作者：趙鈺瑩、核子可樂

根據(jù)本屆 Def Con 安全大會上公布的最新數(shù)據(jù)顯示，不少公司、初創(chuàng)企業(yè)及政府機關(guān)無意中將內(nèi)部文件泄露至云端。大部分開發(fā)者應(yīng)該聽過暴露在公共互聯(lián)網(wǎng)上的 S3 存儲桶，這些由亞馬遜負責(zé)托管的存儲服務(wù)器往往由于客戶配置錯誤而不慎開放。一旦將其設(shè)置為“公開”，任何人都能夠查看其中的敏感數(shù)據(jù)。但是，開發(fā)者可能還不太熟悉暴露的 EBS 快照，其很可能帶來更高的安全風(fēng)險。

事件回溯

網(wǎng)絡(luò)安全廠商 Bishop Fox 公司高級安全分析師 Ben Morris 在 Def Con 會前的采訪中表示，這些彈性塊存儲(EBS)快照保存著來自云應(yīng)用程序的全部數(shù)據(jù)，存放著應(yīng)用程序密鑰，也承載著能夠訪問客戶信息的數(shù)據(jù)庫。

他同時指出：“在丟棄計算機磁盤時，大家都知道應(yīng)該將其全部清空或者徹底銷毀，但與之同樣重要，甚至更為重要的 EBS 存儲卷卻被留在網(wǎng)上供人們隨意查看。”

云管理員配置不當(dāng)

Morris 表示，很多云管理員并沒有選擇正確的配置選項，并導(dǎo)致 EBS 快照以未加密的形式不慎公開。“這意味著能夠上網(wǎng)的任何人都可以下載磁盤內(nèi)容，并將其接入自己控制的設(shè)備當(dāng)中，而后從中搜索一切本應(yīng)得到嚴(yán)格保護的秘密。”

利用亞馬遜提供的內(nèi)部搜索功能，Morris 構(gòu)建了一款工具用于查詢并抓取公開暴露的 EBS 快照。他發(fā)現(xiàn)，單一區(qū)域內(nèi)暴露的公開快照多達幾十個，其中承載著應(yīng)用程序密鑰、關(guān)鍵用戶或管理憑證、源代碼等。他還從中看到幾家大型企業(yè)的名字，包括醫(yī)療保健供應(yīng)商以及科技公司等。

他估計，全部亞馬遜云區(qū)域之上暴露的快照總量可能多達 1250 個。亞馬遜方面的一位發(fā)言人稱，該公司已經(jīng)將消息通報至將 EBS 快照設(shè)置為公開的客戶。“如果確實是無意中使用了這一設(shè)置，建議盡快撤銷。”

Morris 計劃在未來幾周內(nèi)公布自己的概念驗證代碼。“我會給各家企業(yè)留幾周時間檢查自己的磁盤，確保他們及時解決意外暴露問題。”

誤操作導(dǎo)致的安全問題

在云計算環(huán)境下，企業(yè)經(jīng)常會因為誤操作或者配置不當(dāng)造成數(shù)據(jù)泄漏。各大云計算平臺基本都提供類似的功能，例如服務(wù)器有快照，數(shù)據(jù)庫和日志有備份等。這些功能都“實用性”地提供了解決方案，并且比自己構(gòu)建類似服務(wù)要簡單好用，但很多企業(yè)為了節(jié)省成本可能并未接受云廠商的建議，此時就需要依靠企業(yè)自身的技術(shù)能力。

其次是權(quán)限問題，云平臺的賬戶權(quán)限管理嚴(yán)格避免無意或者惡意的誤操作，就像傳統(tǒng)環(huán)境下，如果 root 口令全公司都知道，那么出了事情也不奇怪。

最后，通過堡壘機或者云平臺自帶的審計功能，至少知道發(fā)生故障時干了什么，怎么干的，這樣恢復(fù)環(huán)境比較容易。

標(biāo)簽： 敏感數(shù)據(jù) 數(shù)據(jù)外泄

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。