隨著1.89億美國選民的信息對外泄露，云安全越來越得到人們的重視。而漏洞將使云安全處于技術(shù)最前沿。選民數(shù)據(jù)存儲在AWS S3解決方案中，其安全性保護(hù)很薄弱。事實(shí)上，將數(shù)據(jù)與在線直接發(fā)布的唯一級別的安全性是一個(gè)簡單的6個(gè)字符的亞馬遜子域。簡而言之，出現(xiàn)漏洞表明組織并沒有遵循最基本的一些AWS安全最佳實(shí)踐。

更重要的是，這種泄漏證明了云安全性對防止數(shù)據(jù)泄漏的重要性。盡管AWS是最受歡迎的IaaS系統(tǒng)，但其安全性尤其是客戶端的安全性常常被忽視。這使得敏感數(shù)據(jù)容易受到內(nèi)部和外部威脅的影響。而媒體報(bào)道的通常是從惡意軟件到DDoS攻擊的外部威脅。然而，內(nèi)部威脅可能更危險(xiǎn)，即使它們是基于疏忽而不是惡意的意圖。

亞馬遜公司已經(jīng)通過其眾多的安全投資和創(chuàng)新解決了外部威脅的問題，例如AWS對DDoS攻擊進(jìn)行屏蔽。盡管采取了廣泛的安全預(yù)防措施，組織良好的黑客仍然可以打破亞馬遜的防御體系。然而，亞馬遜公司不能歸咎于AWS安全漏洞，因?yàn)閾?jù)估計(jì)到2020年，95%的云安全漏洞都是因?yàn)榭蛻舻腻e(cuò)誤造成的。

這是因?yàn)锳WS基于亞馬遜與其客戶之間的合作系統(tǒng)。這個(gè)系統(tǒng)被稱為共享責(zé)任模型，其運(yùn)作方式是假設(shè)亞馬遜負(fù)責(zé)維護(hù)和監(jiān)控AWS基礎(chǔ)設(shè)施，并應(yīng)對欺詐和濫用行為。另一方面，客戶負(fù)責(zé)云計(jì)算中的安全。具體來說，它們負(fù)責(zé)配置和管理服務(wù)本身，以及安裝更新和安全補(bǔ)丁。

AWS的最佳實(shí)踐

以下最佳實(shí)踐作為安全配置AWS的背景。

(1)啟動Cloud Trail日志文件驗(yàn)證

Cloud Trail日志驗(yàn)證確保對日志文件所做的任何更改都可以在傳遞到S3存儲區(qū)之后被識別。這是保護(hù)AWS的一個(gè)重要步驟，因?yàn)樗鼮镾3提供了一個(gè)額外的安全層，這可能會阻止泄漏。

(2)打開Cloud Trail S3存儲區(qū)的訪問記錄

Cloud Trail捕獲的日志數(shù)據(jù)存儲在Cloud Trail S3桶中，可用于活動監(jiān)控和取證調(diào)查。通過啟用登錄日志，客戶可以識別未經(jīng)授權(quán)或未經(jīng)授權(quán)的訪問嘗試，以及跟蹤這些訪問請求，從而提高AWS的安全性。

(3)使用多重身份驗(yàn)證(MFA)

當(dāng)?shù)卿浀礁蜕矸莺驮L問管理(IAM)用戶帳戶時(shí)，應(yīng)激活多重身份驗(yàn)證(MFA)。對于root用戶，多重身份驗(yàn)證(MFA)應(yīng)綁定到專用設(shè)備，而不是任何一個(gè)用戶的個(gè)人設(shè)備。這將確保即使用戶的個(gè)人設(shè)備丟失或該用戶從公司離職，root帳戶也可以訪問。最后，需要MFA才能刪除Cloud Trail日志，因?yàn)楹诳湍軌蛲ㄟ^刪除包含Cloud Trail日志的S3來避免更長時(shí)間的檢測。

(4)定期訪問IAM訪問鍵

在AWS命令行界面(CLI)和AWSAPI之間發(fā)送請求時(shí)，需要訪問密鑰。在標(biāo)準(zhǔn)化和選定的天數(shù)之后訪問此訪問鍵可減少外部和內(nèi)部威脅的風(fēng)險(xiǎn)。這種額外的安全級別確保如果已經(jīng)充分訪問，則不能用丟失或被盜的密鑰訪問數(shù)據(jù)。

(5)最小化離散安全組的數(shù)量

帳戶妥協(xié)可能來自各種來源，其中一個(gè)是安全組的配置錯(cuò)誤。通過最小化離散安全組的數(shù)量，企業(yè)可以減少配置帳戶的風(fēng)險(xiǎn)。

(6)終止未使用的訪問密鑰

AWS用戶必須終止未使用的訪問密鑰，因?yàn)樵L問密鑰可能是破壞帳戶的有效方法。例如，如果有人從公司離職并且仍然可以使用密鑰，該用戶將一直使用到終止。類似地，如果舊的訪問密鑰被刪除，外部威脅只有一個(gè)簡單的機(jī)會窗口。建議終止使用30天未使用的訪問密鑰。

(7)限制訪問Cloud Trailbucket

沒有用戶或管理員帳戶應(yīng)該能夠不受限制地訪問CloudTrail日志，因?yàn)樗鼈內(nèi)菀资艿骄W(wǎng)絡(luò)釣魚攻擊。即使用戶沒有惡意的意圖，他們?nèi)匀缓苊舾小Ｒ虼?，需要限制訪問Cloud Trail日志以限制未經(jīng)授權(quán)的訪問風(fēng)險(xiǎn)。

AWS基礎(chǔ)設(shè)施的這些最佳實(shí)踐可能在保護(hù)用戶的敏感信息方面還有很長的路要走。通過將其中的幾個(gè)應(yīng)用到用戶的AWS配置中，其敏感信息可能保持安全，并且將來可能會阻止更多的漏洞。