【ArchSummit架构师峰会】精华内容上线75%,AI大模型中台从理念到实践的探索!>>> 了解详情
写点什么

为了 S3 的安全性,亚马逊 AWS“操碎了心”

  • 2019-11-19
  • 本文字数:1555 字

    阅读完需:约 5 分钟

为了S3的安全性,亚马逊AWS“操碎了心”

早在 2006 年,亚马逊就推出S3。作为一个平台,它可以存储任何类型的数据。从那时起,S3 存储桶成为最常用的云存储工具之一,存储从服务器日志到客户数据的任何内容,其用户包括 Netflix、Reddit 和 GE Healthcare 等著名品牌。



虽然S3推出时很重视安全原则,但它在保障安全性的道路上并不是一帆风顺。


近年来,S3 存储桶的安全问题达到顶峰,Uber、埃森哲(Accenture)等公司,甚至美国国防部都受到重大数据泄露的影响。


几乎所有这些泄漏都有一个共同因素——负责管理云存储的管理员错误配置了安全设置,导致它们对公众开放。


你可能想知道,这种事情为什么一而再再而三地发生?难道不应该有可用的默认安全配置阻止这类事情发生吗?


值得称赞的是,S3 一直以来所采用的模型,使新创建的桶默认都是私有的。对公众和其他经过身份验证的 Amazon AWS 帐户,管理员可以控制其访问级别。


但问题在于,对某个特定的“桶”,要想判断公众应属于哪个访问级别并不容易。您可能会得到一个配置受限权限的桶,但该配置中可能包含了一些项,这些项可以覆盖这些限制,从而提供公开访问授权。


早在 2017 年,Amazon 就添加了额外的安全更改,以帮助解决由于 S3 存储桶配置错误而导致的日益增加的安全问题。首先,他们在所有公共桶上打上一个大大的橙色标签。此外,他们还为上传到桶的所有数据添加了默认加密和详细报告等设置,以帮助识别错误配置。


但这显然还不够。在这些变化之后的几个月里,很多企业仍然面临着来自完全开放存储导致的大量数据泄露威胁。


S3 用户面临的主要问题之一,涉及到所有的规则覆写和访问控制列表覆写,这些覆写行为是随着时间推移逐渐进行的。虽然 Amazon 仍然默认阻止所有公共 S3 访问,但是用户偶尔需要暂时公开访问一些数据。


为方便地实现这一点,管理员可以更新他们的访问控制列表,允许对数据进行读访问,并且想的是稍后删除该项规则。但不幸的是,数据访问需求发生了变化,人们又很健忘,这意味着规则可能会比预期停留更长时间,在不应该访问数据时却能访问数据。


嵌套目录(每个目录都有各自的权限)也可能进一步增加 S3 存储桶访问和安全的复杂性。最后,您可能会忘记存储敏感日志子目录的子目录实际上是可以公开访问的。


亚马逊在 2018 年 11 月遇到了这个问题,当时他们增加了一个选项来阻止全球范围内所有公共访问帐户中的每个 S3 桶。这为管理员提供了一个重置按钮来清除之前的设置,只需一次单击就可以覆盖所有自定义规则。



遗憾的是,这些安全更新只有在人们知道它们存在并正确使用它们的情况下才有用。不幸的是,由于用户错误和不正确的使用,只要服务还在运行,我们就可能继续看到源于错误配置的S3桶漏洞。


如果你的公司使用 Amazon S3(或任何云存储服务),你可以做几件事来确保数据不会泄露:


  • 首先,花一些时间彻底检查当前的存储权限。检查现有的存储桶,确保没有任何过时的规则,这些规则可能允许意外的数据访问。

  • 其次,在设置新的云存储或管理当前设置时,请遵循最佳实践原则。Amazon 的帮助系统有一个很好的指南,帮助用户保护 S3 的安全,类似于 Microsoft 的Azure存储服务

  • 最后,退一步考虑一下要上传到云中的数据类型。您可以在云上存储某些东西并不意味着您一定需要云存储。减少您的数据轨迹不仅降低了复杂性,更容易发现错误配置,而且还减少了您成为数据泄露受害者时的潜在损失。


对于公司数据的存储需求来说,云存储是一个非常棒且通常非常划算的工具,但如果不小心,它可能会给您的业务带来重大的安全问题。


建议您从上面的三个最佳实践开始最小化风险。当您有疑问时,在将敏感信息上传到云上之前,找一位 S3(或您使用的任何平台)的专家并与他们交流。


原文链接:


How data breaches forced Amazon to update S3 bucket security


关于作者:


Marc Laliberte 是一名高级安全分析师,来自 WatchGuard Technologies。


2019-11-19 15:282516

评论

发布
暂无评论
发现更多内容

自动驾驶复苏在2020

陈思

人工智能 自动驾驶

高手和普通人的差距,不看不知道,一看吓一跳

熊斌

学习

中台之路,从平台到中台的思考与实践(二)

孤岛旭日

架构 中台 企业中台 企业架构

从西游到武侠——确定性与不确定性

伯薇

个人成长 管理 确定性 不确定性

特定系统的Linux的构建

韩超

3000w人民币的学费——我的决策反思

孤岛旭日

数据中台 架构 中台 企业中台 企业架构

[KubeFlow] MPI-Operator深度解读

薛磊

Docker gpu kubeflow Kubernetes

【JAVA】感受下JDK14的空指针提示

遇见

Java jdk jep

程序员通过哪些方式来赚钱?

一尘观世界

程序员 外包 自由职业 副业 赚钱

Linux的proc文件系统编程

韩超

微服务架构深度解析与最佳实践-第一部分

kimmking

微服务 最佳实践 深度解析 高可用

服务降级的常见套路

松花皮蛋me

Java

中台之路,从平台到中台的思考与实践(一)

孤岛旭日

架构 中台 企业中台 企业架构

Kylin 实时流处理技术探秘.笔记

迹_Jason

大数据

字节跳动的增长密码

池建强

字节跳动 张一鸣

NVidia-Docker2 性能优化

薛磊

Docker gpu nvidia container

我使用了哪些生产力工具?

Steve

效率工具 软件 Alfred Notion 推荐

Gitlab CI/CD 中的 Cache 机制

Chong

DevOps gitlab cicd

基于RocketMQ实现分布式事务 - 完整示例

清幽之地

Java 分布式事务 RocketMQ 微服务

苏宁云商向江旭:是时候让技术成为新司机了!

TGO鲲鹏会

纯技术改造,技术如何驱动需求,我有话说

一叶而不知秋

项目管理 架构 技术

面试官,不要再问我三次握手和四次挥手

猿人谷

面试 TCP 三次握手 四次挥手

开源这件事儿,越来越“声势浩大”了

赵钰莹

Apache GitHub 阿里巴巴 开源 腾讯

百度主任架构师谭待:打造非职权技术管理机制

TGO鲲鹏会

NVidia Docker介绍

薛磊

Docker

聊聊分心这件事

Jackey

Doris 一种实时多维分析的解决方案

迹_Jason

大数据

Docker Swarm 踩坑

Steve

Docker Docker Swarm 技术 容器 踩坑

人间至味——苦瓜

三只猫

人生 美食 生活

ELF文件格式

韩超

redis数据结构介绍-第一部分 SDS,链表,字典

Nick

redis 源码 数据结构 源码分析 算法

为了S3的安全性,亚马逊AWS“操碎了心”_安全_Marc Laliberte_InfoQ精选文章