ביותר. S3 bucket שנוצר ב"מהירות" עם הגדרות ציבוריות עלול לחשוף גיבויים, לוגים, קוד, ולעיתים – פרטי לקוחות. AWS הוסיפה Block Public Access כברירת מחדל, אבל ארגונים עדיין מבטלים אותה "לצרכי בדיקה" ושוכחים לחזור.

2. IAM Roles עם הרשאות *:* (Wildcard)

Policy של `Action: "*", Resource: "*"` נוצרת בדרך כלל כשמישהו רצה "לגרום לזה לעבוד מהר". בסביבת Production, הרשאות wildcard אומרות שכל ישות עם גישה ל-role הזה יכולה לעשות הכל – כולל מחיקת buckets, עצירת instances, ושינוי הגדרות אבטחה.

3. Security Groups פתוחות ל-0.0.0.0/0

פורטים כמו SSH (22), RDP (3389), ו-Database (3306/5432) שפתוחים לכל כתובת IP הם הזמנה פתוחה. זה נראה כמו "נפתחתי רק לצורך debug" – ונשאר פתוח לחודשים. סריקות אוטומטיות של האינטרנט מגלות פורטים כאלה תוך דקות.

4. Root Account ללא MFA

ה-Root Account הוא המפתח הראשי לכל AWS account. הוא לא אמור לשמש לפעולות שגרתיות, ובוודאי לא ללא MFA. אם מישהו משיג את סיסמת ה-Root – המשחק נגמר. הפעלת MFA על Root היא פעולה של 5 דקות שיכולה למנוע אסון.

5. Secrets בקוד ובסביבת Build

API keys, database passwords, ו-AWS credentials שמופיעים ב-source code או ב-environment variables של CI/CD pipeline הם אחד הוקטורים הנפוצים ביותר לפריצה. כלים כמו GitGuardian, Trufflehog, ו-AWS Secrets Manager קיימים בדיוק לצורך הזה.

6. CloudTrail כבוי

CloudTrail מתעד כל פעולה ב-AWS account. בלי CloudTrail, אין לכם יכולת לחקור אירוע לאחר-עובדה – לא תדעו מי עשה מה ומתי. הפעלת CloudTrail ושמירת הלוגים ב-S3 מוגן זוכה ב-ROI ענקי באירוע אבטחה.

7. שימוש ב-Default VPC ב-Production

ה-Default VPC של AWS נועד לסביבות פיתוח ובדיקות. הוא לא מוגדר לפי עיקרון ה-Least Privilege ולא מכיל הפרדה נכונה בין subnets ציבוריות לפרטיות. Production workloads צריכים VPC ייעודי עם תכנון מפורש.