最近美國(guó)國(guó)防承包商Booz Allen Hamilton公司被發(fā)現(xiàn)將文件存儲(chǔ)在可公開(kāi)訪問(wèn)的Amazon Simple Storage Service(S3)存儲(chǔ)桶中，雖然這些數(shù)據(jù)并非機(jī)密數(shù)據(jù)，但其中包含的密鑰及密碼可授權(quán)訪問(wèn)具有更敏感數(shù)據(jù)的其他存儲(chǔ)系統(tǒng)。

此事件以及其他最近Amazon S3存儲(chǔ)桶信息曝光事件突顯利用基于云存儲(chǔ)的風(fēng)險(xiǎn)，而且大家通常不會(huì)部署內(nèi)部存儲(chǔ)相同的控制。

Amazon S3存儲(chǔ)桶是云存儲(chǔ)系統(tǒng)，它允許企業(yè)存儲(chǔ)大量文件。這些存儲(chǔ)桶被分配到特定區(qū)域;在Booz Allen Hamilton存儲(chǔ)桶的情況下，其存儲(chǔ)桶并沒(méi)有托管在受限制的GovCloud區(qū)域，而是存儲(chǔ)在公共區(qū)域。

這個(gè)安全事故并不是Amazon的問(wèn)題;存儲(chǔ)桶需要進(jìn)行配置才能使其可公開(kāi)訪問(wèn)，默認(rèn)情況為私有而不可公開(kāi)訪問(wèn)。該公司這樣做可能是為了對(duì)該存儲(chǔ)桶中包含的文件進(jìn)行協(xié)作工作。

隨著越來(lái)越多的企業(yè)選擇轉(zhuǎn)移數(shù)據(jù)到云端，我們可能會(huì)看到更多配置錯(cuò)誤導(dǎo)致意外的數(shù)據(jù)泄露。如果存儲(chǔ)桶因意外或故意原因讓任何人都可以訪問(wèn)，那么，如果這些文件的權(quán)限被設(shè)置為公開(kāi)，則存儲(chǔ)桶中所有數(shù)據(jù)都可能被泄露。即使數(shù)據(jù)不是機(jī)密數(shù)據(jù)，這些數(shù)據(jù)也可能被用于進(jìn)一步攻擊，也許通過(guò)分析文件中的元數(shù)據(jù)。

如何緩解風(fēng)險(xiǎn)

理想情況下，企業(yè)應(yīng)該使用訪問(wèn)控制列表來(lái)限制可訪問(wèn)Amazon S3存儲(chǔ)桶的IP地址范圍，因?yàn)橥ǔ２恍枰獜幕ヂ?lián)網(wǎng)的任何地方訪問(wèn)數(shù)據(jù)。

企業(yè)可通過(guò)指定用戶的規(guī)范用戶ID或者使用預(yù)定義組，以定義哪些用戶或組可訪問(wèn)存儲(chǔ)桶，這可確保存儲(chǔ)桶中的數(shù)據(jù)不可被公開(kāi)訪問(wèn)。企業(yè)還可定義每個(gè)用戶或組的細(xì)粒度權(quán)限水平。

常見(jiàn)錯(cuò)誤是授權(quán)給Authenticated Users組，并認(rèn)為這意味著任何Amazon Web Service(AWS)用戶。實(shí)際上，這意味著世界上任何具有AWS賬戶的用戶，這可能會(huì)將數(shù)據(jù)暴露給所有人。

企業(yè)應(yīng)該檢查每個(gè)S3存儲(chǔ)桶以確保權(quán)限得到正確設(shè)置，并應(yīng)為所有未來(lái)存儲(chǔ)桶部署計(jì)劃確定預(yù)定義策略。由于Amazon S3存儲(chǔ)桶都會(huì)有唯一訪問(wèn)的URL，因此可通過(guò)簡(jiǎn)單掃描來(lái)確定是否可公開(kāi)訪問(wèn)。

AWS還提供加密靜態(tài)數(shù)據(jù)的選項(xiàng)--服務(wù)器端加密選項(xiàng)。這可增加第二層防御，如果數(shù)據(jù)在基礎(chǔ)設(shè)施級(jí)別受到威脅，這會(huì)很有用。

只要權(quán)限設(shè)置正確，Amazon S3存儲(chǔ)桶是很安全的云存儲(chǔ)選項(xiàng)。與云計(jì)算很多方面一樣，Amazon提供了工具來(lái)安全使用云服務(wù)，但這需要企業(yè)對(duì)云安全策略承擔(dān)相同的責(zé)任，就像他們處理內(nèi)部存儲(chǔ)的數(shù)據(jù)一樣。