云安全干貨分享—常見AWS配置錯誤

提起“云計算”，相信大家都不再陌生，進(jìn)入中國市場這么多年，無論是在遠(yuǎn)程辦公上還是企業(yè)運(yùn)營的其他方面，都帶來了很多便利之處！

這種基于互聯(lián)網(wǎng)提供服務(wù)的業(yè)務(wù)模式，黑客往往會利用主觀上的錯誤用戶行為，而非客觀上的技術(shù)安全缺陷，對企業(yè)“云”安全進(jìn)行威脅和攻擊。

根據(jù)最新調(diào)查，云配置錯誤是企業(yè)云數(shù)據(jù)泄露的最主要原因，許多公司應(yīng)對云安全的威脅準(zhǔn)備工作并不完善，這給正在監(jiān)視企業(yè)云安全的黑客們提供了充分發(fā)現(xiàn)漏洞并攻擊的機(jī)會。

以下是常見的5個AWS錯誤配置：

1、EC2安全組權(quán)限訪問不受控制

與AWS彈性云計算(Elastic Compute Cloud簡稱EC2)實(shí)例相關(guān)聯(lián)的安全組(Security Groups簡稱SGs)類似于防火墻，它們在協(xié)議和端口上需要設(shè)置授權(quán)。

這些SG是一組規(guī)則，它可以過濾EC2實(shí)例的入站（入口)和出站(出口）流量。一個EC2實(shí)例可以有多個SG，一個SG的規(guī)則可以隨時修改，如允許指定的IP地址或IP范圍、指定端口、指定協(xié)議等。

當(dāng)您使用CloudTrail啟用日志記錄并使用第三方日志分析和管理工具監(jiān)視日志數(shù)據(jù)時，您可以檢測到那些不受限制的訪問，檢測附加到EC2實(shí)例的SGs何時允許了對25(SMTP)、80以及443(HTTP和HTTPS)以外的端口不受限制地進(jìn)行了訪問等。

2、亞馬遜云機(jī)器映像(AMI)不受保護(hù)

AMI（全稱Amazon Machine Image,亞馬遜機(jī)器映像）提供EC2實(shí)例所需的啟動信息，當(dāng)創(chuàng)建EC2實(shí)例時，必須指定它所屬的AMI。

由于AMI包含專有的或敏感的數(shù)據(jù)，包括操作系統(tǒng)、應(yīng)用程序和配置參數(shù)等信息，您應(yīng)該時刻確保它是私有的，任何內(nèi)容都不應(yīng)該被公開。

3、沒有終止未使用訪問密鑰

訪問密鑰是IAM（全稱Identity and Access Management，身份和訪問管理）用戶或AWS根用戶的長期憑證，可以實(shí)現(xiàn)對公司AWS資源的個人訪問權(quán)限或組訪問權(quán)限控制，也可以為AWS以外的用戶（聯(lián)合用戶）授權(quán)，管理IAM用戶的訪問密鑰對企業(yè)云安全非常重要！

審計AWS帳戶是檢測未使用訪問密鑰的最佳方法之一,可以參考如下步驟在AWS管理控制臺來檢測和刪除未使用的訪問密鑰：

·登錄AWS控制臺

·左側(cè)選擇IAM服務(wù)選項下的用戶

·單擊要審核的用戶

·單擊安全證書標(biāo)簽

·檢查Last Used列，如果它顯示為N/A，這意味著訪問密鑰從未被選中的該用戶使用過，即這是一個從未使用的密鑰

您必須對每個可疑用戶帳戶重復(fù)此過程，并檢查訪問密鑰是否未使用或使用過；您還可以通過下載憑證報告，然后在命令行接口(command-line interface，簡稱CLI)，執(zhí)行特定命令找到未使用的訪問密鑰；在獲得未使用的訪問密鑰列表后，您可以繼續(xù)從同一個控制臺刪除它們。

4、對Redshift集群訪問不受控制

Amazon Redshift是一個節(jié)點(diǎn)計算資源的集合，這些資源構(gòu)成一個稱為集群的組，每個集群運(yùn)行一個Amazon Redshift engine以及一個或多個數(shù)據(jù)庫。

首次配置Amazon Redshift集群時，默認(rèn)情況下，沒有人可以訪問它，為了給其他用戶授予訪問此集群的權(quán)限，需要將其與安全組關(guān)聯(lián)，并且定義訪問規(guī)則。

如果不配置安全組就與集群關(guān)聯(lián)，那Amazon Redshift將是公開的，互聯(lián)網(wǎng)上任何人都可以建議與其數(shù)據(jù)庫的連接，這無疑會增加暴力攻擊、SQL注入或Dos攻擊等多種風(fēng)險。

5、過度允許訪問云資源

都知道，公司如果沒有防火墻，任何人都可以通過互聯(lián)網(wǎng)直接連接到公司內(nèi)部網(wǎng)絡(luò)設(shè)備。

然而，當(dāng)涉及到云平臺時，管理員有時會無意中忽視了配置入站訪問規(guī)則，這給黑客們提供了通過互聯(lián)網(wǎng)直接訪問公司內(nèi)部資源的可趁之機(jī)。

企業(yè)需不間斷審計和審查VPC安全組和網(wǎng)絡(luò)訪問控制列表(NACL)，獲得入站和出站流量情況，跟蹤對這些組的更改事件，并對指定協(xié)議或端口有不受限訪問時及時得到告警通知。

Log360，一個全面的安全和信息事件管理(SIEM)解決方案，您可以：

·了解AWS中用戶活動的詳細(xì)信息

·獲得VPC安全組變化、子網(wǎng)更改等重要事件的實(shí)時通知

·得到重要資源配置變化的詳細(xì)報表，如ELB、RDS、EC2

·及時發(fā)現(xiàn)未經(jīng)授權(quán)的更改并阻止

·防止數(shù)據(jù)泄漏事件發(fā)生

·確保文件完整性

·實(shí)時了解誰正在訪問AWS環(huán)境中的什么資源