一位研究人員發(fā)現(xiàn)共和黨全國(guó)委員會(huì)的一個(gè)選民資料庫(kù)被意外公開(kāi),并公布了一億九千八百萬(wàn)選民的資料。
據(jù)網(wǎng)絡(luò)安全公司UpGuard稱(chēng),選民數(shù)據(jù)庫(kù)被托管在一個(gè)沒(méi)有授權(quán),沒(méi)有云訪問(wèn)控制的Amazon S3存儲(chǔ)桶中。 不幸的是,這類(lèi)事件在過(guò)去的一年中頻繁發(fā)生。事實(shí)上,同是這家公司發(fā)現(xiàn)大量的、存儲(chǔ)在Amazon S3存儲(chǔ)桶的機(jī)密數(shù)據(jù),在2017年5月泄露。
2017年6月,存儲(chǔ)在由色列軟件公司Nice Systems控制的、不安全的S3桶中的1,400百萬(wàn)Verizon客戶(hù)數(shù)據(jù)顯泄露。而在2015年,在一家處理健康保險(xiǎn)索賠的軟件公司向公眾開(kāi)放了一個(gè)數(shù)據(jù)庫(kù)后,AWS S3暴露了150萬(wàn)條病歷。
缺乏策略和控制
在這些泄露中,有許多教訓(xùn)可以吸取。第一個(gè)是,當(dāng)談及云服務(wù),尤其是云存儲(chǔ)時(shí),核心安全最佳實(shí)踐已經(jīng)飄出了窗外。
也許更多的問(wèn)題是,缺乏對(duì)進(jìn)入云端的敏感數(shù)據(jù)的策略控制、治理和風(fēng)險(xiǎn)評(píng)估。為什么這些數(shù)據(jù)被發(fā)送到云端?為什么一旦數(shù)據(jù)被放置在那里,幾乎沒(méi)有任何對(duì)數(shù)據(jù)的關(guān)注和審查呢? 這些問(wèn)題是企業(yè)IT組織需要快速處理的問(wèn)題。
所有云數(shù)據(jù)需要使用內(nèi)部和合規(guī)性的分類(lèi)工作進(jìn)行分類(lèi),當(dāng)所有數(shù)據(jù)被發(fā)送到云端云時(shí),理想情況下都要先確定政策和風(fēng)險(xiǎn)審查。假設(shè)數(shù)據(jù)被批準(zhǔn)在云中使用,組織應(yīng)遵循許多最佳實(shí)踐來(lái)確保云得到了更好地控制和監(jiān)測(cè)。
實(shí)施云訪問(wèn)控制為了防止類(lèi)似于Amazon S3桶泄露事件的發(fā)生,組織需要更高水平的、盡職盡責(zé)的調(diào)查和監(jiān)督。使用云訪問(wèn)安全代理(CASB)服務(wù)可以幫助許多SaaS和云服務(wù),來(lái)跟蹤和控制整個(gè)企業(yè)的云使用情況。 某些情況下,CASB可能會(huì)在敏感數(shù)據(jù)發(fā)送到云服務(wù)時(shí),阻止甚至檢測(cè)并提醒你。
除此之外,還需要安全團(tuán)隊(duì)設(shè)置并控制云存儲(chǔ)環(huán)境的訪問(wèn)權(quán)限,同時(shí)Amazon S3桶給用戶(hù)提供大量可以利用的控制。
首先,對(duì)于任何一個(gè)Amazon S3桶的實(shí)施,都有大量的訪問(wèn)控制和可用許可。對(duì)于所有發(fā)送于云端的敏感數(shù)據(jù),公司一方面要要示嚴(yán)格的、帶有身份管理政策的云訪問(wèn),另一方面要持續(xù)監(jiān)測(cè)和登錄。
有兩種主要方法可以控制對(duì)Amazon S3存儲(chǔ)桶和數(shù)據(jù)的訪問(wèn)。第一種方法是最簡(jiǎn)單的,通過(guò)訪問(wèn)控制列表(ACL)配置設(shè)置中的S3圖形控制臺(tái)。S3 ACL使你能夠?yàn)榻?jīng)過(guò)身份驗(yàn)證的AWS用戶(hù)和任何匿名用戶(hù)創(chuàng)建基本的云訪問(wèn)控制。默認(rèn)情況下,Amazon S3存儲(chǔ)桶所有者具有對(duì)所有內(nèi)容的讀/寫(xiě)訪問(wèn)權(quán)限,包括存儲(chǔ)在存儲(chǔ)區(qū)中的對(duì)象和文件以及存儲(chǔ)區(qū)本身的權(quán)限。
保證S3存儲(chǔ)桶安全的第二種方法涉及更多,但更為細(xì)化。這涉及使用AWS Identity and Access Management設(shè)置存儲(chǔ)桶策略,對(duì)存儲(chǔ)桶及其資源進(jìn)行更具體的策略訪問(wèn)和審計(jì)。
額外的步驟一旦設(shè)置了云訪問(wèn)控制,筆測(cè)試人員和漏洞評(píng)估小組就可以使用多種工具來(lái)發(fā)現(xiàn)和評(píng)估存儲(chǔ)桶策略和一般安全狀況。AWS命令行界面工具可用于管理存儲(chǔ)桶并遠(yuǎn)程列出其策略。
獨(dú)立滲透測(cè)試人員Robin Wood寫(xiě)了一個(gè)名為Bucket Finder的工具,可以用來(lái)迫使S3命名空間尋找Amazon S3桶。其他發(fā)現(xiàn)和評(píng)估工具包括S3 Knock、Lazy S3和AWS Scan。
無(wú)論使用什么工具,組織都需要預(yù)先定義策略,使用本地或云中的CASB和網(wǎng)關(guān)平臺(tái)和服務(wù)控制數(shù)據(jù)流到云存儲(chǔ),并根據(jù)標(biāo)準(zhǔn)和合規(guī)要求,持續(xù)監(jiān)視S3存儲(chǔ)桶和其他可能不安全的云存儲(chǔ)節(jié)點(diǎn)。