隨著1.89億美國(guó)選民的信息對(duì)外泄露，云安全越來(lái)越得到人們的重視。而漏洞將使云安全處于技術(shù)最前沿。選民數(shù)據(jù)存儲(chǔ)在AWS S3解決方案中，其安全性保護(hù)很薄弱。事實(shí)上，將數(shù)據(jù)與在線直接發(fā)布的唯一級(jí)別的安全性是一個(gè)簡(jiǎn)單的6個(gè)字符的亞馬遜子域。簡(jiǎn)而言之，出現(xiàn)漏洞表明組織并沒(méi)有遵循最基本的一些AWS安全最佳實(shí)踐。

　　更重要的是，這種泄漏證明了云安全性對(duì)防止數(shù)據(jù)泄漏的重要性。盡管AWS是最受歡迎的IaaS系統(tǒng)，但其安全性尤其是客戶端的安全性常常被忽視。這使得敏感數(shù)據(jù)容易受到內(nèi)部和外部威脅的影響。而媒體報(bào)道的通常是從惡意軟件到DDoS攻擊的外部威脅。然而，內(nèi)部威脅可能更危險(xiǎn)，即使它們是基于疏忽而不是惡意的意圖。

　　亞馬遜公司已經(jīng)通過(guò)其眾多的安全投資和創(chuàng)新解決了外部威脅的問(wèn)題，例如AWS對(duì)DDoS攻擊進(jìn)行屏蔽。盡管采取了廣泛的安全預(yù)防措施，組織良好的黑客仍然可以打破亞馬遜的防御體系。然而，亞馬遜公司不能歸咎于AWS安全漏洞，因?yàn)閾?jù)估計(jì)到2020年，95%的云安全漏洞都是因?yàn)榭蛻舻腻e(cuò)誤造成的。

　　這是因?yàn)锳WS基于亞馬遜與其客戶之間的合作系統(tǒng)。這個(gè)系統(tǒng)被稱為共享責(zé)任模型，其運(yùn)作方式是假設(shè)亞馬遜負(fù)責(zé)維護(hù)和監(jiān)控AWS基礎(chǔ)設(shè)施，并應(yīng)對(duì)欺詐和濫用行為。另一方面，客戶負(fù)責(zé)云計(jì)算中的安全。具體來(lái)說(shuō)，它們負(fù)責(zé)配置和管理服務(wù)本身，以及安裝更新和安全補(bǔ)丁。

　　AWS的最佳實(shí)踐

　　以下最佳實(shí)踐作為安全配置AWS的背景。

　　(1)啟動(dòng)Cloud Trail日志文件驗(yàn)證

　　Cloud Trail日志驗(yàn)證確保對(duì)日志文件所做的任何更改都可以在傳遞到S3存儲(chǔ)區(qū)之后被識(shí)別。這是保護(hù)AWS的一個(gè)重要步驟，因?yàn)樗鼮镾3提供了一個(gè)額外的安全層，這可能會(huì)阻止泄漏。

　　(2)打開(kāi)Cloud Trail S3存儲(chǔ)區(qū)的訪問(wèn)記錄

　　Cloud Trail捕獲的日志數(shù)據(jù)存儲(chǔ)在Cloud Trail S3桶中，可用于活動(dòng)監(jiān)控和取證調(diào)查。通過(guò)啟用登錄日志，客戶可以識(shí)別未經(jīng)授權(quán)或未經(jīng)授權(quán)的訪問(wèn)嘗試，以及跟蹤這些訪問(wèn)請(qǐng)求，從而提高AWS的安全性。

　　(3)使用多重身份驗(yàn)證(MFA)

　　當(dāng)?shù)卿浀礁蜕矸莺驮L問(wèn)管理(IAM)用戶帳戶時(shí)，應(yīng)激活多重身份驗(yàn)證(MFA)。對(duì)于root用戶，多重身份驗(yàn)證(MFA)應(yīng)綁定到專用設(shè)備，而不是任何一個(gè)用戶的個(gè)人設(shè)備。這將確保即使用戶的個(gè)人設(shè)備丟失或該用戶從公司離職，root帳戶也可以訪問(wèn)。最后，需要MFA才能刪除Cloud Trail日志，因?yàn)楹诳湍軌蛲ㄟ^(guò)刪除包含Cloud Trail日志的S3來(lái)避免更長(zhǎng)時(shí)間的檢測(cè)。

　　(4)定期訪問(wèn)IAM訪問(wèn)鍵

　　在AWS命令行界面(CLI)和AWSAPI之間發(fā)送請(qǐng)求時(shí)，需要訪問(wèn)密鑰。在標(biāo)準(zhǔn)化和選定的天數(shù)之后訪問(wèn)此訪問(wèn)鍵可減少外部和內(nèi)部威脅的風(fēng)險(xiǎn)。這種額外的安全級(jí)別確保如果已經(jīng)充分訪問(wèn)，則不能用丟失或被盜的密鑰訪問(wèn)數(shù)據(jù)。

　　(5)最小化離散安全組的數(shù)量

　　帳戶妥協(xié)可能來(lái)自各種來(lái)源，其中一個(gè)是安全組的配置錯(cuò)誤。通過(guò)最小化離散安全組的數(shù)量，企業(yè)可以減少配置帳戶的風(fēng)險(xiǎn)。

　　(6)終止未使用的訪問(wèn)密鑰

　　AWS用戶必須終止未使用的訪問(wèn)密鑰，因?yàn)樵L問(wèn)密鑰可能是破壞帳戶的有效方法。例如，如果有人從公司離職并且仍然可以使用密鑰，該用戶將一直使用到終止。類似地，如果舊的訪問(wèn)密鑰被刪除，外部威脅只有一個(gè)簡(jiǎn)單的機(jī)會(huì)窗口。建議終止使用30天未使用的訪問(wèn)密鑰。

　　(7)限制訪問(wèn)Cloud Trailbucket

　　沒(méi)有用戶或管理員帳戶應(yīng)該能夠不受限制地訪問(wèn)CloudTrail日志，因?yàn)樗鼈內(nèi)菀资艿骄W(wǎng)絡(luò)釣魚(yú)攻擊。即使用戶沒(méi)有惡意的意圖，他們?nèi)匀缓苊舾小Ｒ虼耍枰拗圃L問(wèn)Cloud Trail日志以限制未經(jīng)授權(quán)的訪問(wèn)風(fēng)險(xiǎn)。

　　AWS基礎(chǔ)設(shè)施的這些最佳實(shí)踐可能在保護(hù)用戶的敏感信息方面還有很長(zhǎng)的路要走。通過(guò)將其中的幾個(gè)應(yīng)用到用戶的AWS配置中，其敏感信息可能保持安全，并且將來(lái)可能會(huì)阻止更多的漏洞。