根据本届Def Con安全大会上公布的最新数据显示,不少公司、初创企业及政府机关无意中将内部文件泄露至云端。大部分开发者应该听过暴露在公共互联网上的 S3 存储桶,这些由亚马逊负责托管的存储服务器往往由于客户配置错误而不慎开放。一旦将其设置为“公开”,任何人都能够查看其中的敏感数据。但是,开发者可能还不太熟悉暴露的 EBS 快照,其很可能带来更高的安全风险。
事件回溯
网络安全厂商 Bishop Fox 公司高级安全分析师 Ben Morris 在 Def Con 会前的采访中表示,这些弹性块存储(EBS)快照保存着来自云应用程序的全部数据,存放着应用程序密钥,也承载着能够访问客户信息的数据库。
他同时指出:“在丢弃计算机磁盘时,大家都知道应该将其全部清空或者彻底销毁,但与之同样重要,甚至更为重要的 EBS 存储卷却被留在网上供人们随意查看。”
云管理员配置不当
Morris 表示,很多云管理员并没有选择正确的配置选项,并导致 EBS 快照以未加密的形式不慎公开。“这意味着能够上网的任何人都可以下载磁盘内容,并将其接入自己控制的设备当中,而后从中搜索一切本应得到严格保护的秘密。”
利用亚马逊提供的内部搜索功能,Morris 构建了一款工具用于查询并抓取公开暴露的 EBS 快照。他发现,单一区域内暴露的公开快照多达几十个,其中承载着应用程序密钥、关键用户或管理凭证、源代码等。他还从中看到几家大型企业的名字,包括医疗保健供应商以及科技公司等。
他估计,全部亚马逊云区域之上暴露的快照总量可能多达 1250 个。亚马逊方面的一位发言人称,该公司已经将消息通报至将 EBS 快照设置为公开的客户。“如果确实是无意中使用了这一设置,建议尽快撤销。”
Morris 计划在未来几周内公布自己的概念验证代码。“我会给各家企业留几周时间检查自己的磁盘,确保他们及时解决意外暴露问题。”
误操作导致的安全问题
在云计算环境下,企业经常会因为误操作或者配置不当造成数据泄漏。各大云计算平台基本都提供类似的功能,例如服务器有快照,数据库和日志有备份等。这些功能都“实用性”地提供了解决方案,并且比自己构建类似服务要简单好用,但很多企业为了节省成本可能并未接受云厂商的建议,此时就需要依靠企业自身的技术能力。
其次是权限问题,云平台的账户权限管理严格避免无意或者恶意的误操作,就像传统环境下,如果 root 口令全公司都知道,那么出了事情也不奇怪。
最后,通过堡垒机或者云平台自带的审计功能,至少知道发生故障时干了什么,怎么干的,这样恢复环境比较容易。
InfoQ 主编
分布式云行业实践指南(2023)
业内首个分布式云行业实践方法论、工具箱。
评论