物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊

鎖定云中的漏洞:AWS的七個最佳實(shí)踐

作者:本站收錄
來源:機(jī)房360編譯
日期:2017-09-13 14:13:33
摘要:以下AWS基礎(chǔ)設(shè)施的最佳實(shí)踐可能在保護(hù)用戶的敏感信息方面還有很長的路要走。通過將其中的幾個應(yīng)用到用戶的AWS配置中,其敏感信息可能保持安全,并且將來可能會阻止更多的漏洞。
關(guān)鍵詞:AWS云計(jì)算云平臺

  隨著1.89億美國選民的信息對外泄露,云安全越來越得到人們的重視。而漏洞將使云安全處于技術(shù)最前沿。選民數(shù)據(jù)存儲在AWS S3解決方案中,其安全性保護(hù)很薄弱。事實(shí)上,將數(shù)據(jù)與在線直接發(fā)布的唯一級別的安全性是一個簡單的6個字符的亞馬遜子域。簡而言之,出現(xiàn)漏洞表明組織并沒有遵循最基本的一些AWS安全最佳實(shí)踐。

  更重要的是,這種泄漏證明了云安全性對防止數(shù)據(jù)泄漏的重要性。盡管AWS是最受歡迎的IaaS系統(tǒng),但其安全性尤其是客戶端的安全性常常被忽視。這使得敏感數(shù)據(jù)容易受到內(nèi)部和外部威脅的影響。而媒體報(bào)道的通常是從惡意軟件到DDoS攻擊的外部威脅。然而,內(nèi)部威脅可能更危險,即使它們是基于疏忽而不是惡意的意圖。

  亞馬遜公司已經(jīng)通過其眾多的安全投資和創(chuàng)新解決了外部威脅的問題,例如AWS對DDoS攻擊進(jìn)行屏蔽。盡管采取了廣泛的安全預(yù)防措施,組織良好的黑客仍然可以打破亞馬遜的防御體系。然而,亞馬遜公司不能歸咎于AWS安全漏洞,因?yàn)閾?jù)估計(jì)到2020年,95%的云安全漏洞都是因?yàn)榭蛻舻腻e誤造成的。

  這是因?yàn)锳WS基于亞馬遜與其客戶之間的合作系統(tǒng)。這個系統(tǒng)被稱為共享責(zé)任模型,其運(yùn)作方式是假設(shè)亞馬遜負(fù)責(zé)維護(hù)和監(jiān)控AWS基礎(chǔ)設(shè)施,并應(yīng)對欺詐和濫用行為。另一方面,客戶負(fù)責(zé)云計(jì)算中的安全。具體來說,它們負(fù)責(zé)配置和管理服務(wù)本身,以及安裝更新和安全補(bǔ)丁。

  AWS的最佳實(shí)踐

  以下最佳實(shí)踐作為安全配置AWS的背景。

  (1)啟動Cloud Trail日志文件驗(yàn)證

  Cloud Trail日志驗(yàn)證確保對日志文件所做的任何更改都可以在傳遞到S3存儲區(qū)之后被識別。這是保護(hù)AWS的一個重要步驟,因?yàn)樗鼮镾3提供了一個額外的安全層,這可能會阻止泄漏。

  (2)打開Cloud Trail S3存儲區(qū)的訪問記錄

  Cloud Trail捕獲的日志數(shù)據(jù)存儲在Cloud Trail S3桶中,可用于活動監(jiān)控和取證調(diào)查。通過啟用登錄日志,客戶可以識別未經(jīng)授權(quán)或未經(jīng)授權(quán)的訪問嘗試,以及跟蹤這些訪問請求,從而提高AWS的安全性。

  (3)使用多重身份驗(yàn)證(MFA)

  當(dāng)?shù)卿浀礁蜕矸莺驮L問管理(IAM)用戶帳戶時,應(yīng)激活多重身份驗(yàn)證(MFA)。對于root用戶,多重身份驗(yàn)證(MFA)應(yīng)綁定到專用設(shè)備,而不是任何一個用戶的個人設(shè)備。這將確保即使用戶的個人設(shè)備丟失或該用戶從公司離職,root帳戶也可以訪問。最后,需要MFA才能刪除Cloud Trail日志,因?yàn)楹诳湍軌蛲ㄟ^刪除包含Cloud Trail日志的S3來避免更長時間的檢測。

  (4)定期訪問IAM訪問鍵

  在AWS命令行界面(CLI)和AWSAPI之間發(fā)送請求時,需要訪問密鑰。在標(biāo)準(zhǔn)化和選定的天數(shù)之后訪問此訪問鍵可減少外部和內(nèi)部威脅的風(fēng)險。這種額外的安全級別確保如果已經(jīng)充分訪問,則不能用丟失或被盜的密鑰訪問數(shù)據(jù)。

  (5)最小化離散安全組的數(shù)量

  帳戶妥協(xié)可能來自各種來源,其中一個是安全組的配置錯誤。通過最小化離散安全組的數(shù)量,企業(yè)可以減少配置帳戶的風(fēng)險。

  (6)終止未使用的訪問密鑰

  AWS用戶必須終止未使用的訪問密鑰,因?yàn)樵L問密鑰可能是破壞帳戶的有效方法。例如,如果有人從公司離職并且仍然可以使用密鑰,該用戶將一直使用到終止。類似地,如果舊的訪問密鑰被刪除,外部威脅只有一個簡單的機(jī)會窗口。建議終止使用30天未使用的訪問密鑰。

  (7)限制訪問Cloud Trailbucket

  沒有用戶或管理員帳戶應(yīng)該能夠不受限制地訪問CloudTrail日志,因?yàn)樗鼈內(nèi)菀资艿骄W(wǎng)絡(luò)釣魚攻擊。即使用戶沒有惡意的意圖,他們?nèi)匀缓苊舾小R虼?,需要限制訪問Cloud Trail日志以限制未經(jīng)授權(quán)的訪問風(fēng)險。

  AWS基礎(chǔ)設(shè)施的這些最佳實(shí)踐可能在保護(hù)用戶的敏感信息方面還有很長的路要走。通過將其中的幾個應(yīng)用到用戶的AWS配置中,其敏感信息可能保持安全,并且將來可能會阻止更多的漏洞。

人物訪談