安全是有分量的

ddos防火墙_阿里云高防_超稳定

2021-05-05 09:32栏目:高防

ddos防火墙_阿里云高防_超稳定

Amazon S3是领先的云存储解决方案之一,被世界各地的公司用于各种各样的用例来支持他们的IT操作。在过去的四年里,UpGuard已经检测到数千个由于S3安全设置错误配置而导致的与S3相关的数据泄露。Amazon Web Services的首席布道者Jeff Barr最近宣布了S3存储桶的公共访问设置,这是一项新功能,旨在帮助AWS客户阻止由于不正确的S3安全设置而导致的数据泄露。AWS帐户所有者现在可以在四个新选项中进行选择,为其帐户的S3存储桶设置默认访问设置。这些设置是全局的,这意味着它们覆盖任何新的或现有的存储桶级ACL(访问控制列表)和策略。新设置可以追溯应用于保护现有的S3存储桶。来源:AmazonS3阻止了公共访问,这是对你的帐户和存储桶的另一层保护这个简单的存储服务持续存在的云安全问题已导致数以千万计的被破坏记录。所以这是一个好消息,也是AWS服务朝着正确方向迈出的一步,但我们认为这还不够。糟糕的S3安全性是公司间谍的常见目标。S3安全问题包括UpGuard在内的安全研究人员不断发现开放的、未受保护的S3存储桶,其中包含敏感数据。从长远来看,UpGuard的研究人员披露了以下直接归因于S3桶泄漏的数据泄露:这一数据曝光包含来自多个第三方开发的Facebook应用程序的5.4亿条记录。泄露了戈达迪的商业机密和详细的基础设施信息。他公开了超过73Gb的数据,包括Pocket Inet员工的纯文本密码和AWS密钥。这是一个私人情报平台Localblox的一个漏洞,该平台公开了数千万个人的4800万条详细的个人信息记录,这些记录是从多个来源收集和获取的。电信运营商Verizon暴露了1400万客户记录,这是第三方风险如何促成这一问题的一个例子。Viacom将大量的系统凭证和关键应用程序数据暴露在一个开放的S3存储桶中。芝加哥选民数据库遭破坏,该数据库在2016年大选前后泄露了180万份个人记录。茶党爱国者公民基金会,在一个错误配置的S3桶里泄露了52.7万个人的个人信息。我们发现S3漏洞已经超过四年了,问题似乎不会消失。谁负责S3的安全问题?很容易责怪你,用户,因为你太懒或者太笨而不能正确地使用S3。我们都读过S3安全问题的"解决方案",包括(但不限于):使用AWS配置或UpGuard Core等产品监视S3存储桶使用AWS Cloudtrail和Lambda构建自己的S3监控解决方案使用s3inspector等工具进行命令行测试使用AWS标识和访问管理(IAM)用户策略,指定可以访问特定存储桶和对象的用户这些解决方案确实有效,我们建议使用它们来监视您的S3安全状况。但说实话,感觉有点不公平。为什么S3用户要被迫在解决根本问题的替代解决方案上花费更多的钱?即使对于有经验的用户,IAM策略也很复杂。我们认为S3的安全问题是产品设计的问题之一是的,AWS确保S3服务器在默认情况下是私有的。然而,我们仍然可以看到成千上万的空头,以及经常性的违规行为。我们的观点是,AWS使得S3用户很容易错误地配置bucket,从而使它们完全可以通过互联网公开访问。默认情况下,由AWS来创建更好的安全解决方案。下面我们重点介绍了两个关键的产品功能,如果你不小心,很容易让你绊倒。#1: 任何经过身份验证的用户"任何经过身份验证的AWS用户"的概念是S3的一个很难理解的特性,也是一个非常常见的错误配置。这种安全级别允许任何拥有AWS帐户的人看到你的bucket内部不仅仅是你公司的任何人。世界上任何一个拥有AWS帐户的人,需要5分钟才能建立就好像你的网上银行凭证可以登录别人的银行账户一样。这种不寻常的安全模型继续导致大量的漏洞,带ddos防御的国外服务器,我们认为这是S3安全模型的一个关键问题#2: ACL和存储桶策略不一致S3的安全模型的另一个容易被错误配置的特性是acl和控制bucket及其内部对象的策略之间的相互作用我们发现的一些最严重的漏洞是由于人们误解了这些设置是如何协同工作的。您可以将acl锁定到amazons3bucket,但是如果bucket策略配置错误,那么您仍然可以将数据完全开放给Internet。毫无帮助的是,bucket策略相对隐藏起来,并且使用相当模糊的JSON语法编写。但是理解他们是非常重要的。否则,抗ddos防御,您可能会看到您的ACL,上面写着"thisbucket is not readable",但是由于不同的bucket策略,其中的对象仍然可以访问和可读。AWS为保护S3做了什么?因此,如果您同意S3安全模型的特性至少部分地对桶泄漏负责,防火墙防御cc,那么AWS在解决这个问题上做了什么呢?截至2017年,AWS宣布了多项变革,承诺将帮助:为开放式水桶提供"公共"标志,并向这些水桶的所有者发送电子邮件宣传活动。amazonmacie的推出,"这是一种使用机器学习自动发现、分类和保护AWS中敏感数据的安全服务"。在这些功能发布后,我们看到许多暴露的桶消失了。但我们也看到,更多的桶中保存着敏感信息,并从那时起创建了新的桶,其中包含敏感、可公开访问的数据。为什么我们没有看到更具决定性的变化?S3从2006年就开始了。它是美国焊接学会前三个产品之一。作为自身成功的牺牲品,亚马逊只能逐步地对S3进行更改,而不会破坏成千上万客户的现有应用程序。为S3过渡到"默认私有"的安全模型会损害AWS及其现有客户。然而,随着时间的推移,我们认为AWS应该将S3分成两个不同的产品:亚马逊网站托管-设计用于托管公共网站,该存储解决方案将始终是公共的。亚马逊私人存储-设计用来保存任何你不想在互联网上发布的数据,这种存储总是私有的,不能直接通过互联网访问。将产品分开将清楚地突出公共存储和私有存储之间的区别,美国高防cdnhostloc,并帮助您防止通过S3公开数据的简单错误。如果您真的必须公开来自私有存储的数据,那么您可以通过一个包装了合理的安全控件的API来实现。新的S3安全特性是什么?Amazon新的S3安全特性可能会产生与之前相同的效果:它们将保护更多的bucket,但不是所有的bucket。例如,2017年11月,有效的ddos防御方案有哪些,在开放式水桶的"公共"标志启动以及向这些水桶所有者发送电子邮件活动之后,我们看到许多水桶消失了。但我们也看到,更多的桶中保存着敏感信息,并从那时起创建了新的桶,其中包含敏感、可公开访问的数据。为什么?因为只要有可能误解一个系统,人们就会这样做。添加新的功能使S3存储更容易配置为私有,这与消除将其配置为公共存储的可能性是不一样的。只要S3存储桶可以配置为公共访问,就会通过S3存储桶暴露数据。解决问题需要根本性的改变,我们还没有看到。在此之前,我们将继续看到S3数据泄露。