2017.7-2018.7：AWS错误配置惹下的祸

2017年7月，由于亚马逊云存储服务器上的配置错误，导致包括《华尔街日报》订户在内的220万道琼斯“私密信息”都遭到未经授权的访问，其中，受影响的数据包括姓名、电子邮件地址、家庭地址、内部帐户详细信息、信用卡号码的最后四位数字，以及紧急联系电话号码等；

2017年9月，安全公司UpGuard在亚马逊云存储上发现了“被错误设为对公众可见”的机密文件，这些泄漏的机密文件中包含了一些美国军方和情报人员简历信息。据发现该漏洞的分析师表示，此次信息泄露是由错误的安全配置所致；

2017年11月，安全公司UpGuard 再次发现托管在AWS S3服务器的47份美国陆军情报与安全司令部（INSCOM）机密文件（逾100GB）在线曝光，其中甚至有3份重要文件可任意下载；

2018年1月，巴黎 Octoly 公司因其亚马逊S3存储桶错误配置，导致超过12,000名社交媒体影响者（即明星或网红）的敏感数据在线暴露。泄露的文件包括用户敏感信息（真实姓名、地址、电话号码、电子邮件地址以及出生日期）、使用 bcrypt加密的Octoly账户散列密码，以及大量的品牌和分析信息（Octoly服务的600个品牌的清单，以及受影响用户的“深度社交”报告）等；

2018年5月，Kromtech安全中心的研究人员再次发现2个因配置错误而在线暴露的Amazon S3存储桶。从内容来看，它们似乎归属于印度板球管理委员会（Board of Control for Cricket in India，BCCI）。据悉，这两个暴露的S3存储桶包含有大量的敏感加密软件，涉及从2015年至今向BCCI提交赛季参赛申请的约1.5万-2万印度人。诸如包含身份证号码的球员注册登记表、选票和银行单据之类的文件扫描件都能够在这两个S3存储桶中找到，并且可以从世界任何地方进行访问；

作为全球最大的云提供商，AWS的安全问题将直接影响到无数网站和在线服务。然而，不幸的现实是，从政府机密到个人隐私，从注册信息到消费细节，这些年，亚马逊AWS已经成为助力数据泄露的元凶，成功将亿万用户置于危险之中。

Zelkova和Tiros：助力实现安全配置

为了帮助减少AWS S3配置错误的可能性，亚马逊正在开发两款新工具——Zelkova和Tiros——以便更清晰地了解谁可以访问您的数据和资源，以及他们可以使用这些数据和资源做什么。这些工具可以分析重要的AWS安全配置，评估访问控制方案，以及映射从S3存储桶到互联网的可能路径，甚至还可以提供对不同设置的实际后果的自动化反馈，帮助管理员避免危险的错误。

事实上，这并不是亚马逊力求改变其安全现状的首次尝试。随着云计算业务日益壮大，安全问题对于亚马逊来说越来越重要。为此，2017年底，亚马逊正式推出了Amazon Macie，它利用机器学习技术自动监控和保护用户存储在亚马逊云里的敏感数据。这款基于AI的工具能够检测个人可识别的信息或其它具有知识产权类型的信息，并深入分析访问和移动这些数据的方法及途径。任何未授权的访问都会立刻自动触发警报，防止数据泄露。

但可惜，2018年以来的多起泄露事件证实该工具的效果有点商榷。事实上，导致Amazon Macie工具效用大打折扣的一个重要因素是，AWS S3实在是漏洞百出，让人防不胜防。据Skyhigh Networks分析显示，7％的S3存储桶拥有不受限制的公共访问，而另有35％的存储空间未加密。

Amazon Macie工具的尝试可谓不尽人意，那么此次推出的Amazon Zelkova和Tiros两款工具又有何创新之处？能够发挥哪些作用呢？

据悉，Zelkova和Tiros两款工具是由AWS的“自动化逻辑小组”（Automated Reasoning Group，简称ARG）创建，该小组位于AWS安全团队内部，主要负责为亚马逊的产品开发验证工具和技术。

其中，Zelkova工具于2018年6月首次宣布，其能在不同S2存储桶或其他AWS组件间创建用于对比的基准，帮助开发人员确认自己的设置相对于已有基础设施或范例S3存储桶有多宽容，并采用“自动化逻辑”（Automated Reasoning）发挥配置的极限效能。而Tiros工具则可以映射出网络机制间的连接，能有效检测来自开放互联网的非预期访问。二者结合，便能在造成影响前抢先识别出错误。

Zelkova和Tiros开始只是作为内部工具使用。其中，Zelkova在内部用作S3仪表板和AWS Macie组件的一部分。投资管理公司Bridgewater Associates获得了对这两款工具的早期测试权。

对于早期测试结果，Bridgewater Associates首席云安全架构师Dan Peebles表示，

“公司使用了Zelkova工具来验证并确保我们的政策不会允许数据渗漏、错误配置以及其他一些恶意和意外的不良行为发生。Zelkova允许我们的安全专家根据其理解进行编码，然后将其机械地应用于任何相关政策，避免错误倾向和人工评论滞后的现象，同时也让我们对IAM政策的正确性和安全性充满信心。”

目前，这两款工具均未公开发布。Bridgewater 公司称，它们还处于“原始状态”，还没有实现“用户友好型”。此外，亚马逊方面也并未发布有关更多工具可用性和定价方面的详细信息。

亚马逊的云配置挑战

 

虽然亚马逊和微软Azure等云供应商，都已经围绕其服务提供了一定程度的安全性，并推荐了相应的最佳实践做法，但它们都是在共享安全模式下运行，其中许多责任仍然存在于客户身上，这也是导致问题频发的关键所在。英国MSP Claranet的高级站点可靠性工程师Steve Smith表示，

“围绕AWS S3存储桶所报告的安全挑战与其平台本身没什么关系，但是与使用它的人有关，这也是最大的问题所在。AWS设置了很多合理的默认设计，旨在支持配置；S3存储桶现在默认是私有而不可公开访问的，但遗憾的是，如果您不知道如何使用该平台，就很容易出错。”

缺乏培训加上部署和管理工具的复杂性，以及管理员需要兼顾的服务器数量不断增加，还有如今云环境可以轻松地在安全团队视野之外进行调整，这些因素都意味着数据泄露依然是一个常见问题。

日志管理和分析提供商（也是AWS客户）Sumo Logic的首席安全官George Gerchow表示，

“作为消费者，您必须通过了解共享责任模型并应用最佳实践，来保护您的数据以及履行自己的职责。对于这一方面，AWS所提供的引导作用不足，以至于让消费者产生了‘一切都是AWS的责任和义务，我什么也不用做’的错觉。”

借助这些新工具，AWS正在寻求降低人为配置错误和数据泄漏的可能性。但这些工具真的能成功发挥效用吗？在上月于纽约举行的AWS峰会上，Bridgewater Associates公司安全架构师Greg Frascadore称，

“我们的安全目标是阻止数据从AWS中渗漏出去。我们希望能从这些系统中得到某种形式的可证安全。这里的‘可证’并不是说永远不会犯错，而是一种形式化的分析和有条理的验证方式，可以验证我们付诸实践的安全控制是按既定的方式在工作。”

Frascadore进一步介绍称，这些工具的使用案例包括验证个人安全控制，围绕安全控制创建基准，在一组账户中定位相关控制，自动验证以及在设计阶段进行验证等。而对这两款工具而言，最重要的功能无疑就是帮助用户在设计阶段就进行验证，在实际更改AWS基础设施之前就能验证安全，以免将漏洞引入AWS账户设置。

不过其他人也警告称，这些新工具既有好处，也存在潜在的缺点。虽然它们是一个良好的开端，但是它们的价格昂贵且同样需要配置正确才能发挥效用，这无疑进一步增加了复杂度，更重要的是，这两款工具无法适用于多云（multi-cloud）或混合部署环境。

最后，BTB Security首席信息安全顾问Matt Wilson表示，

“Zelkova和Tiros具有强大的潜在优势，但这些团队必须能够操作数据才行，否则对他们来说只是运行一个工具而已。想要真正发挥这些新工具的作用，必须在组织中选出特定的人来负责执行它们，分析它们的输出，并根据提供的信息采取行动。虽然其配置的高级算法和灵活界面都非常棒，但单靠它们就想阻止数据泄露还是远远不够的。未来，数据泄露仍然是一个常见问题。”