云安全常见的AWS错误配置
提起“云计算”,相信大家都不再陌生,进入中国市场这么多年,无论是在远程办公上还是企业运营的其他方面,都带来了很多便利之处!这种基于互联网提供服务的业务模式,黑客往往会利用主观上的错误用户行为,而非客观上的技术安全缺陷,对企业“云”安全进行威胁和攻击。
根据最新调查,云配置错误是企业云数据泄露的最主要原因,许多公司应对云安全的威胁准备工作并不完善,这给正在监视企业云安全的黑客们提供了充分发现漏洞并攻击的机会。
以下是常见的5个AWS错误配置:
1、EC2安全组的权限访问不受控制
与AWS弹性云计算(Elastic Compute Cloud简称EC2)实例相关联的安全组(Security Groups简称SGs)类似于防火墙,它们在协议和端口上需要设置授权。这些SG是一组规则,它可以过滤EC2实例的入站(入口)和出站(出口)流量。一个EC2实例可以有多个SG,一个SG的规则可以随时修改,如允许指定的IP地址或IP范围、指定端口、指定协议等。
当您使用CloudTrail启用日志记录并使用第三方日志分析和管理工具监视日志数据时,您可以检测到那些不受限制的访问,检测附加到EC2实例的SGs何时允许了对25(SMTP)、80以及443(HTTP和HTTPS)以外的端口不受限制地进行了访问等。
2、亚马逊云机器映像(AMI)不受保护
AMI(全称Amazon Machine Image,亚马逊机器映像)提供EC2实例所需的启动信息,当创建EC2实例时,必须指定它所属的AMI。
由于AMI包含专有的或敏感的数据,包括操作系统、应用程序和配置参数等信息,您应该时刻确保它是私有的,任何内容都不应该被公开。
3、没有终止未使用的访问密钥
访问密钥是IAM(全称Identity and Access Management,身份和访问管理)用户或AWS根用户的长期凭证,可以实现对公司AWS资源的个人访问权限或组访问权限控制,也可以为AWS以外的用户(联合用户)授权,管理IAM用户的访问密钥对企业云安全非常重要!
审计AWS帐户是检测未使用访问密钥的最佳方法之一。
可以参考如下步骤在AWS管理控制台来检测和删除未使用的访问密钥:
·登录AWS控制台
·左侧选择IAM服务选项下的用户
·单击要审核的用户
·单击安全证书标签
·检查Last Used列,如果它显示为N/A,这意味着访问密钥从未被选中的该用户使用过,即这是一个从未使用的密钥
您必须对每个可疑用户帐户重复此过程,并检查访问密钥是否未使用或使用过;您还可以通过下载凭证报告,然后在命令行接口(command-line interface,简称CLI),执行特定命令找到未使用的访问密钥;在获得未使用的访问密钥列表后,您可以继续从同一个控制台删除它们。
4、对Redshift集群的访问不受控制
Amazon Redshift是一个节点计算资源的集合,这些资源构成一个称为集群的组,每个集群运行一个Amazon Redshift engine以及一个或多个数据库。
首次配置Amazon Redshift集群时,默认情况下,没有人可以访问它,为了给其他用户授予访问此集群的权限,需要将其与安全组关联,并且定义访问规则。如果不配置安全组就与集群关联,那Amazon Redshift将是公开的,互联网上任何人都可以建议与其数据库的连接,这无疑会增加暴力攻击、SQL注入或Dos攻击等多种风险。
5、过度允许访问云资源
都知道,公司如果没有防火墙,任何人都可以通过互联网直接连接到公司内部网络设备。然而,当涉及到云平台时,管理员有时会无意中忽视了配置入站访问规则,这给黑客们提供了通过互联网直接访问公司内部资源的可趁之机。
企业需不间断审计和审查VPC安全组和网络访问控制列表(NACL),获得入站和出站流量情况,跟踪对这些组的更改事件,并对指定协议或端口有不受限访问时及时得到告警通知。
Log360,一个全面的安全和信息事件管理(SIEM)解决方案,您可以:
·了解AWS中用户活动的详细信息
·获得VPC安全组变化、子网更改等重要事件的实时通知
·得到重要资源配置变化的详细报表,如ELB、RDS、EC2
·及时发现未经授权的更改并阻止
·防止数据泄漏事件发生
·确保文件完整性
·实时了解谁正在访问AWS环境中的什么资源