博客

云无法保护你免受自身伤害

Lori MacVittie 缩略图
洛里·麦克维蒂
2017 年 11 月 27 日发布

云安全。 如果没有限定条件,这个术语本身实际上就毫无意义。 您是指构成“云”的底层基础设施的安全性吗? 或者也许是命令和控制 API,让您在“云”中配置和管理计算、存储和服务?

因为我知道你没有想到它能够神奇地保护你,避免你自己的失误。 您知道,您故意更改 Amazon S3 存储桶上的默认安全策略,以允许任何拥有 IP 地址的人访问其存储的数据。

如果您认为这是一个荒谬的想法,那么您是对的。 但如果你认为这意味着拥有良好安全保障的组织没有做到这一点,那就错了。

举个例子:最近有消息称,某个系统集成商在 Amazon S3 中开放了各种有用的数据。 您知道,诸如凭证和私钥之类的东西。 我们被告知,这个“错误”很快就得到了纠正,但事实是,为了达到 S3 中对任何人开放的状态,需要操作员采取行动

你必须自觉地开门。 默认情况下,Amazon S3 在访问方面配备了严格的安全控制。 来自亚马逊的文档:

默认情况下,所有 Amazon S3 资源都是私有的,这意味着只有资源所有者才能访问该资源。

-- 设置存储桶和对象访问权限

因此,要使任何拥有正确 IP 地址的人都可以浏览存储桶的内容,需要人类采取有意识的行动。

有问题的 SI 并不是第一个因 Amazon S3 不安全而成为受害者的公司。 早在 2017 年 2 月,研究员Troy Hunt 就详细介绍了与物联网玩具 Cloud Pets 相关的一系列令人着迷的云安全事件。 其中包括“无需特定授权的 Amazon S3 存储桶”。 早在 7 月份,我们就获悉三大服务提供商之一通过错误配置的 Amazon S3 泄露了订阅者记录

为了说明这个问题有多么普遍, Rhino 安全实验室提供了一个有趣的视图,即在 Alexa Top 10000 个网站上对 Amazon S3 进行测试。 结果发现“107 个存储桶(1.07%)具有属于 68 个唯一域的列表权限。 在这 107 个存储桶中,有 61 个(57%)对任何查看者开放了下载权限。 其中 13 个(12%)拥有开放上传权限,8% 则拥有全部三个权限。”

开放式下载已经够糟糕了,因为它会使数据面临被盗窃的风险。 但是也开放上传吗? 这就像鼓励员工点击网络钓鱼电子邮件一样。

云无法保护你免受自己的伤害。 无论是缺乏安全门、检查还是监督,您都不能简单地打开云存储的权限并希望没有人能找到它。 这就像安装闭路电视并向外界开放 telnet 访问一样。

哎呀,是吗?

事情是这样的。 应用程序和数据的安全性取决于您用来保护它们的策略和程序。 像 S3 这样的云存储实现“开放”访问有着正当的理由。 但就像公司防火墙上的端口一样,除非有非常好的理由,否则你不应该将它们设置为完全开放。 

如果您尚未制定某种政策,要求在打开该应用程序或共享该 URL之前审查“云安全”,那么您需要这样做。 现在。 就像,停止阅读并去处理那件事。

不要成为自己最大的敌人。 检查您的政策和程序,确保它们的安全性与您存储在云中的数据的重要性和指定用途保持一致。

只有您可以防止 S3 错误配置成为头条新闻。

如果您需要帮助锁定 Amazon S3 存储桶,Amazon 不仅会提供文档,还会提供工具来提供帮助。