更重要的是,這種洩漏證明了雲安全性對防止資料洩漏的重要性。儘管aws是最受歡迎的iaas系統,但其安全性尤其是客戶端的安全性常常被忽視。這使得敏感資料容易受到內部和外部威脅的影響。而**報道的通常是從惡意軟體到ddos攻擊的外部威脅。然而,內部威脅可能更危險,即使它們是基於疏忽而不是惡意的意圖。
亞馬遜公司已經通過其眾多的安全投資和創新解決了外部威脅的問題,例如aws對ddos攻擊進行遮蔽。儘管採取了廣泛的安全預防措施,組織良好的黑客仍然可以打破亞馬遜的防禦體系。然而,亞馬遜公司不能歸咎於aws安全漏洞,因為據估計到2023年,95%的雲安全漏洞都是因為客戶的錯誤造成的。
這是因為aws基於亞馬遜與其客戶之間的合作系統。這個系統被稱為共享責任模型,其運作方式是假設亞馬遜負責維護和監控aws基礎設施,並應對欺詐和濫用行為。另一方面,客戶負責雲計算中的安全。具體來說,它們負責配置和管理服務本身,以及安裝更新和安全補丁。
aws的最佳實踐
以下最佳實踐作為安全配置aws的背景。
(1)啟動cloud trail日誌檔案驗證
cloud trail日誌驗證確保對日誌檔案所做的任何更改都可以在傳遞到s3儲存區之後被識別。這是保護aws的乙個重要步驟,因為它為s3提供了乙個額外的安全層,這可能會阻止洩漏。
(2)開啟cloud trail s3儲存區的訪問記錄
cloud trail捕獲的日誌資料儲存在cloud trail s3桶中,可用於活動監控和取證調查。通過啟用登入日誌,客戶可以識別未經授權或未經授權的訪問嘗試,以及跟蹤這些訪問請求,從而提高aws的安全性。
(3)使用多重身份驗證(mfa)
當登入到根和身份和訪問管理(iam)使用者帳戶時,應啟用多重身份驗證(mfa)。對於root使用者,多重身份驗證(mfa)應繫結到專用裝置,而不是任何乙個使用者的個人裝置。這將確保即使使用者的個人裝置丟失或該使用者從公司離職,root帳戶也可以訪問。最後,需要mfa才能刪除cloud trail日誌,因為黑客能夠通過刪除包含cloud trail日誌的s3來避免更長時間的檢測。
(4)定期訪問iam訪問鍵
在aws命令列介面(cli)和awsapi之間傳送請求時,需要訪問金鑰。在標準化和選定的天數之後訪問此訪問鍵可減少外部和內部威脅的風險。這種額外的安全級別確保如果已經充分訪問,則不能用丟失或被盜的金鑰訪問資料。
(5)最小化離散安全組的數量
帳戶妥協可能來自各種**,其中乙個是安全組的配置錯誤。通過最小化離散安全組的數量,企業可以減少配置帳戶的風險。
(6)終止未使用的訪問金鑰
aws使用者必須終止未使用的訪問金鑰,因為訪問金鑰可能是破壞帳戶的有效方法。例如,如果有人從公司離職並且仍然可以使用金鑰,該使用者將一直使用到終止。類似地,如果舊的訪問金鑰被刪除,外部威脅只有乙個簡單的機會視窗。建議終止使用30天未使用的訪問金鑰。
(7)限制訪問cloud trailbucket
沒有使用者或管理員帳戶應該能夠不受限制地訪問cloudtrail日誌,因為它們容易受到網路釣魚攻擊。即使使用者沒有惡意的意圖,他們仍然很敏感。因此,需要限制訪問cloud trail日誌以限制未經授權的訪問風險。
aws基礎設施的這些最佳實踐可能在保護使用者的敏感資訊方面還有很長的路要走。通過將其中的幾個應用到使用者的aws配置中,其敏感資訊可能保持安全,並且將來可能會阻止更多的漏洞。 佚名
企業macOS管理的七個最佳實踐
近年來,與windows pc相比,macos裝置在企業中的部署呈指數級增長。有研究表明,企業採用mac的主要原因是 員工的偏好 降低的it成本和增強的作業系統安全性。根據2018年進行的一項調查,如果可以選擇,超過72 的員工會選擇mac而不是pc,90 的員工表示,在使用macos時生產力和創造...
HTTPS的七個誤解
許多人以為,出於安全考慮,瀏覽器不會在本地儲存https快取。實際上,只要在http頭中使用特定命令,https是可以快取的。微軟的ie專案經理eric lawrence寫道 說來也許令人震驚,只要http頭允許這樣做,所有版本的ie都快取https內容。比如,如果頭命令是cache control...
HTTPS的七個誤解
許多人以為,出於安全考慮,瀏覽器不會在本地儲存https快取。實際上,只要在http頭中使用特定命令,https是可以快取的。微軟的ie專案經理eric lawrence寫道 說來也許令人震驚,只要http頭允許這樣做,所有版本的ie都快取https內容。比如,如果頭命令是cache control...