一位研究人員發現共和黨全國委員會的一個選民資料庫被意外公開,并公布了一億九千八百萬選民的資料。
據網絡安全公司UpGuard稱,選民數據庫被托管在一個沒有授權,沒有云訪問控制的Amazon S3存儲桶中。 不幸的是,這類事件在過去的一年中頻繁發生。事實上,同是這家公司發現大量的、存儲在Amazon S3存儲桶的機密數據,在2017年5月泄露。
2017年6月,存儲在由色列軟件公司Nice Systems控制的、不安全的S3桶中的1,400百萬Verizon客戶數據顯泄露。而在2015年,在一家處理健康保險索賠的軟件公司向公眾開放了一個數據庫后,AWS S3暴露了150萬條病歷。
缺乏策略和控制
在這些泄露中,有許多教訓可以吸取。第一個是,當談及云服務,尤其是云存儲時,核心安全最佳實踐已經飄出了窗外。
也許更多的問題是,缺乏對進入云端的敏感數據的策略控制、治理和風險評估。為什么這些數據被發送到云端?為什么一旦數據被放置在那里,幾乎沒有任何對數據的關注和審查呢? 這些問題是企業IT組織需要快速處理的問題。
所有云數據需要使用內部和合規性的分類工作進行分類,當所有數據被發送到云端云時,理想情況下都要先確定政策和風險審查。假設數據被批準在云中使用,組織應遵循許多最佳實踐來確保云得到了更好地控制和監測。
實施云訪問控制為了防止類似于Amazon S3桶泄露事件的發生,組織需要更高水平的、盡職盡責的調查和監督。使用云訪問安全代理(CASB)服務可以幫助許多SaaS和云服務,來跟蹤和控制整個企業的云使用情況。 某些情況下,CASB可能會在敏感數據發送到云服務時,阻止甚至檢測并提醒你。
除此之外,還需要安全團隊設置并控制云存儲環境的訪問權限,同時Amazon S3桶給用戶提供大量可以利用的控制。
首先,對于任何一個Amazon S3桶的實施,都有大量的訪問控制和可用許可。對于所有發送于云端的敏感數據,公司一方面要要示嚴格的、帶有身份管理政策的云訪問,另一方面要持續監測和登錄。
有兩種主要方法可以控制對Amazon S3存儲桶和數據的訪問。第一種方法是最簡單的,通過訪問控制列表(ACL)配置設置中的S3圖形控制臺。S3 ACL使你能夠為經過身份驗證的AWS用戶和任何匿名用戶創建基本的云訪問控制。默認情況下,Amazon S3存儲桶所有者具有對所有內容的讀/寫訪問權限,包括存儲在存儲區中的對象和文件以及存儲區本身的權限。
保證S3存儲桶安全的第二種方法涉及更多,但更為細化。這涉及使用AWS Identity and Access Management設置存儲桶策略,對存儲桶及其資源進行更具體的策略訪問和審計。
額外的步驟一旦設置了云訪問控制,筆測試人員和漏洞評估小組就可以使用多種工具來發現和評估存儲桶策略和一般安全狀況。AWS命令行界面工具可用于管理存儲桶并遠程列出其策略。
獨立滲透測試人員Robin Wood寫了一個名為Bucket Finder的工具,可以用來迫使S3命名空間尋找Amazon S3桶。其他發現和評估工具包括S3 Knock、Lazy S3和AWS Scan。
無論使用什么工具,組織都需要預先定義策略,使用本地或云中的CASB和網關平臺和服務控制數據流到云存儲,并根據標準和合規要求,持續監視S3存儲桶和其他可能不安全的云存儲節點。
京公網安備 11010502049343號