根據本屆Def Con安全大會上公佈的最新數據顯示,不少公司、初創企業及政府機關無意中將內部文件泄露至雲端。大部分開發者應該聽過暴露在公共互聯網上的S3存儲桶,這些由亞馬遜負責託管的存儲服務器往往由於客戶配置錯誤而不慎開放。一旦將其設置爲“公開”,任何人都能夠查看其中的敏感數據。但是,開發者可能還不太熟悉暴露的EBS快照,其很可能帶來更高的安全風險。
事件回溯
網絡安全廠商Bishop Fox公司高級安全分析師Ben Morris在Def Con會前的採訪中表示,這些彈性塊存儲(EBS)快照保存着來自雲應用程序的全部數據,存放着應用程序密鑰,也承載着能夠訪問客戶信息的數據庫。
他同時指出:“在丟棄計算機磁盤時,大家都知道應該將其全部清空或者徹底銷燬,但與之同樣重要,甚至更爲重要的EBS存儲卷卻被留在網上供人們隨意查看。”
雲管理員配置不當
Morris表示,很多雲管理員並沒有選擇正確的配置選項,並導致EBS快照以未加密的形式不慎公開。“這意味着能夠上網的任何人都可以下載磁盤內容,並將其接入自己控制的設備當中,而後從中搜索一切本應得到嚴格保護的祕密。”
利用亞馬遜提供的內部搜索功能,Morris構建了一款工具用於查詢並抓取公開暴露的EBS快照。他發現,單一區域內暴露的公開快照多達幾十個,其中承載着應用程序密鑰、關鍵用戶或管理憑證、源代碼等。他還從中看到幾家大型企業的名字,包括醫療保健供應商以及科技公司等。
他估計,全部亞馬遜雲區域之上暴露的快照總量可能多達1250個。亞馬遜方面的一位發言人稱,該公司已經將消息通報至將EBS快照設置爲公開的客戶。“如果確實是無意中使用了這一設置,建議儘快撤銷。”
Morris計劃在未來幾周內公佈自己的概念驗證代碼。“我會給各家企業留幾周時間檢查自己的磁盤,確保他們及時解決意外暴露問題。”
誤操作導致的安全問題
在雲計算環境下,企業經常會因爲誤操作或者配置不當造成數據泄漏。各大雲計算平臺基本都提供類似的功能,例如服務器有快照,數據庫和日誌有備份等。這些功能都“實用性”地提供瞭解決方案,並且比自己構建類似服務要簡單好用,但很多企業爲了節省成本可能並未接受雲廠商的建議,此時就需要依靠企業自身的技術能力。
其次是權限問題,雲平臺的賬戶權限管理嚴格避免無意或者惡意的誤操作,就像傳統環境下,如果 root 口令全公司都知道,那麼出了事情也不奇怪。
最後,通過堡壘機或者雲平臺自帶的審計功能,至少知道發生故障時幹了什麼,怎麼幹的,這樣恢復環境比較容易。