隨著1.89億美國選民的信息對外泄露，云安全越來越得到人們的重視。而漏洞將使云安全處于技術最前沿。選民數據存儲在AWS S3解決方案中，其安全性保護很薄弱。事實上，將數據與在線直接發布的唯一級別的安全性是一個簡單的6個字符的亞馬遜子域。簡而言之，出現漏洞表明組織并沒有遵循最基本的一些AWS安全最佳實踐。

更重要的是，這種泄漏證明了云安全性對防止數據泄漏的重要性。盡管AWS是最受歡迎的IaaS系統，但其安全性尤其是客戶端的安全性常常被忽視。這使得敏感數據容易受到內部和外部威脅的影響。而媒體報道的通常是從惡意軟件到DDoS攻擊的外部威脅。然而，內部威脅可能更危險，即使它們是基于疏忽而不是惡意的意圖。

亞馬遜公司已經通過其眾多的安全投資和創新解決了外部威脅的問題，例如AWS對DDoS攻擊進行屏蔽。盡管采取了廣泛的安全預防措施，組織良好的黑客仍然可以打破亞馬遜的防御體系。然而，亞馬遜公司不能歸咎于AWS安全漏洞，因為據估計到2020年，95％的云安全漏洞都是因為客戶的錯誤造成的。

這是因為AWS基于亞馬遜與其客戶之間的合作系統。這個系統被稱為共享責任模型，其運作方式是假設亞馬遜負責維護和監控AWS基礎設施，并應對欺詐和濫用行為。另一方面，客戶負責云計算中的安全。具體來說，它們負責配置和管理服務本身，以及安裝更新和安全補丁。

AWS的最佳實踐

以下最佳實踐作為安全配置AWS的背景。

（1）啟動Cloud Trail日志文件驗證

Cloud Trail日志驗證確保對日志文件所做的任何更改都可以在傳遞到S3存儲區之后被識別。這是保護AWS的一個重要步驟，因為它為S3提供了一個額外的安全層，這可能會阻止泄漏。

（2）打開Cloud Trail S3存儲區的訪問記錄

Cloud Trail捕獲的日志數據存儲在Cloud Trail S3桶中，可用于活動監控和取證調查。通過啟用登錄日志，客戶可以識別未經授權或未經授權的訪問嘗試，以及跟蹤這些訪問請求，從而提高AWS的安全性。

（3）使用多重身份驗證（MFA）

當登錄到根和身份和訪問管理（IAM）用戶帳戶時，應激活多重身份驗證（MFA）。對于root用戶，多重身份驗證（MFA）應綁定到專用設備，而不是任何一個用戶的個人設備。這將確保即使用戶的個人設備丟失或該用戶從公司離職，root帳戶也可以訪問。最后，需要MFA才能刪除Cloud Trail日志，因為黑客能夠通過刪除包含Cloud Trail日志的S3來避免更長時間的檢測。

（4）定期訪問IAM訪問鍵

在AWS命令行界面（CLI）和AWSAPI之間發送請求時，需要訪問密鑰。在標準化和選定的天數之后訪問此訪問鍵可減少外部和內部威脅的風險。這種額外的安全級別確保如果已經充分訪問，則不能用丟失或被盜的密鑰訪問數據。

（5）最小化離散安全組的數量

帳戶妥協可能來自各種來源，其中一個是安全組的配置錯誤。通過最小化離散安全組的數量，企業可以減少配置帳戶的風險。

（6）終止未使用的訪問密鑰

AWS用戶必須終止未使用的訪問密鑰，因為訪問密鑰可能是破壞帳戶的有效方法。例如，如果有人從公司離職并且仍然可以使用密鑰，該用戶將一直使用到終止。類似地，如果舊的訪問密鑰被刪除，外部威脅只有一個簡單的機會窗口。建議終止使用30天未使用的訪問密鑰。

（7）限制訪問Cloud Trailbucket

沒有用戶或管理員帳戶應該能夠不受限制地訪問CloudTrail日志，因為它們容易受到網絡釣魚攻擊。即使用戶沒有惡意的意圖，他們仍然很敏感。因此，需要限制訪問Cloud Trail日志以限制未經授權的訪問風險。

AWS基礎設施的這些最佳實踐可能在保護用戶的敏感信息方面還有很長的路要走。通過將其中的幾個應用到用戶的AWS配置中，其敏感信息可能保持安全，并且將來可能會阻止更多的漏洞。