作者：趙鈺瑩、核子可樂

根據(jù)本屆 Def Con 安全大會上公布的最新數(shù)據(jù)顯示，不少公司、初創(chuàng)企業(yè)及政府機關無意中將內(nèi)部文件泄露至云端。大部分開發(fā)者應該聽過暴露在公共互聯(lián)網(wǎng)上的 S3 存儲桶，這些由亞馬遜負責托管的存儲服務器往往由于客戶配置錯誤而不慎開放。一旦將其設置為“公開”，任何人都能夠查看其中的敏感數(shù)據(jù)。但是，開發(fā)者可能還不太熟悉暴露的 EBS 快照，其很可能帶來更高的安全風險。

事件回溯

網(wǎng)絡安全廠商 Bishop Fox 公司高級安全分析師 Ben Morris 在 Def Con 會前的采訪中表示，這些彈性塊存儲(EBS)快照保存著來自云應用程序的全部數(shù)據(jù)，存放著應用程序密鑰，也承載著能夠訪問客戶信息的數(shù)據(jù)庫。

他同時指出：“在丟棄計算機磁盤時，大家都知道應該將其全部清空或者徹底銷毀，但與之同樣重要，甚至更為重要的 EBS 存儲卷卻被留在網(wǎng)上供人們隨意查看。”

云管理員配置不當

Morris 表示，很多云管理員并沒有選擇正確的配置選項，并導致 EBS 快照以未加密的形式不慎公開。“這意味著能夠上網(wǎng)的任何人都可以下載磁盤內(nèi)容，并將其接入自己控制的設備當中，而后從中搜索一切本應得到嚴格保護的秘密。”

利用亞馬遜提供的內(nèi)部搜索功能，Morris 構建了一款工具用于查詢并抓取公開暴露的 EBS 快照。他發(fā)現(xiàn)，單一區(qū)域內(nèi)暴露的公開快照多達幾十個，其中承載著應用程序密鑰、關鍵用戶或管理憑證、源代碼等。他還從中看到幾家大型企業(yè)的名字，包括醫(yī)療保健供應商以及科技公司等。

他估計，全部亞馬遜云區(qū)域之上暴露的快照總量可能多達 1250 個。亞馬遜方面的一位發(fā)言人稱，該公司已經(jīng)將消息通報至將 EBS 快照設置為公開的客戶。“如果確實是無意中使用了這一設置，建議盡快撤銷。”

Morris 計劃在未來幾周內(nèi)公布自己的概念驗證代碼。“我會給各家企業(yè)留幾周時間檢查自己的磁盤，確保他們及時解決意外暴露問題。”

誤操作導致的安全問題

在云計算環(huán)境下，企業(yè)經(jīng)常會因為誤操作或者配置不當造成數(shù)據(jù)泄漏。各大云計算平臺基本都提供類似的功能，例如服務器有快照，數(shù)據(jù)庫和日志有備份等。這些功能都“實用性”地提供了解決方案，并且比自己構建類似服務要簡單好用，但很多企業(yè)為了節(jié)省成本可能并未接受云廠商的建議，此時就需要依靠企業(yè)自身的技術能力。

其次是權限問題，云平臺的賬戶權限管理嚴格避免無意或者惡意的誤操作，就像傳統(tǒng)環(huán)境下，如果 root 口令全公司都知道，那么出了事情也不奇怪。

最后，通過堡壘機或者云平臺自帶的審計功能，至少知道發(fā)生故障時干了什么，怎么干的，這樣恢復環(huán)境比較容易。

標簽： 敏感數(shù)據(jù) 數(shù)據(jù)外泄

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。