最近美國國防承包商Booz Allen Hamilton公司被發現將文件存儲在可公開訪問的Amazon Simple Storage Service(S3)存儲桶中，雖然這些數據并非機密數據，但其中包含的密鑰及密碼可授權訪問具有更敏感數據的其他存儲系統。

此事件以及其他最近Amazon S3存儲桶信息曝光事件突顯利用基于云存儲的風險，而且大家通常不會部署內部存儲相同的控制。

Amazon S3存儲桶是云存儲系統，它允許企業存儲大量文件。這些存儲桶被分配到特定區域;在Booz Allen Hamilton存儲桶的情況下，其存儲桶并沒有托管在受限制的GovCloud區域，而是存儲在公共區域。

這個安全事故并不是Amazon的問題;存儲桶需要進行配置才能使其可公開訪問，默認情況為私有而不可公開訪問。該公司這樣做可能是為了對該存儲桶中包含的文件進行協作工作。

隨著越來越多的企業選擇轉移數據到云端，我們可能會看到更多配置錯誤導致意外的數據泄露。如果存儲桶因意外或故意原因讓任何人都可以訪問，那么，如果這些文件的權限被設置為公開，則存儲桶中所有數據都可能被泄露。即使數據不是機密數據，這些數據也可能被用于進一步攻擊，也許通過分析文件中的元數據。

如何緩解風險

理想情況下，企業應該使用訪問控制列表來限制可訪問Amazon S3存儲桶的IP地址范圍，因為通常不需要從互聯網的任何地方訪問數據。

企業可通過指定用戶的規范用戶ID或者使用預定義組，以定義哪些用戶或組可訪問存儲桶，這可確保存儲桶中的數據不可被公開訪問。企業還可定義每個用戶或組的細粒度權限水平。

常見錯誤是授權給Authenticated Users組，并認為這意味著任何Amazon Web Service(AWS)用戶。實際上，這意味著世界上任何具有AWS賬戶的用戶，這可能會將數據暴露給所有人。

企業應該檢查每個S3存儲桶以確保權限得到正確設置，并應為所有未來存儲桶部署計劃確定預定義策略。由于Amazon S3存儲桶都會有唯一訪問的URL，因此可通過簡單掃描來確定是否可公開訪問。

AWS還提供加密靜態數據的選項--服務器端加密選項。這可增加第二層防御，如果數據在基礎設施級別受到威脅，這會很有用。

只要權限設置正確，Amazon S3存儲桶是很安全的云存儲選項。與云計算很多方面一樣，Amazon提供了工具來安全使用云服務，但這需要企業對云安全策略承擔相同的責任，就像他們處理內部存儲的數據一樣。