最近美国国防承包商Booz Allen Hamilton公司被发现将文件存储在可公开访问的Amazon Simple Storage Service(S3)存储桶中,虽然这些数据并非机密数据,但其中包含的密钥及密码可授权访问具有更敏感数据的其他存储系统。
此事件以及其他最近Amazon S3存储桶信息曝光事件突显利用基于云存储的风险,而且大家通常不会部署内部存储相同的控制。
Amazon S3存储桶是云存储系统,它允许企业存储大量文件。这些存储桶被分配到特定区域;在Booz Allen Hamilton存储桶的情况下,其存储桶并没有托管在受限制的GovCloud区域,而是存储在公共区域。
这个安全事故并不是Amazon的问题;存储桶需要进行配置才能使其可公开访问,默认情况为私有而不可公开访问。该公司这样做可能是为了对该存储桶中包含的文件进行协作工作。
随着越来越多的企业选择转移数据到云端,我们可能会看到更多配置错误导致意外的数据泄露。如果存储桶因意外或故意原因让任何人都可以访问,那么,如果这些文件的权限被设置为公开,则存储桶中所有数据都可能被泄露。即使数据不是机密数据,这些数据也可能被用于进一步攻击,也许通过分析文件中的元数据。
如何缓解风险
理想情况下,企业应该使用访问控制列表来限制可访问Amazon S3存储桶的IP地址范围,因为通常不需要从互联网的任何地方访问数据。
企业可通过指定用户的规范用户ID或者使用预定义组,以定义哪些用户或组可访问存储桶,这可确保存储桶中的数据不可被公开访问。企业还可定义每个用户或组的细粒度权限水平。
常见错误是授权给Authenticated Users组,并认为这意味着任何Amazon Web Service(AWS)用户。实际上,这意味着世界上任何具有AWS账户的用户,这可能会将数据暴露给所有人。
企业应该检查每个S3存储桶以确保权限得到正确设置,并应为所有未来存储桶部署计划确定预定义策略。由于Amazon S3存储桶都会有唯一访问的URL,因此可通过简单扫描来确定是否可公开访问。
AWS还提供加密静态数据的选项--服务器端加密选项。这可增加第二层防御,如果数据在基础设施级别受到威胁,这会很有用。
只要权限设置正确,Amazon S3存储桶是很安全的云存储选项。与云计算很多方面一样,Amazon提供了工具来安全使用云服务,但这需要企业对云安全策略承担相同的责任,就像他们处理内部存储的数据一样。