配置错误的Amazon S3 bucket公开敏感数据

在网络安全公司发现IT管理人员未能妥善保护S3 bucket的趋势后,亚马逊为其构建了更多的安全功能。

云简化了对计算和存储资源的访问,使应用程序开发人员、IT管理员和公司员工的生活变得更加轻松。但是,当最终用户不能正确地保护云时,它就会使数据面临更大的风险。

配置错误的Amazon S3 bucket公开敏感数据

配置错误的Amazon S3 bucket公开敏感数据

去年,网络安全公司报告了一系列被错误配置的亚马逊S3 buckets,这些公司已经在互联网上公开TB级的企业数据和绝密军事数据。这种错误配置使任何拥有Amazon帐户的人都可以通过猜测简单存储服务(S3) bucket实例的名称来访问数据。

存储和网络安全专家指出,IT管理员和最终用户是罪魁祸首。用户可以选择使用访问控制列表(ACL)保护每个存储块,以保持数据的私有性,共享这些数据以读取或共享它们以进行读取和写入操作。专家声称,数据是公开的,因为ACL被配置为允许任何拥有Amazon Web服务(AWS)帐户的用户访问数据。没有重新配置Amazon S3 bucket来限制访问。

“也许这对终端用户来说权力是过大了,”Chris Vickery说,他是位于加州山景城的网络安全公司UpGuard的网络风险研究主管。“您真的不能把责任推到亚马逊上。”这些bucket在默认情况下是安全的。这是最终用户的结局。”

去年11月,UpGuard报告了两起在亚马逊S3 bucket 中暴露的敏感数据,这些数据属于美国陆军情报和安全司令部(INSCOM),以及美国中央司令部(CENTCOM)和太平洋司令部。

在不安全的云存储库中发现近100 GB的INSCOM关键数据,包括标有“绝密”和“NOFORN”的信息,这意味任何外国公民都不能查看这些数据。发现的最大的无担保文件是Oracle虚拟设备,它包含一个虚拟硬盘和基于linux的操作系统,可能用于从远程位置接收国防部的数据。UpGuard发现,绝密的数据与已经消失的国防承包商Invertix有关联。

根据一份UpGuard报告,“在S3存储还公开了用于访问属于Invertix的分布式智能系统的私有密钥”。“简单地说,访问由多个五角大楼情报机构所依赖的网络来传播信息的数字工具,不应该将URL输入到网络浏览器的人所利用。”

该报告称:“尽管UpGuard网络风险团队已经发现并帮助获取涉及敏感的国防情报数据的多个数据暴露,但这是首次将机密信息暴露在公开的数据之中。”

CENTCOM数据曝光涉及一名五角大楼的承包商,该承包商从事情报工作,并在亚马逊S3 bucket中留下了180万份公开可访问的社交媒体帖子。军方称此次数据泄露是“良性的”,因为它是世界各地收集到的数据,用来识别那些与军官有关的人。

这些事件是一系列引人注目事件的一部分,在这些事件中,高调的公司将数据留在S3 bucket中。因为ACL配置为允许任何拥有亚马逊账户的用户都能访问这些数据。陷入这一问题的公司包括电信巨头Verizon、美国政府承包商Booz Allen Hamilton、咨询公司Accenture、世界摔跤娱乐和Dow Jones。

存储和网络安全专家都认为这不是亚马逊的错。在创建存储实例时,AWS S3 bucket在默认情况下采用顶级安全性设计。用户可以控制对每个bucket的访问权限级别。

“我们给最终用户的权力太大了吗?”是的,但我们也给了他们键盘,”瑞士存储公司的创始人George Crump说。“人们必须学习。我想这就像安全带法律。有足够的人在做一些事情之前,必须穿过挡风玻璃。组织必须以监控数据中心资产的方式来监视云资产。

组织必须以监控数据中心资产的方式来监视云资产。

创始人,瑞士存储公司Crump补充道:“现在有一些工具可以监控打开的bucket。”“我不想让亚马逊在这方面无可指摘,但事实确实如此。这就像指责汽车制造商,因为人们没有使用安全带。”

本月早些时候,Amazon添加了新的S3加密和安全特性,以帮助解决数据泄露问题。这些特性包括默认加密,强制存储在bucket中的所有对象必须以加密的形式存储。

Amazon还添加了权限检查,在每个Amazon S3 bucket旁边显示一个显著的指示符,该存储bucket是可以公开访问的。使用密钥管理服务进行跨区域复制,可以复制用密钥加密的对象,并且详细的库存报告包括每个对象的加密状态。

David Monahan是科罗拉多州博尔德市企业管理协会的安全与风险管理部门的董事总经理,他表示,使用云服务的消费者需要问更多的关于存储数据的问题,并获得更多关于数据如何受到保护的细节。

“这是一个数据所有者问题,”他说。“一些所有者依靠bucket的名字是私有的。这是不够的。其他用户创建权限,然后不遵循最小权限规则,从而使数据过于开放。对他们,我说,别再偷懒。其他人可能不了解系统访问控制是如何工作的。在公布真实数据之前,他们必须学习。”

相关文章阅读:>>>AWS和Azure等纷纷押注的公有云有哪些成功经验?

发表评论

邮箱地址不会被公开。 必填项已用*标注