AWS賬戶安全的關(guān)鍵：規(guī)避密鑰泄漏的三種措施

【編者按】由于越來越多的AWS用戶向亞馬遜投訴賬號(hào)被盜，所以亞馬遜是時(shí)候采取一定的防范措施了，用戶可以采取這些規(guī)避措施來使得賬號(hào)更加安全。

以下為譯文：

訂閱“AWS中文技術(shù)社區(qū)”微信公眾號(hào)，實(shí)時(shí)掌握AWS技術(shù)及產(chǎn)品消息！

AWS中文技術(shù)社區(qū)為廣大開發(fā)者提供了一個(gè)Amazon Web Service技術(shù)交流平臺(tái)，推送AWS最新資訊、技術(shù)視頻、技術(shù)文檔、精彩技術(shù)博文等相關(guān)精彩內(nèi)容，更有AWS社區(qū)專家與您直接溝通交流！快加入AWS中文技術(shù)社區(qū)，更快更好的了解AWS云計(jì)算技術(shù)。

幾周之前，初創(chuàng)公司Code Spaces受到了DDOS進(jìn)行蓄意勒索的攻擊，在公司沒有支付勒索金的情況下，攻擊者進(jìn)入了AWS的EC2控制面板并刪除了數(shù)據(jù)。

這是無疑是一個(gè)噩夢(mèng)，無論如何阻止它，但類似的事件已經(jīng)出現(xiàn)了――盡管不是如此戲劇性的結(jié)果。安全專家說，通常在這些情況下，其他用戶無意中張貼他或她的AWS帳戶根密鑰在公眾地方 -――例如Github或StackOverflow，攻擊者的目標(biāo)不是勒索或是竊取數(shù)據(jù)，還是竊取這些免費(fèi)的計(jì)算資源，因?yàn)閕t’s free IT IT。

最近一個(gè)不愿透露具體信息的公司說有人能夠運(yùn)轉(zhuǎn)在偏遠(yuǎn)地區(qū)價(jià)值成千上萬美金的“流氓”AWS實(shí)例。即使這家公司（我們的目標(biāo)是X公司）沒有發(fā)現(xiàn)違反或張貼其憑據(jù)的跡象，AWS也會(huì)發(fā)行信貸金額。

Evident.io 創(chuàng)始人兼首席執(zhí)行官Tim Prendergast.這樣說道：“Evident.io公司為AWS提供了一個(gè)叫做SaaS安全產(chǎn)品，X公司的SaaS出現(xiàn)問題后，Evident.io公司并沒有花太長(zhǎng)的時(shí)間就發(fā)現(xiàn)了里面的錯(cuò)誤之處”。即使該公司并沒有推出它的根密鑰，同時(shí)Tim Prendergast又指出它確實(shí)有“高出兩位數(shù)的安全控件沒有得到正確的實(shí)施”。

事實(shí)上，這類公司通常面臨一下三大領(lǐng)域的挑戰(zhàn)，所以建議都應(yīng)該在安裝的早期考慮所有不安全的因素。

三種規(guī)避措施

首先，有一個(gè)根密鑰或IAM用戶密鑰被暴露的情況發(fā)生時(shí)，它可能具有正如前文所提到那樣的滲透性。

其次，缺乏良好的密碼規(guī)劃。企業(yè)往往不設(shè)置密碼驗(yàn)證來確定是否正確。所以公司強(qiáng)制使用兩個(gè)“強(qiáng)密碼”和多種認(rèn)證因素就顯得尤其重要。

最后，很多企業(yè)對(duì)于他們?nèi)绾卧O(shè)置的用戶權(quán)限或角色都顯得比較松懈，許多給所有用戶全面管理訪問的時(shí)候卻沒有理由這么做，這正是類似于有太多的Windows用戶有充分的管理權(quán)限的時(shí)光。這為潛在的攻擊者開辟了一個(gè)巨大的空間，他們只需要一個(gè)用戶的密碼，便可以訪問到整個(gè)大雜燴。

Prendergast說：“用戶可以通過釣魚網(wǎng)站或者訪問電子郵件和一個(gè)鍵盤記錄器來獲取如何登錄賬戶的信息”。如果網(wǎng)絡(luò)釣魚受害者有管理員權(quán)限，那么損失也將變得不容樂觀。

最佳實(shí)踐

不用多說，根據(jù)AWS的最佳實(shí)踐，張貼在公共網(wǎng)站密鑰認(rèn)證是一個(gè)禁忌。這本來是眾所周知的，但可怕的是它發(fā)生的次數(shù)竟然不在少數(shù)。

AWS用戶的首席技術(shù)官說：“我曾經(jīng)看見有人在StackOverflow上輸入AWS根密鑰兩次，但是當(dāng)我提醒他們時(shí)，他們卻并不知情”，這是另外一種實(shí)踐方式。在這兩種情況下，亞馬遜將計(jì)入欺詐性收費(fèi)返還給客戶。

當(dāng)被問及對(duì)此事以及發(fā)表評(píng)論時(shí)，一個(gè)AWS的發(fā)言人說：“客戶不應(yīng)該使用他們的根帳戶的訪問鍵，應(yīng)該使用身份訪問管理（IAM）來創(chuàng)建與AWS資源交互應(yīng)用程序的臨時(shí)安全證書。當(dāng)然，這些IAM訪問鍵必須加以認(rèn)真的管理。

最后她補(bǔ)充道：“開發(fā)商有責(zé)任按照亞馬遜指導(dǎo)和利用這些機(jī)制。當(dāng)亞馬遜意識(shí)到可能暴露的憑據(jù)時(shí)會(huì)主動(dòng)通知受影響的客戶，并提供有關(guān)如何保護(hù)他們的訪問鍵的指導(dǎo)”。

事情是這樣的，Prendergast最后說道：“許多AWS帳戶是以小開發(fā)者為中心的聚集地。他們并沒有首席信息安全官或者經(jīng)常連任何安全專家都沒有，這就意味著安全需要開發(fā)人員負(fù)責(zé)，但是這并不是開發(fā)人員的焦點(diǎn)。而且從技術(shù)上來講，對(duì)于API級(jí)別的任何安全問題是用戶的責(zé)任而不是亞馬遜的”。因此AWS賬戶安全問題任重而道遠(yuǎn)。

原文鏈接：http://gigaom.com/2014/07/13/to-be-secure-aws-users-must-mind-their-keys-and-cues

如您需要了解AWS最新資訊或是技術(shù)文檔可訪問AWS中文技術(shù)社區(qū)；如您有更多的疑問請(qǐng)?jiān)贏WS技術(shù)論壇提出，稍后會(huì)有專家進(jìn)行答疑。 

                                                                                                             （譯者/傅發(fā)佐 責(zé)編/王玉平）

生活不易，碼農(nóng)辛苦
如果您覺得本網(wǎng)站對(duì)您的學(xué)習(xí)有所幫助,可以手機(jī)掃描二維碼進(jìn)行捐贈(zèng)