有报道称,因为访问控制列表(ACLs)配置为允许访问互联网上的任何用户,一些知名公司在S3 bucket中留下了数据。被卷入这一错误配置问题的公司包括电信巨头Verizon,美国政府承包商Booz Allen Hamilton,世界摔跤娱乐和Dow Jones。
据安全公司UpGuard博客文章称,10月份,企业咨询公司Accenture在类似的不安全条件下,留下至少4个S3云buckets。Accenture与财富全球100强的94家公司合作,占全球财富500强的四分之三以上。
但专家表示,亚马逊不应为云存储错误配置问题负责。人为错误才是罪魁祸首:创建S3 buckets的管理员无法在受限的访问配置模式下重新配置它们,这实际上是为了不需要的条目打敞开仓门。
“AWS意识到安全问题,但不太可能缓解它,因为它是由用户的错误配置造成的,”Detectify表示,这是一家模拟自动黑客攻击的公司。
AWS在其博客上声明:“默认情况下,所有的Amazon S3资源——buckets、对象和相关的子资源……都是私有的。只有资源所有者,创建该资源的AWS帐户,才能访问资源。资源所有者可以通过编写访问策略有选择地授予他人访问权限。”
Amazon声称已经增强了S3存储的安全性。今年8月,该公司更新了“用于确保S3 buckets安全的托管规则”。“AWS配置提供了一个配置更改的时间表,其中有两条新规则。S3的公共写禁止规则自动识别允许全局访问的bucket,这样,如果S3 bucket策略或bucket ACL允许公共读访问,因此这个bucket就被认为是不兼容的。第二个规则是,一个使用S3-bucket-public-read-prohibited的规则也会自动识别bucket具有全局访问权限。
“这将标志着公共可用的内容,包括网站和文件,”Jeff Barr的一篇博客文章说,他是AWS的首席布道者。“这条规则也会检查所有账户的buckets。”
IT分析公司瑞士的总裁George Crump说,这些buckets在创建时是安全的。只有当它没有执行锁定bucket的后续操作时,问题才会发生。
Crump说:“这不是(亚马逊的)错。”“他们只是提供基础设施。它们为您提供了创建解决方案的材料。这不是他们的错。锁定它是IT的工作。如果亚马逊设置这些工作,情况会有所不同,但事实并非如此。”
许多这些不安全的的S3 buckets是为应用程序开发而创建的,然后在一个团队在项目期间从AWS提取计算和存储资源后,将其保留。
Crump在一篇博客文章中写道:“通常情况下,这些buckets在它们被创建的时候是安全的,因为只有通过认证的用户才能访问它们。”但有时,尤其是在应用程序的初始开发阶段,这些buckets没有安全保护,以便让多个用户更容易地测试它们。
他说:“问题是,当应用程序进入生产环境时,没有人记得要确保buckets的安全,让任何人都有访问权。”
上述内容是由dreamhost中文指南(https://dreamhost.cn/)为大家提供的,如果您想了解更多信息,请继续关注dreamhost中文指南,如果您想转载此内容,请注明出处。