如何防止Amazon S3存储桶信息泄露?

日期:2017-8-29作者:Rob Shapland

【TechTarget中国原创】

存储桶中,虽然这些数据并非机密数据,但其中包含的密钥及密码可授权访问具有更敏感数据的其他存储系统。

此事件以及其他最近Amazon S3存储桶信息曝光事件突显利用基于云存储的风险,而且大家通常不会部署内部存储相同的控制。

Amazon S3存储桶是云存储系统,它允许企业存储大量文件。这些存储桶被分配到特定区域;在Booz Allen Hamilton存储桶的情况下,其存储桶并没有托管在受限制的GovCloud区域,而是存储在公共区域。

这个安全事故并不是Amazon的问题;存储桶需要进行配置才能使其可公开访问,默认情况为私有而不可公开访问。该公司这样做可能是为了对该存储桶中包含的文件进行协作工作。

随着越来越多的企业选择转移数据到云端,我们可能会看到更多配置错误导致意外的数据泄露。如果存储桶因意外或故意原因让任何人都可以访问,那么,如果这些文件的权限被设置为公开,则存储桶中所有数据都可能被泄露。即使数据不是机密数据,这些数据也可能被用于进一步攻击,也许通过分析文件中的元数据。

如何缓解风险

理想情况下,企业应该使用访问控制列表来限制可访问Amazon S3存储桶的IP地址范围,因为通常不需要从互联网的任何地方访问数据。

企业可通过指定用户的规范用户ID或者使用预定义组,以定义哪些用户或组可访问存储桶,这可确保存储桶中的数据不可被公开访问。企业还可定义每个用户或组的细粒度权限水平。

常见错误是授权给Authenticated Users组,并认为这意味着任何Amazon Web Service(AWS)用户。实际上,这意味着世界上任何具有AWS账户的用户,这可能会将数据暴露给所有人。

企业应该检查每个S3存储桶以确保权限得到正确设置,并应为所有未来存储桶部署计划确定预定义策略。由于Amazon S3存储桶都会有唯一访问的URL,因此可通过简单扫描来确定是否可公开访问。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

Rob Shapland
Rob Shapland

Senior penetration tester at First Base Technologies where he specialises in Web application security.

云计算>更多

  • Veeam进入中国一年半:多云是撬动市场的最大机会

    多云不只是针对中国市场,在全球市场也是一个巨大的机会。无论是物理机系统、虚机、云的工作负载还是云原生负载都为让多云成为一个必备的条件……

  • 如何防止Amazon S3存储桶信息泄露?

    最近美国国防承包商Booz Allen Hamilton公司被发现将文件存储在可公开访问的Amazon Simple Storage Service(S3)存储桶中,虽然这些数据并非机密数据,但其中包含的密钥及密码可授权访问具有更敏感数据的其他存储系统。

  • 私有云之死

    随着公有云的接纳程度不断地增加,还遗留着一个问题:到底私有云现在变得怎么样了呢?私有云本应该在拥有公有云提供的灵活性、自服务和弹性之余还不依赖于任何厂家的设备……

  • “函数云”即将崛起?

    用户在事件处理中已经看到了未来的云。IoT在广泛的领域里大量生产事件的潜力,同时较短控制环路的要求将彻底改变云的使用……

技术手册>更多

  • 数据中心存储:现在与未来

    随着IT技术的发展,数据中心存储类型选项多样化趋势正在加重:从开源到专有,从本地到云端,从iSCSI到Ceph等等。如何选择适合自己的?另外,作为虚拟化的另外一种形式,容器发展如火如荼,但它本身却面临着存储这一重要问题,可有了解决办法?技术仍在向前发展,一些新的存储技术正在引起行业人士的注意,比如的SSD、超融合存储、数据感知存储等... ...

  • 数据中心故障排除技巧Top5

    当数据中心出现问题时,从服务器到网络到存储都有可能成为罪魁祸首。当然,诊断方法也非常多:查看日志文件的变化,检查硬件损坏或诊断网络瓶颈问题。知道IT基础设施的来龙去脉,梳理服务器和存储系统——无论是本地还是云端——可以帮你指出正确的方向。本期技术手册分享五个数据中心故障排除技巧,帮助IT管理员识别并解决常见的问题。

  • Exchange服务指南

    在你计划将完成Exchange 2013迁移的同时,Exchange 2016已经在路上了。作为微软知名的企业邮箱软件,确保Exchange正常健康地运行非常重要。

  • 为什么使用DevOps

    有多种不同的技术变革都在深刻影响着企业IT部门工作的方式。虚拟化,云计算,软件定义一切,大数据,一切皆服务——这些都迫使IT做出改变,并关注新的工作方案,DevOps。

TechTarget

最新资源
  • 安全
  • 存储
  • 数据库
  • 虚拟化
  • 网络
  • 服务器
【TechTarget中国原创】

最近美国国防承包商Booz Allen Hamilton公司被发现将文件存储在可公开访问的Amazon Simple Storage Service(S3)存储桶中,虽然这些数据并非机密数据,但其中包含的密钥及密码可授权访问具有更敏感数据的其他存储系统。

此事件以及其他最近Amazon S3存储桶信息曝光事件突显利用基于云存储的风险,而且大家通常不会部署内部存储相同的控制。

Amazon S3存储桶是云存储系统,它允许企业存储大量文件。这些存储桶被分配到特定区域;在Booz Allen Hamilton存储桶的情况下,其存储桶并没有托管在受限制的GovCloud区域,而是存储在公共区域。

这个安全事故并不是Amazon的问题;存储桶需要进行配置才能使其可公开访问,默认情况为私有而不可公开访问。该公司这样做可能是为了对该存储桶中包含的文件进行协作工作。

随着越来越多的企业选择转移数据到云端,我们可能会看到更多配置错误导致意外的数据泄露。如果存储桶因意外或故意原因让任何人都可以访问,那么,如果这些文件的权限被设置为公开,则存储桶中所有数据都可能被泄露。即使数据不是机密数据,这些数据也可能被用于进一步攻击,也许通过分析文件中的元数据。

如何缓解风险

理想情况下,企业应该使用访问控制列表来限制可访问Amazon S3存储桶的IP地址范围,因为通常不需要从互联网的任何地方访问数据。

企业可通过指定用户的规范用户ID或者使用预定义组,以定义哪些用户或组可访问存储桶,这可确保存储桶中的数据不可被公开访问。企业还可定义每个用户或组的细粒度权限水平。

常见错误是授权给Authenticated Users组,并认为这意味着任何Amazon Web Service(AWS)用户。实际上,这意味着世界上任何具有AWS账户的用户,这可能会将数据暴露给所有人。

企业应该检查每个S3存储桶以确保权限得到正确设置,并应为所有未来存储桶部署计划确定预定义策略。由于Amazon S3存储桶都会有唯一访问的URL,因此可通过简单扫描来确定是否可公开访问。

AWS还提供加密静态数据的选项--服务器端加密选项。这可增加第二层防御,如果数据在基础设施级别受到威胁,这会很有用。

只要权限设置正确,Amazon S3存储桶是很安全的云存储选项。与云计算很多方面一样,Amazon提供了工具来安全使用云服务,但这需要企业对云安全策略承担相同的责任,就像他们处理内部存储的数据一样。