Amazon S3 è uno dei servizi AWS più usati al mondo, ma anche uno dei più frequentemente esposti per errori di configurazione. La buona notizia: bastano cinque accorgimenti per evitare il 90% dei problemi.

1. Block Public Access (sempre, di default)

Da qualche anno AWS ha introdotto il Block Public Access a livello di account e di bucket. Tienilo attivo ovunque, e disabilitalo solo per i bucket che davvero devono servire contenuti pubblici (es. asset di un sito statico).

2. Versioning attivo sui bucket critici

Il versioning ti permette di recuperare oggetti sovrascritti o cancellati per errore (o cancellati da un attacco ransomware). Costa pochissimo e ti salva la giornata più di una volta.

3. Encryption at rest

Tutti i nuovi bucket S3 hanno la server-side encryption SSE-S3 attiva di default. Verifica comunque che sia attiva, e per dati sensibili valuta SSE-KMS con una customer-managed key per avere un controllo accessi più granulare.

4. Principio del minimo privilegio sulle policy

Evita le policy con "Action": "s3:*". Specifica le azioni necessarie (GetObject, PutObject, etc.) e limita il Resource al singolo bucket o prefisso.

5. Logging e CloudTrail

Attiva il server access logging sul bucket o, ancora meglio, CloudTrail data events per S3. Senza log non puoi rilevare un accesso anomalo.

In sintesi

Sicurezza S3 non vuol dire complessità: significa configurazioni di default sicure e disciplina nelle policy. Inizia da qui, e ti eviterai notizie spiacevoli.