提起“云計算”����,相信大家都不再陌生�����,進(jìn)入中國市場(chǎng)這么多年�,無(wú)論是在遠程辦公上還是企業(yè)運營(yíng)的其他方面����,都帶來(lái)了很多便利之處���!這種基于互聯(lián)網(wǎng)提供服務(wù)的業(yè)務(wù)模式���,黑客往往會(huì )利用主觀(guān)上的錯誤用戶(hù)行為���,而非客觀(guān)上的技術(shù)安全缺陷����,對企業(yè)“云”安全進(jìn)行威脅和攻擊�。
根據最新調查���,云配置錯誤是企業(yè)云數據泄露的最主要原因����,許多公司應對云安全的威脅準備工作并不完善�����,這給正在監視企業(yè)云安全的黑客們提供了充分發(fā)現漏洞并攻擊的機會(huì )�����。
以下是常見(jiàn)的5個(gè)AWS錯誤配置:
1��、EC2安全組的權限訪(fǎng)問(wèn)不受控制
與AWS彈性云計算(Elastic Compute Cloud簡(jiǎn)稱(chēng)EC2)實(shí)例相關(guān)聯(lián)的安全組(Security Groups簡(jiǎn)稱(chēng)SGs)類(lèi)似于防火墻�����,它們在協(xié)議和端口上需要設置授權���。這些SG是一組規則�����,它可以過(guò)濾EC2實(shí)例的入站(入口)和出站(出口)流量��。一個(gè)EC2實(shí)例可以有多個(gè)SG��,一個(gè)SG的規則可以隨時(shí)修改�����,如允許指定的IP地址或IP 范圍����、指定端口����、指定協(xié)議等�。
當您使用CloudTrail啟用日志記錄并使用第三方日志分析和管理工具監視日志數據時(shí)���,您可以檢測到那些不受限制的訪(fǎng)問(wèn)���,檢測附加到EC2實(shí)例的SGs何時(shí)允許了對25(SMTP)�、80以及443(HTTP和HTTPS)以外的端口不受限制地進(jìn)行了訪(fǎng)問(wèn)等����。
2���、亞馬遜云機器映像(AMI)不受保護
AMI(全稱(chēng)Amazon Machine Image,亞馬遜機器映像)提供EC2實(shí)例所需的啟動(dòng)信息��,當創(chuàng )建EC2實(shí)例時(shí)�,必須指定它所屬的AMI��。
由于A(yíng)MI包含專(zhuān)有的或敏感的數據��,包括操作系統����、應用程序和配置參數等信息�����,您應該時(shí)刻確保它是私有的�,任何內容都不應該被公開(kāi)��。
3�����、沒(méi)有終止未使用的訪(fǎng)問(wèn)密鑰
訪(fǎng)問(wèn)密鑰是IAM(全稱(chēng)Identity and Access Management���,身份和訪(fǎng)問(wèn)管理)用戶(hù)或AWS根用戶(hù)的長(cháng)期憑證���,可以實(shí)現對公司AWS 資源的個(gè)人訪(fǎng)問(wèn)權限或組訪(fǎng)問(wèn)權限控制���,也可以為AWS以外的用戶(hù)(聯(lián)合用戶(hù))授權����,管理IAM用戶(hù)的訪(fǎng)問(wèn)密鑰對企業(yè)云安全非常重要�!
審計AWS帳戶(hù)是檢測未使用訪(fǎng)問(wèn)密鑰的最佳方法之一��。
可以參考如下步驟在A(yíng)WS管理控制臺來(lái)檢測和刪除未使用的訪(fǎng)問(wèn)密鑰:
l 登錄AWS控制臺
l 左側選擇IAM服務(wù)選項下的用戶(hù)
l 單擊要審核的用戶(hù)
l 單擊安全證書(shū)標簽
l 檢查L(cháng)ast Used列���,如果它顯示為N/A����,這意味著(zhù)訪(fǎng)問(wèn)密鑰從未被選中的該用戶(hù)使用過(guò)����,即這是一個(gè)從未使用的密鑰
您必須對每個(gè)可疑用戶(hù)帳戶(hù)重復此過(guò)程����,并檢查訪(fǎng)問(wèn)密鑰是否未使用或使用過(guò)�����;您還可以通過(guò)下載憑證報告����,然后在命令行接口(command-line interface���,簡(jiǎn)稱(chēng)CLI)����,執行特定命令找到未使用的訪(fǎng)問(wèn)密鑰�����;在獲得未使用的訪(fǎng)問(wèn)密鑰列表后���,您可以繼續從同一個(gè)控制臺刪除它們�。
4�、對Redshift集群的訪(fǎng)問(wèn)不受控制
Amazon Redshift是一個(gè)節點(diǎn)計算資源的集合��,這些資源構成一個(gè)稱(chēng)為集群的組����,每個(gè)集群運行一個(gè)Amazon Redshift engine以及一個(gè)或多個(gè)數據庫�。
首次配置Amazon Redshift集群時(shí)���,默認情況下�����,沒(méi)有人可以訪(fǎng)問(wèn)它�����,為了給其他用戶(hù)授予訪(fǎng)問(wèn)此集群的權限�,需要將其與安全組關(guān)聯(lián)����,并且定義訪(fǎng)問(wèn)規則��。如果不配置安全組就與集群關(guān)聯(lián)�,那Amazon Redshift將是公開(kāi)的�,互聯(lián)網(wǎng)上任何人都可以建議與其數據庫的連接����,這無(wú)疑會(huì )增加暴力攻擊����、SQL注入或Dos攻擊等多種風(fēng)險����。
5�����、過(guò)度允許訪(fǎng)問(wèn)云資源
眾所周知�����,公司如果沒(méi)有防火墻�����,任何人都可以通過(guò)互聯(lián)網(wǎng)直接連接到公司內部網(wǎng)絡(luò )設備���。然而�,當涉及到云平臺時(shí)�����,管理員有時(shí)會(huì )無(wú)意中忽視了配置入站訪(fǎng)問(wèn)規則��,這給黑客們提供了通過(guò)互聯(lián)網(wǎng)直接訪(fǎng)問(wèn)公司內部資源的可趁之機�。
企業(yè)需不間斷審計和審查VPC安全組和網(wǎng)絡(luò )訪(fǎng)問(wèn)控制列表(NACL)�����,獲得入站和出站流量情況�����,跟蹤對這些組的更改事件�����,并對指定協(xié)議或端口有不受限訪(fǎng)問(wèn)時(shí)及時(shí)得到告警通知�。
來(lái)源:百家號
更多資訊:更多資訊
【文章聲明】
本站發(fā)布的【云安全常見(jiàn)的AWS錯誤配置】?jì)热荩▓D片�、視頻和文字)以原創(chuàng )����、轉載和分享為主�,文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng)
如果涉及侵權請盡快告知,我們將會(huì )在第一時(shí)間立刻刪除涉嫌侵權內容�����,本站原創(chuàng )內容未經(jīng)允許不得轉載�,或轉載時(shí)需注明出處�����。
