云计算使得无需等待就能快速启动新服务器变得非常简单。但是,部署新服务器的方便性——以及云管理的民主性——可能成为安全噩梦,因为一个简单的配置错误或管理错误可能危及组织整个云环境的安全性。
敏感数据越来越多地前往云,贵公司如何保证其情况和整体的云基础设施是非常重要的。云提供商,如Amazon,保护您的实例运行在服务器硬件,而是你的组织的基础设施建立的云基础设施的安全性是所有你。内置的安全服务和第三方工具浩如烟海可用于几乎任何固定的工作量,但你必须知道如何使用它们。而这一切都始于正确的配置。
现实世界中的Amazon Web Services使用的分析不画一个漂亮的图片。云安全公司最近Saviynt其客户中发现1150级的错误配置的平均弹性计算云每AWS(EC2)实例帐户。很明显,便于旋转起来用于开发和测试EC2实例在,否则将到位,以保护本地服务器的安全控制为代价的。AWS管理员需要使用现有工具妥善,以确保其环境的安全。
在这里,我们调查了管理员在使用AWS时最常犯的一些配置错误。
错误1:不知道谁是负责安全的
当与云提供商工作,安全是共同的责任。不幸的是,许多管理员并不总是知道什么AWS需要照顾,自己却要应用的安全控制。当使用AWS的工作,你不能假设默认配置适合于您的工作负载,所以你必须主动检查和管理这些设置。
趋势科技(Trend Micro)云研究副总裁马克•纳尼霍文(Mark Nunnikhoven)表示:“这是一个直截了当的概念,但在执行上有细微差别。”“关键是要弄清楚哪些责任是哪些责任。”
更重要的是,AWS提供各种各样的服务,每一项服务都需要不同的责任级别;在选择服务时,了解它们的区别。例如,EC2让您承担安全的责任,让您负责配置操作系统、管理应用程序和保护数据。“这是相当多的,”Nunnikhoven说。相比之下,使用AWS Simple Storage Service (S3),客户只关注保护进出数据,因为Amazon保留了对操作系统和应用程序的控制权。
“如果你不知道如何这个模型的工作,你离开自己开放不必要的风险,” Nunnikhoven说。
错误2:忘记日志
太多的管理员没有打开AWS CloudTrail,Web服务创建AWS实例从AWS管理控制台,AWS的SDK,命令行工具和更高级别的服务,例如AWS CloudFormation记录API调用。
CloudTrail提供宝贵的日志数据,维护所有AWS API调用的历史记录,包括API调用者的身份、调用时间、调用者的源IP地址、请求参数和AWS服务返回的响应元素。因此,CloudTrail可以用于安全分析、资源管理、变更跟踪和遵从性审计。
Saviynt的分析发现CloudTrail经常被删除,单个实例的日志验证经常被禁用。
管理员不能追溯地打开CloudTrail。如果不打开它,在以后的任何调查过程中,您将看不到虚拟实例的活动。为了启用CloudTrail,需要做出一些决策,比如在哪里和如何存储日志,但是花在确保正确设置CloudTrail上的时间是值得的。
“在你需要它之前先做它,”John Robel说,他是evidence .io的首席解决方案架构师。
错误3:放弃太多特权
访问密钥和用户访问控制是不可或缺的AWS安全。它可能是很有诱惑力给开发商管理员权限来处理某些任务,但你不应该。不是每个人都需要有一个管理,而且也没有理由的政策无法处理大多数情况。Saviynt的研究发现,在AWS特权用户的35%已经完全进入各种各样的服务,包括搞垮整个客户AWS环境的能力。另一个常见的错误是离开高权限帐户AWS开启的终止用户,Saviynt发现。
管理员往往不能设置为用户的各种场景彻底的政策,而是选择让他们如此广泛,他们失去了效力。应用策略和角色来限制访问减少攻击面,因为它消除了被泄露,因为一个关键暴露整个AWS环境的可能性,帐户凭据被盗,或者有人在你的团队做了配置错误。
“如果你发现自己把一项服务完全交给了某人,那就停下来,”Nunnikhoven说。“策略应该包括最少数量的权限来完成任务。”
错误4:拥有强大的用户和广泛的角色
AWS身份和访问管理(IAM)是用于保护AWS部署的关键Nunnikhoven说。服务 - 这是免费的 - 使得它相当简单建立新的身份,用户和角色,并指定预制政策或自定义细化的权限。你应该使用服务将角色分配到EC2实例,那么政策给该角色。这将授予EC2实例的所有政策的权限,无需存储凭据本地的实例。低级别的访问权限的用户可以执行特定的(批准!)在EC2实例任务,而无需被授予更高级别的访问权限。
一个常见的错误配置是将访问权限分配给每个AWS项的完整权限集。如果应用程序需要向Amazon S3写入文件的能力,并且具有对S3的完全访问权,那么它可以为该帐户在S3中读取、写入和删除每个文件。例如,如果脚本的任务是每季度对未使用的文件进行清理,那么就不需要有任何读取权限。相反,使用IAM服务为应用程序提供对S3中特定桶的写访问。通过分配特定的权限,应用程序不能读取或删除该bucket内或外的任何文件。
“一旦黑客入侵,最坏的情况就是你的账户被写入了更多的文件。没有数据会丢失,”Nunnkhoven说。
错误5:严重依赖密码
最近的数据泄露,并用收获的登录凭据打入其他账户犯罪分子后续的攻击波应该使人们现在清楚:用户名和密码是不够的。强制使用强密码,并打开双因素身份验证来管理AWS实例。对于应用程序,开启多因素认证。AWS提供的工具来在令牌添加诸如物理卡或智能手机应用程序开启多因素身份验证。
“你的数据和应用程序是你业务的命脉,”这是显而易见的。io的Robel警告说。
错误6:泄露秘密和密钥
这种情况不应该经常发生,但是凭证经常被硬编码到应用程序源代码中,或者包含密钥和密码的配置文件被存储在公共可访问的位置。多年来AWS密钥一直在公共存储库中公开。GitHub现在定期扫描公共存储库,提醒开发人员暴露AWS凭据。
按键要有规律地旋转。不要做一个管理者,让太多的时间在轮换中浪费掉。IAM功能强大,但它的许多功能经常被忽略。所有凭据、密码和API访问密钥都应该频繁地轮换,以便在发生危险时,被盗的密钥只在短的固定时间内有效,从而减少攻击者对您实例的访问。管理员应该设置策略定期过期密码,并防止跨实例重用密码。
“如果攻击者能够窃取你的钥匙,他们就可以进入你的账户,就好像他们是你一样。”尽可能使用角色,”Nunnikhoven说。
误区7:未扎根严重
它一次又一次地出现。管理员忘记禁用根API访问——这是一种高风险的做法。任何人都不应该使用AWS根帐户和相关密钥,更不用说在用户和应用程序之间共享它们了。应该节约地使用直接访问AWS资源的密钥,因为需要跟踪、管理和保护密钥。在绝对需要root的情况下,Saviynt发现这些帐户经常禁用多因素身份验证。根账户应该得到更好的保护。
误区8:一个VPC或帐户把一切
向帐户或虚拟私有云(VPC)添加的团队和工作负载越多,满足最小公分母的可能性就越大。AWS对vpc和账户有非常慷慨的限制。没有理由不这么做隔离工作负载和团队进入不同的区域,vpc,甚至帐户。最简单的开始方法是确保开发、测试和生产处于不同的状态。
错误9:让连接保持开放状态
太多管理员启用实例的全局权限。当您使用0.0.0.0/0时,您就使任何地方的每台机器都能够连接到AWS资源。“你不让前门开着,为什么用0.0.0.0/0?””Robel问道。
AWS安全组围绕EC2实例来允许或拒绝入站和出站流量。这很诱人,而且是权宜之计!——在安全规则中添加广泛访问规则。战斗的冲动。为您的安全组提供尽可能狭窄的关注点。使用不同的AWS安全组作为源或目的地,以确保只有特定组中的实例和负载平衡器才能与另一个组通信。
三分之一由Saviynt确定的前30位AWS常见的配置错误都涉及开放的端口。工作负载呈开放RDP,MySQL和FTP或Telnet端口通过安全组和安全组表现出开放的RDP和SSH端口。另一些人到互联网敞开的。
多亏了OpsWorks、Chef、Ansible和Puppet等高质量的自动化工具,我们没有理由允许远程访问EC2实例——比如SSH或RDP。如果应用程序或操作系统需要修补,最好创建一个新映像,并在应用了修补的实例后启动一个新的实例,而不是尝试连接到实例并在适当的地方应用修补程序。
如果远程访问是必要的,一个“堡垒主机”,即用户连接到中介EC2实例,是更安全的选择。这是比较容易管理所有远程访问连接将一台主机,然后限制每个实例之间有何联系是可能的。它也可以来锁定堡垒主机,以便只有预批准的系统被允许访问。控制,以降低整体风险的所有远程访问。
误区10:克扣加密
许多组织没有在AWS基础设施中启用加密,原因不同,原因是很难不认识到它的重要性。Saviynt发现关系数据库服务(RDS)实例是在禁用加密的情况下创建的,这可能会导致数据泄露。在EC2中,存在具有未加密弹性块存储(EBS)的工作负载。
S3中的数据应该受到保护,EC2实例之间的通信也应该受到保护。不正确地实现加密与完全不加密同样糟糕——甚至更糟糕——但亚马逊实际上提供了工具来帮助解决这些挑战。由于担心管理密钥而不愿启用加密的管理员应该让AWS管理这些密钥。之后总是可以迁移到组织自己的公钥基础设施。
误区,没有漏洞
即特权用户可以降低整个AWS环境,关键应用程序和敏感信息的事实,是不是云计算的故障。它强调了一个事实,许多组织的安全,实现弱。管理员需要他们有在他们的数据中心同样严格的管制适用于他们的云计算基础架构。
许多这些配置错误并不难修复,并且他们减轻大范围的潜在问题,从而释放了管理员来处理更深入的任务,比如运行一个漏洞扫描像亚马逊督察或能成立网络安全的Nessus的。但是,首先第一件事情,那意味着将安全卫生到云中。
相关文章
- 公共云巨头:对比亚马逊、微软、谷歌、IBM和Joyent
- 十二金刚:12个云安全威胁
- 2016年Bossie大奖:最佳开源数据中心和云软件
- 机器学习巨头:亚马逊,微软,数据库,谷歌,HPE, IBM
- 将遗留应用程序移动到云上
- 云安全深潜
- 点评:亚马逊网络服务正在吞噬世界
这篇文章,“AWS的10大安全错误以及如何避免它们”最初是由信息世界 。