云安全干貨分享—常見(jiàn)AWS配置錯(cuò)誤

提起“云計(jì)算”，相信大家都不再陌生，進(jìn)入中國(guó)市場(chǎng)這么多年，無(wú)論是在遠(yuǎn)程辦公上還是企業(yè)運(yùn)營(yíng)的其他方面，都帶來(lái)了很多便利之處！

這種基于互聯(lián)網(wǎng)提供服務(wù)的業(yè)務(wù)模式，黑客往往會(huì)利用主觀上的錯(cuò)誤用戶(hù)行為，而非客觀上的技術(shù)安全缺陷，對(duì)企業(yè)“云”安全進(jìn)行威脅和攻擊。

根據(jù)最新調(diào)查，云配置錯(cuò)誤是企業(yè)云數(shù)據(jù)泄露的最主要原因，許多公司應(yīng)對(duì)云安全的威脅準(zhǔn)備工作并不完善，這給正在監(jiān)視企業(yè)云安全的黑客們提供了充分發(fā)現(xiàn)漏洞并攻擊的機(jī)會(huì)。

以下是常見(jiàn)的5個(gè)AWS錯(cuò)誤配置：

1、EC2安全組權(quán)限訪(fǎng)問(wèn)不受控制

與AWS彈性云計(jì)算(Elastic Compute Cloud簡(jiǎn)稱(chēng)EC2)實(shí)例相關(guān)聯(lián)的安全組(Security Groups簡(jiǎn)稱(chēng)SGs)類(lèi)似于防火墻，它們?cè)趨f(xié)議和端口上需要設(shè)置授權(quán)。

這些SG是一組規(guī)則，它可以過(guò)濾EC2實(shí)例的入站（入口)和出站(出口）流量。一個(gè)EC2實(shí)例可以有多個(gè)SG，一個(gè)SG的規(guī)則可以隨時(shí)修改，如允許指定的IP地址或IP范圍、指定端口、指定協(xié)議等。

當(dāng)您使用CloudTrail啟用日志記錄并使用第三方日志分析和管理工具監(jiān)視日志數(shù)據(jù)時(shí)，您可以檢測(cè)到那些不受限制的訪(fǎng)問(wèn)，檢測(cè)附加到EC2實(shí)例的SGs何時(shí)允許了對(duì)25(SMTP)、80以及443(HTTP和HTTPS)以外的端口不受限制地進(jìn)行了訪(fǎng)問(wèn)等。

2、亞馬遜云機(jī)器映像(AMI)不受保護(hù)

AMI（全稱(chēng)Amazon Machine Image,亞馬遜機(jī)器映像）提供EC2實(shí)例所需的啟動(dòng)信息，當(dāng)創(chuàng)建EC2實(shí)例時(shí)，必須指定它所屬的AMI。

由于AMI包含專(zhuān)有的或敏感的數(shù)據(jù)，包括操作系統(tǒng)、應(yīng)用程序和配置參數(shù)等信息，您應(yīng)該時(shí)刻確保它是私有的，任何內(nèi)容都不應(yīng)該被公開(kāi)。

3、沒(méi)有終止未使用訪(fǎng)問(wèn)密鑰

訪(fǎng)問(wèn)密鑰是IAM（全稱(chēng)Identity and Access Management，身份和訪(fǎng)問(wèn)管理）用戶(hù)或AWS根用戶(hù)的長(zhǎng)期憑證，可以實(shí)現(xiàn)對(duì)公司AWS資源的個(gè)人訪(fǎng)問(wèn)權(quán)限或組訪(fǎng)問(wèn)權(quán)限控制，也可以為AWS以外的用戶(hù)（聯(lián)合用戶(hù)）授權(quán)，管理IAM用戶(hù)的訪(fǎng)問(wèn)密鑰對(duì)企業(yè)云安全非常重要！

審計(jì)AWS帳戶(hù)是檢測(cè)未使用訪(fǎng)問(wèn)密鑰的最佳方法之一,可以參考如下步驟在AWS管理控制臺(tái)來(lái)檢測(cè)和刪除未使用的訪(fǎng)問(wèn)密鑰：

·登錄AWS控制臺(tái)

·左側(cè)選擇IAM服務(wù)選項(xiàng)下的用戶(hù)

·單擊要審核的用戶(hù)

·單擊安全證書(shū)標(biāo)簽

·檢查L(zhǎng)ast Used列，如果它顯示為N/A，這意味著訪(fǎng)問(wèn)密鑰從未被選中的該用戶(hù)使用過(guò)，即這是一個(gè)從未使用的密鑰

您必須對(duì)每個(gè)可疑用戶(hù)帳戶(hù)重復(fù)此過(guò)程，并檢查訪(fǎng)問(wèn)密鑰是否未使用或使用過(guò)；您還可以通過(guò)下載憑證報(bào)告，然后在命令行接口(command-line interface，簡(jiǎn)稱(chēng)CLI)，執(zhí)行特定命令找到未使用的訪(fǎng)問(wèn)密鑰；在獲得未使用的訪(fǎng)問(wèn)密鑰列表后，您可以繼續(xù)從同一個(gè)控制臺(tái)刪除它們。

4、對(duì)Redshift集群訪(fǎng)問(wèn)不受控制

Amazon Redshift是一個(gè)節(jié)點(diǎn)計(jì)算資源的集合，這些資源構(gòu)成一個(gè)稱(chēng)為集群的組，每個(gè)集群運(yùn)行一個(gè)Amazon Redshift engine以及一個(gè)或多個(gè)數(shù)據(jù)庫(kù)。

首次配置Amazon Redshift集群時(shí)，默認(rèn)情況下，沒(méi)有人可以訪(fǎng)問(wèn)它，為了給其他用戶(hù)授予訪(fǎng)問(wèn)此集群的權(quán)限，需要將其與安全組關(guān)聯(lián)，并且定義訪(fǎng)問(wèn)規(guī)則。

如果不配置安全組就與集群關(guān)聯(lián)，那Amazon Redshift將是公開(kāi)的，互聯(lián)網(wǎng)上任何人都可以建議與其數(shù)據(jù)庫(kù)的連接，這無(wú)疑會(huì)增加暴力攻擊、SQL注入或Dos攻擊等多種風(fēng)險(xiǎn)。

5、過(guò)度允許訪(fǎng)問(wèn)云資源

都知道，公司如果沒(méi)有防火墻，任何人都可以通過(guò)互聯(lián)網(wǎng)直接連接到公司內(nèi)部網(wǎng)絡(luò)設(shè)備。

然而，當(dāng)涉及到云平臺(tái)時(shí)，管理員有時(shí)會(huì)無(wú)意中忽視了配置入站訪(fǎng)問(wèn)規(guī)則，這給黑客們提供了通過(guò)互聯(lián)網(wǎng)直接訪(fǎng)問(wèn)公司內(nèi)部資源的可趁之機(jī)。

企業(yè)需不間斷審計(jì)和審查VPC安全組和網(wǎng)絡(luò)訪(fǎng)問(wèn)控制列表(NACL)，獲得入站和出站流量情況，跟蹤對(duì)這些組的更改事件，并對(duì)指定協(xié)議或端口有不受限訪(fǎng)問(wèn)時(shí)及時(shí)得到告警通知。

Log360，一個(gè)全面的安全和信息事件管理(SIEM)解決方案，您可以：

·了解AWS中用戶(hù)活動(dòng)的詳細(xì)信息

·獲得VPC安全組變化、子網(wǎng)更改等重要事件的實(shí)時(shí)通知

·得到重要資源配置變化的詳細(xì)報(bào)表，如ELB、RDS、EC2

·及時(shí)發(fā)現(xiàn)未經(jīng)授權(quán)的更改并阻止

·防止數(shù)據(jù)泄漏事件發(fā)生

·確保文件完整性

·實(shí)時(shí)了解誰(shuí)正在訪(fǎng)問(wèn)AWS環(huán)境中的什么資源