早在2006年,亞馬遜就推出S3。作爲一個平臺,它可以存儲任何類型的數據。從那時起,S3存儲桶成爲最常用的雲存儲工具之一,存儲從服務器日誌到客戶數據的任何內容,其用戶包括Netflix、Reddit和GE Healthcare等著名品牌。
雖然S3推出時很重視安全原則,但它在保障安全性的道路上並不是一帆風順。
近年來,S3存儲桶的安全問題達到頂峯,Uber、埃森哲(Accenture)等公司,甚至美國國防部都受到重大數據泄露的影響。
幾乎所有這些泄漏都有一個共同因素——負責管理雲存儲的管理員錯誤配置了安全設置,導致它們對公衆開放。
你可能想知道,這種事情爲什麼一而再再而三地發生?難道不應該有可用的默認安全配置阻止這類事情發生嗎?
值得稱讚的是,S3一直以來所採用的模型,使新創建的桶默認都是私有的。對公衆和其他經過身份驗證的Amazon AWS帳戶,管理員可以控制其訪問級別。
但問題在於,對某個特定的“桶”,要想判斷公衆應屬於哪個訪問級別並不容易。您可能會得到一個配置受限權限的桶,但該配置中可能包含了一些項,這些項可以覆蓋這些限制,從而提供公開訪問授權。
早在2017年,Amazon就添加了額外的安全更改,以幫助解決由於S3存儲桶配置錯誤而導致的日益增加的安全問題。首先,他們在所有公共桶上打上一個大大的橙色標籤。此外,他們還爲上傳到桶的所有數據添加了默認加密和詳細報告等設置,以幫助識別錯誤配置。
但這顯然還不夠。在這些變化之後的幾個月裏,很多企業仍然面臨着來自完全開放存儲導致的大量數據泄露威脅。
S3用戶面臨的主要問題之一,涉及到所有的規則覆寫和訪問控制列表覆寫,這些覆寫行爲是隨着時間推移逐漸進行的。雖然Amazon仍然默認阻止所有公共S3訪問,但是用戶偶爾需要暫時公開訪問一些數據。
爲方便地實現這一點,管理員可以更新他們的訪問控制列表,允許對數據進行讀訪問,並且想的是稍後刪除該項規則。但不幸的是,數據訪問需求發生了變化,人們又很健忘,這意味着規則可能會比預期停留更長時間,在不應該訪問數據時卻能訪問數據。
嵌套目錄(每個目錄都有各自的權限)也可能進一步增加S3存儲桶訪問和安全的複雜性。最後,您可能會忘記存儲敏感日誌子目錄的子目錄實際上是可以公開訪問的。
亞馬遜在2018年11月遇到了這個問題,當時他們增加了一個選項來阻止全球範圍內所有公共訪問帳戶中的每個S3桶。這爲管理員提供了一個重置按鈕來清除之前的設置,只需一次單擊就可以覆蓋所有自定義規則。
遺憾的是,這些安全更新只有在人們知道它們存在並正確使用它們的情況下才有用。不幸的是,由於用戶錯誤和不正確的使用,只要服務還在運行,我們就可能繼續看到源於錯誤配置的S3桶漏洞。
如果你的公司使用Amazon S3(或任何雲存儲服務),你可以做幾件事來確保數據不會泄露:
- 首先,花一些時間徹底檢查當前的存儲權限。檢查現有的存儲桶,確保沒有任何過時的規則,這些規則可能允許意外的數據訪問。
- 其次,在設置新的雲存儲或管理當前設置時,請遵循最佳實踐原則。Amazon的幫助系統有一個很好的指南,幫助用戶保護S3的安全,類似於Microsoft的Azure存儲服務。
- 最後,退一步考慮一下要上傳到雲中的數據類型。您可以在雲上存儲某些東西並不意味着您一定需要雲存儲。減少您的數據軌跡不僅降低了複雜性,更容易發現錯誤配置,而且還減少了您成爲數據泄露受害者時的潛在損失。
對於公司數據的存儲需求來說,雲存儲是一個非常棒且通常非常划算的工具,但如果不小心,它可能會給您的業務帶來重大的安全問題。
建議您從上面的三個最佳實踐開始最小化風險。當您有疑問時,在將敏感信息上傳到雲上之前,找一位S3(或您使用的任何平臺)的專家並與他們交流。
原文鏈接:
How data breaches forced Amazon to update S3 bucket security
關於作者:
Marc Laliberte是一名高級安全分析師,來自WatchGuard Technologies。