最近美國國防承包商Booz Allen Hamilton公司被發(fā)現(xiàn)將文件存儲在可公開訪問的Amazon Simple Storage Service(S3)存儲桶中，雖然這些數(shù)據(jù)并非機密數(shù)據(jù)，但其中包含的密鑰及密碼可授權(quán)訪問具有更敏感數(shù)據(jù)的其他存儲系統(tǒng)。

此事件以及其他最近Amazon S3存儲桶信息曝光事件突顯利用基于云存儲的風(fēng)險，而且大家通常不會部署內(nèi)部存儲相同的控制。

Amazon S3存儲桶是云存儲系統(tǒng)，它允許企業(yè)存儲大量文件。這些存儲桶被分配到特定區(qū)域;在Booz Allen Hamilton存儲桶的情況下，其存儲桶并沒有托管在受限制的GovCloud區(qū)域，而是存儲在公共區(qū)域。

這個安全事故并不是Amazon的問題;存儲桶需要進行配置才能使其可公開訪問，默認情況為私有而不可公開訪問。該公司這樣做可能是為了對該存儲桶中包含的文件進行協(xié)作工作。

隨著越來越多的企業(yè)選擇轉(zhuǎn)移數(shù)據(jù)到云端，我們可能會看到更多配置錯誤導(dǎo)致意外的數(shù)據(jù)泄露。如果存儲桶因意外或故意原因讓任何人都可以訪問，那么，如果這些文件的權(quán)限被設(shè)置為公開，則存儲桶中所有數(shù)據(jù)都可能被泄露。即使數(shù)據(jù)不是機密數(shù)據(jù)，這些數(shù)據(jù)也可能被用于進一步攻擊，也許通過分析文件中的元數(shù)據(jù)。

如何緩解風(fēng)險

理想情況下，企業(yè)應(yīng)該使用訪問控制列表來限制可訪問Amazon S3存儲桶的IP地址范圍，因為通常不需要從互聯(lián)網(wǎng)的任何地方訪問數(shù)據(jù)。

企業(yè)可通過指定用戶的規(guī)范用戶ID或者使用預(yù)定義組，以定義哪些用戶或組可訪問存儲桶，這可確保存儲桶中的數(shù)據(jù)不可被公開訪問。企業(yè)還可定義每個用戶或組的細粒度權(quán)限水平。

常見錯誤是授權(quán)給Authenticated Users組，并認為這意味著任何Amazon Web Service(AWS)用戶。實際上，這意味著世界上任何具有AWS賬戶的用戶，這可能會將數(shù)據(jù)暴露給所有人。

企業(yè)應(yīng)該檢查每個S3存儲桶以確保權(quán)限得到正確設(shè)置，并應(yīng)為所有未來存儲桶部署計劃確定預(yù)定義策略。由于Amazon S3存儲桶都會有唯一訪問的URL，因此可通過簡單掃描來確定是否可公開訪問。

AWS還提供加密靜態(tài)數(shù)據(jù)的選項--服務(wù)器端加密選項。這可增加第二層防御，如果數(shù)據(jù)在基礎(chǔ)設(shè)施級別受到威脅，這會很有用。

只要權(quán)限設(shè)置正確，Amazon S3存儲桶是很安全的云存儲選項。與云計算很多方面一樣，Amazon提供了工具來安全使用云服務(wù)，但這需要企業(yè)對云安全策略承擔(dān)相同的責(zé)任，就像他們處理內(nèi)部存儲的數(shù)據(jù)一樣。