随着1.89亿美国选民的信息对外泄露,云安全越来越得到人们的重视。而漏洞将使云安全处于技术最前沿。选民数据存储在AWS S3解决方案中,其安全性保护很薄弱。事实上,将数据与在线直接发布的唯一级别的安全性是一个简单的6个字符的亚马逊子域。简而言之,出现漏洞表明组织并没有遵循最基本的一些AWS安全最佳实践。
更重要的是,这种泄漏证明了云安全性对防止数据泄漏的重要性。尽管AWS是最受欢迎的IaaS系统,但其安全性尤其是客户端的安全性常常被忽视。这使得敏感数据容易受到内部和外部威胁的影响。而媒体报道的通常是从恶意软件到DDoS攻击的外部威胁。然而,内部威胁可能更危险,即使它们是基于疏忽而不是恶意的意图。
亚马逊公司已经通过其众多的安全投资和创新解决了外部威胁的问题,例如AWS对DDoS攻击进行屏蔽。尽管采取了广泛的安全预防措施,组织良好的黑客仍然可以打破亚马逊的防御体系。然而,亚马逊公司不能归咎于AWS安全漏洞,因为据估计到2020年,95%的云安全漏洞都是因为客户的错误造成的。
这是因为AWS基于亚马逊与其客户之间的合作系统。这个系统被称为共享责任模型,其运作方式是假设亚马逊负责维护和监控AWS基础设施,并应对欺诈和滥用行为。另一方面,客户负责云计算中的安全。具体来说,它们负责配置和管理服务本身,以及安装更新和安全补丁。
AWS的最佳实践
以下最佳实践作为安全配置AWS的背景。
(1)启动Cloud Trail日志文件验证
Cloud Trail日志验证确保对日志文件所做的任何更改都可以在传递到S3存储区之后被识别。这是保护AWS的一个重要步骤,因为它为S3提供了一个额外的安全层,这可能会阻止泄漏。
(2)打开Cloud Trail S3存储区的访问记录
Cloud Trail捕获的日志数据存储在Cloud Trail S3桶中,可用于活动监控和取证调查。通过启用登录日志,客户可以识别未经授权或未经授权的访问尝试,以及跟踪这些访问请求,从而提高AWS的安全性。
(3)使用多重身份验证(MFA)
当登录到根和身份和访问管理(IAM)用户帐户时,应激活多重身份验证(MFA)。对于root用户,多重身份验证(MFA)应绑定到专用设备,而不是任何一个用户的个人设备。这将确保即使用户的个人设备丢失或该用户从公司离职,root帐户也可以访问。最后,需要MFA才能删除Cloud Trail日志,因为黑客能够通过删除包含Cloud Trail日志的S3来避免更长时间的检测。
(4)定期访问IAM访问键
在AWS命令行界面(CLI)和AWSAPI之间发送请求时,需要访问密钥。在标准化和选定的天数之后访问此访问键可减少外部和内部威胁的风险。这种额外的安全级别确保如果已经充分访问,则不能用丢失或被盗的密钥访问数据。
(5)最小化离散安全组的数量
帐户妥协可能来自各种来源,其中一个是安全组的配置错误。通过最小化离散安全组的数量,企业可以减少配置帐户的风险。
(6)终止未使用的访问密钥
AWS用户必须终止未使用的访问密钥,因为访问密钥可能是破坏帐户的有效方法。例如,如果有人从公司离职并且仍然可以使用密钥,该用户将一直使用到终止。类似地,如果旧的访问密钥被删除,外部威胁只有一个简单的机会窗口。建议终止使用30天未使用的访问密钥。
(7)限制访问Cloud Trailbucket
没有用户或管理员帐户应该能够不受限制地访问CloudTrail日志,因为它们容易受到网络钓鱼攻击。即使用户没有恶意的意图,他们仍然很敏感。因此,需要限制访问Cloud Trail日志以限制未经授权的访问风险。
AWS基础设施的这些最佳实践可能在保护用户的敏感信息方面还有很长的路要走。通过将其中的几个应用到用户的AWS配置中,其敏感信息可能保持安全,并且将来可能会阻止更多的漏洞。
本文作者:佚名
来源:51CTO
