锁定云中的漏洞:AWS的七个最佳实践

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
日志服务 SLS,月写入数据量 50GB 1个月
云安全基线管理CSPM免费试用,1000次1年
简介:

随着1.89亿美国选民的信息对外泄露,云安全越来越得到人们的重视。而漏洞将使云安全处于技术最前沿。选民数据存储在AWS S3解决方案中,其安全性保护很薄弱。事实上,将数据与在线直接发布的唯一级别的安全性是一个简单的6个字符的亚马逊子域。简而言之,出现漏洞表明组织并没有遵循最基本的一些AWS安全最佳实践。

更重要的是,这种泄漏证明了云安全性对防止数据泄漏的重要性。尽管AWS是最受欢迎的IaaS系统,但其安全性尤其是客户端的安全性常常被忽视。这使得敏感数据容易受到内部和外部威胁的影响。而媒体报道的通常是从恶意软件到DDoS攻击的外部威胁。然而,内部威胁可能更危险,即使它们是基于疏忽而不是恶意的意图。

亚马逊公司已经通过其众多的安全投资和创新解决了外部威胁的问题,例如AWS对DDoS攻击进行屏蔽。尽管采取了广泛的安全预防措施,组织良好的黑客仍然可以打破亚马逊的防御体系。然而,亚马逊公司不能归咎于AWS安全漏洞,因为据估计到2020年,95%的云安全漏洞都是因为客户的错误造成的。

这是因为AWS基于亚马逊与其客户之间的合作系统。这个系统被称为共享责任模型,其运作方式是假设亚马逊负责维护和监控AWS基础设施,并应对欺诈和滥用行为。另一方面,客户负责云计算中的安全。具体来说,它们负责配置和管理服务本身,以及安装更新和安全补丁。

AWS的最佳实践

以下最佳实践作为安全配置AWS的背景。

(1)启动Cloud Trail日志文件验证

Cloud Trail日志验证确保对日志文件所做的任何更改都可以在传递到S3存储区之后被识别。这是保护AWS的一个重要步骤,因为它为S3提供了一个额外的安全层,这可能会阻止泄漏。

(2)打开Cloud Trail S3存储区的访问记录

Cloud Trail捕获的日志数据存储在Cloud Trail S3桶中,可用于活动监控和取证调查。通过启用登录日志,客户可以识别未经授权或未经授权的访问尝试,以及跟踪这些访问请求,从而提高AWS的安全性。

(3)使用多重身份验证(MFA)

当登录到根和身份和访问管理(IAM)用户帐户时,应激活多重身份验证(MFA)。对于root用户,多重身份验证(MFA)应绑定到专用设备,而不是任何一个用户的个人设备。这将确保即使用户的个人设备丢失或该用户从公司离职,root帐户也可以访问。最后,需要MFA才能删除Cloud Trail日志,因为黑客能够通过删除包含Cloud Trail日志的S3来避免更长时间的检测。

(4)定期访问IAM访问键

在AWS命令行界面(CLI)和AWSAPI之间发送请求时,需要访问密钥。在标准化和选定的天数之后访问此访问键可减少外部和内部威胁的风险。这种额外的安全级别确保如果已经充分访问,则不能用丢失或被盗的密钥访问数据。

(5)最小化离散安全组的数量

帐户妥协可能来自各种来源,其中一个是安全组的配置错误。通过最小化离散安全组的数量,企业可以减少配置帐户的风险。

(6)终止未使用的访问密钥

AWS用户必须终止未使用的访问密钥,因为访问密钥可能是破坏帐户的有效方法。例如,如果有人从公司离职并且仍然可以使用密钥,该用户将一直使用到终止。类似地,如果旧的访问密钥被删除,外部威胁只有一个简单的机会窗口。建议终止使用30天未使用的访问密钥。

(7)限制访问Cloud Trailbucket

没有用户或管理员帐户应该能够不受限制地访问CloudTrail日志,因为它们容易受到网络钓鱼攻击。即使用户没有恶意的意图,他们仍然很敏感。因此,需要限制访问Cloud Trail日志以限制未经授权的访问风险。

AWS基础设施的这些最佳实践可能在保护用户的敏感信息方面还有很长的路要走。通过将其中的几个应用到用户的AWS配置中,其敏感信息可能保持安全,并且将来可能会阻止更多的漏洞。 


本文作者:佚名

来源:51CTO

相关文章
|
3月前
【Azure 云服务】云服务(经典)迁移到云服务(外延支持)的八个问题
【Azure 云服务】云服务(经典)迁移到云服务(外延支持)的八个问题
|
3月前
|
安全 Windows
【Azure 云服务】当Windows系统发布新的安全漏洞后,如何查看Azure云服务(Cloud Service)的实例是否也更新了安全补丁呢?
【Azure 云服务】当Windows系统发布新的安全漏洞后,如何查看Azure云服务(Cloud Service)的实例是否也更新了安全补丁呢?
|
5月前
|
存储 云计算
避免供应商锁定:云存储策略与实践
【6月更文挑战第6天】随着云计算技术的广泛应用,云存储成为企业数据存储的重要方式。然而,供应商锁定问题给企业带来了潜在风险。本文深入探讨了避免供应商锁定的云存储策略与实践,包括多供应商策略、数据可移植性、开放标准等方面,并结合示例代码进行分析,为企业提供了有价值的参考。
60 3
|
安全 持续交付 数据安全/隐私保护
Docker 安全性考量:隔离、权限和漏洞管理,保障容器化环境的稳健与可信
Docker 安全性考量:隔离、权限和漏洞管理,保障容器化环境的稳健与可信
685 0
|
安全 数据库 数据安全/隐私保护
|
云安全 安全 网络安全
相比快照备份,云安全中心防勒索解决方案有哪些优势?
相比快照备份,云安全中心防勒索解决方案有哪些优势?
291 0
|
数据中心
消除托管云的误解
云被错误观念所包围。从可行性到长期影响,再到IT的死亡,很难找到准确的云定义,更不用说真正的答案了。
1475 0
|
存储 安全 数据安全/隐私保护