安全廠商 Threat Stack 分析了AWS使用模式，發現其中73%都有某種形式的錯誤配置，這會帶來潛在安全風險。

4月18日的AWS峰會上，安全廠商 Threat Stack 展示了很多常見的用戶錯誤安全配置，這些錯誤配置可致用戶云實例暴露在安全風險之下。

Threat Stack 分析了使用AWS的200家公司，想找出是否有潛在安全問題，結果是：不僅有，還有很多。最大問題之一是，73%的用戶在云實例上向公共互聯網開放了SSH服務器遠程管理服務。

Threat Stack 首席技術官山姆·比斯比說道：“要說明的是，這不是SSH里的漏洞，而是糟糕的安全組(防火墻)配置。”

任何類型服務器上的典型SSH，都要求某種形式的身份認證。AWS中發現的問題是，安全組配置允許互聯網上任意源直接通過SSH訪問環境中的任意系統。

“盡管有技術途徑可以安全運行類似的架構，這些方法卻一般都被認為太過復雜，不值當那些額外的工作或風險。”

暴露SSH服務非常危險，因為會導致更大的面向公眾的區域，而這些區域是可被也會被攻擊的。舉個例子，如果某環境中有1000個系統開放了SSH，那就有可能在整個暴露面上擴散攻擊，減小檢測幾率。

1000臺主機每臺出現一個非法登錄，比一臺主機上出現1000個非法登錄，要難發現得多。

從比斯比的經驗來看，SSH主機會很快遭到攻擊。

“我上一次在互聯網上開放SSH做測試時，只過了不到10秒，那臺主機上的SSH就遭到了攻擊。”

另一個安全薄弱環節，是AWS用戶很少使用多因子身份驗證(MFA)。據 Threat Stack 的分析，62%的公司沒有為他們的AWS云實例采用MFA來保證安全。

至于MFA采用率為什么不高，比斯比有幾個想法。

我認為不知道MFA的技術員人數已經急劇下降了?？赡苁侨藗兊凸懒送顿Y，以及存在MFA太難的錯誤認知吧。

Threat Stack 還發現，不是全部AWS用戶，都在所有AWS區域內使用 AWS CloudTrail審計與合規服務。27%的用戶沒有在至少1個AWS區域上配置CloudTrail。

“這種做法很常見，因為用戶慣于只在利用到的區域提供監測——盡管可以自由監測未使用區域。這種做法在系統監測(CPU和硬盤)上挺實用，但不適用于安全或合規監測。”

比如說，如果一家公司只在北弗吉尼亞運行有主機，那在東京就不會出現他們的系統，如果這情況有變，那就必須緊急召人處理，因為這意味著他們的資源要么被黑了，要么提供錯了。

“我個人覺得AWS的教育策略開始走下坡路了，他們需要在客戶行為上做出小的選擇。”

例如，CloudTrail應默認在所有區域都啟用，而MFA應該是強制性的。

我認為，安全作為一種功能供用戶隨意啟用或禁用的做法不再有效，這也是現下安全合作伙伴如此之多的原因之一。如果AWS能默認更多地照管好安全基礎，那我們就可以不再強調這些基本的錯誤配置，而聚焦更難的問題了。