写点什么

为了 S3 的安全性,亚马逊 AWS“操碎了心”

  • 2019-11-19
  • 本文字数:1555 字

    阅读完需:约 5 分钟

为了S3的安全性,亚马逊AWS“操碎了心”

早在 2006 年,亚马逊就推出S3。作为一个平台,它可以存储任何类型的数据。从那时起,S3 存储桶成为最常用的云存储工具之一,存储从服务器日志到客户数据的任何内容,其用户包括 Netflix、Reddit 和 GE Healthcare 等著名品牌。



虽然S3推出时很重视安全原则,但它在保障安全性的道路上并不是一帆风顺。


近年来,S3 存储桶的安全问题达到顶峰,Uber、埃森哲(Accenture)等公司,甚至美国国防部都受到重大数据泄露的影响。


几乎所有这些泄漏都有一个共同因素——负责管理云存储的管理员错误配置了安全设置,导致它们对公众开放。


你可能想知道,这种事情为什么一而再再而三地发生?难道不应该有可用的默认安全配置阻止这类事情发生吗?


值得称赞的是,S3 一直以来所采用的模型,使新创建的桶默认都是私有的。对公众和其他经过身份验证的 Amazon AWS 帐户,管理员可以控制其访问级别。


但问题在于,对某个特定的“桶”,要想判断公众应属于哪个访问级别并不容易。您可能会得到一个配置受限权限的桶,但该配置中可能包含了一些项,这些项可以覆盖这些限制,从而提供公开访问授权。


早在 2017 年,Amazon 就添加了额外的安全更改,以帮助解决由于 S3 存储桶配置错误而导致的日益增加的安全问题。首先,他们在所有公共桶上打上一个大大的橙色标签。此外,他们还为上传到桶的所有数据添加了默认加密和详细报告等设置,以帮助识别错误配置。


但这显然还不够。在这些变化之后的几个月里,很多企业仍然面临着来自完全开放存储导致的大量数据泄露威胁。


S3 用户面临的主要问题之一,涉及到所有的规则覆写和访问控制列表覆写,这些覆写行为是随着时间推移逐渐进行的。虽然 Amazon 仍然默认阻止所有公共 S3 访问,但是用户偶尔需要暂时公开访问一些数据。


为方便地实现这一点,管理员可以更新他们的访问控制列表,允许对数据进行读访问,并且想的是稍后删除该项规则。但不幸的是,数据访问需求发生了变化,人们又很健忘,这意味着规则可能会比预期停留更长时间,在不应该访问数据时却能访问数据。


嵌套目录(每个目录都有各自的权限)也可能进一步增加 S3 存储桶访问和安全的复杂性。最后,您可能会忘记存储敏感日志子目录的子目录实际上是可以公开访问的。


亚马逊在 2018 年 11 月遇到了这个问题,当时他们增加了一个选项来阻止全球范围内所有公共访问帐户中的每个 S3 桶。这为管理员提供了一个重置按钮来清除之前的设置,只需一次单击就可以覆盖所有自定义规则。



遗憾的是,这些安全更新只有在人们知道它们存在并正确使用它们的情况下才有用。不幸的是,由于用户错误和不正确的使用,只要服务还在运行,我们就可能继续看到源于错误配置的S3桶漏洞。


如果你的公司使用 Amazon S3(或任何云存储服务),你可以做几件事来确保数据不会泄露:


  • 首先,花一些时间彻底检查当前的存储权限。检查现有的存储桶,确保没有任何过时的规则,这些规则可能允许意外的数据访问。

  • 其次,在设置新的云存储或管理当前设置时,请遵循最佳实践原则。Amazon 的帮助系统有一个很好的指南,帮助用户保护 S3 的安全,类似于 Microsoft 的Azure存储服务

  • 最后,退一步考虑一下要上传到云中的数据类型。您可以在云上存储某些东西并不意味着您一定需要云存储。减少您的数据轨迹不仅降低了复杂性,更容易发现错误配置,而且还减少了您成为数据泄露受害者时的潜在损失。


对于公司数据的存储需求来说,云存储是一个非常棒且通常非常划算的工具,但如果不小心,它可能会给您的业务带来重大的安全问题。


建议您从上面的三个最佳实践开始最小化风险。当您有疑问时,在将敏感信息上传到云上之前,找一位 S3(或您使用的任何平台)的专家并与他们交流。


原文链接:


How data breaches forced Amazon to update S3 bucket security


关于作者:


Marc Laliberte 是一名高级安全分析师,来自 WatchGuard Technologies。


2019-11-19 15:282795

评论

发布
暂无评论
发现更多内容

tensorflow实现低分辨率灰度图像分类算法

AI_robot

深度学习keras像搭积木般构建神经网络模型

AI_robot

NodeJs中Buffer与Stream理解

小风以北

stream 原理 Node buffer

如何在游戏中快速集成聊天功能

LeanCloud

游戏开发 即时通讯 聊天室 sdk

深入分析小程序运行环境框架原理

小风以北

小程序 编译原理 框架 工作原理

阿里天猫3面(Java研发):GC回收+Redis Hash算法+架构部署+秒杀等

钟奕礼

Java 编程 程序员 架构 面试

专访孙立坚:印度经济发展实力几何 ?

了了Vita

keras深度学习框架

AI_robot

面对不可避免的故障,我们造了一个“上帝视角”的控制台

阿里巴巴云原生

容器 微服务 云原生 监控 应用服务中间件

tensorflow实现像素级图像分割算法

AI_robot

最全Java架构师技能树:Java编程+网络+设计模式+数据库+分布式

钟奕礼

Java 编程 程序员 架构 面试

tensorflow实现深度卷积生成对抗网络(DCGAN)生成手写数字图片

AI_robot

阿里巴巴研究员叔同:云原生是企业数字创新的最短路径

阿里巴巴中间件

云计算 Serverless 容器 云原生 Faas

芯翌科技:技术理想主义的务实之旅

朋湖网

区块链底层Baas平台搭建,区块链政务底层平台开发

民国最出名的女作家,为什么是她?

了了Vita

寻找音乐API接入正版音乐曲库?了解HIFIVE音乐开放平台!

曲多多(嗨翻屋)版权音乐

音乐api 正版曲库 音乐sdk

有道云笔记新版编辑器架构设计(上)

有道技术团队

架构 大前端

访问管理未来的四大趋势

龙归科技

网络安全 身份和访问管理

tensorflow实现CNN模型垃圾分类算法

AI_robot

云图说|将源端MongoDB业务搬迁至华为云DDS的几种方式

华为云开发者联盟

mongodb 数据迁移 华为云文档数据库服务 DDS 文档数据库

最新阿里蚂蚁金服四面(已拿offer)Java技术面经总结

钟奕礼

Java 编程 程序员 架构 面试

《月亮与六便士》:给你500万,你会用它买套房子还是周游世界?

了了Vita

tensorflow实现cifar10彩色图像多类别分类

AI_robot

iOS开发:git上传代码到开源中国的步骤,以及pod的更新方法

花花

ios

JVM技术专题-逃逸分析介绍

码界西柚

Java JVM

推荐16款强大的Twitter视频下载器(2021精选)

科技猫

twitter 软件 网站 分享 视频下载

springboot+redis+rabbitmq实现模拟秒杀系统(附带docker安装mysql,rabbitmq,redis教程)

yk

redis Docker 高并发 RabbitMQ

tensorflow实现两种图像风格融合 即神经风格迁移

AI_robot

Java面试过了京东五面之后,发现掌握了这些技术也没有那么难

钟奕礼

Java 编程 程序员 架构 面试

区块链农产品溯源--保护舌尖上的安全

13530558032

为了S3的安全性,亚马逊AWS“操碎了心”_安全_Marc Laliberte_InfoQ精选文章