AWS兩款云安全新工具 旨在防止數據泄露
責編:gltian |2018-07-24 13:29:18AWS是全球最大云提供商。因此,其安全直接影響到無數網站和在線服務。危險的疏漏總在發生,安全顧慮并不僅僅是理論上的。客戶會在AWS上存儲各種各樣的數據集和原始信息,把AWS存儲庫也變成了自身基礎設施的一部分。如果某客戶發生了設置失誤,或者沒完全理解AWS某功能的所有影響,就容易招致未授權訪問或數據滲漏事件。
AWS賬戶錯誤配置已經導致了多起數據泄露事件,從選民注冊信息到聯邦快遞客戶數據、保險信息,甚至大型會計及咨詢公司埃森哲的系統都曾被曝過。
不過,現在有兩款新工具有望能緩解該問題。這兩款工具名為Zelkova和Tiros,出自AWS自動化推理小組,可分析重要AWS安全配置,評估訪問控制方案,映射從S3存儲桶到互聯網的可能路徑;還可提供對不同設置的實際后果的自動化反饋,幫助管理員避免危險的錯誤。
上周舉行的AWS大會上,負責測試Zelkova和Tiros的對沖基金 Bridgewater Associates 安全架構師 Greg Frascadore 稱:“我們希望能從這些系統中得到某種形式的可證安全。這里的‘可證’并不是說永遠不會犯錯,而是一種形式化的分析和有條理的驗證方式,可以驗證我們付諸實踐的安全控制是按既定的方式在工作。我們的安全目標是阻止數據從AWS滲漏出去。”
這兩個工具打的是組合拳。Tiros映射出網絡機制間的連接,能有效檢測來自開放互聯網的非預期訪問。Zelkova能在不同S2存儲桶或其他AWS組件間創建用于對比的基準,幫助開發人員確認自己的設置相對于已有基礎設施或范例S3存儲桶有多寬容,并采用自動化邏輯發揮配置的極限效能。二者結合,便能在造成影響前搶先識別出錯誤。
這兩個工具最重要的功能就是幫助用戶在設計階段就進行驗證,在實際更改AWS基礎設施之前就能驗證安全,以免將漏洞引入AWS賬戶設置。
Tiros和Zelkova目前還只是粗陋的內部工具,用戶界面復雜而不人性化。Bridgewater基金與AWS合作測試這兩款工具,以投入自身資源的方式換取工具的使用權。不過Bridgewater正積極推動AWS將兩款工具改進稱消費級產品。AWS發言人稱,亞馬遜不確定是否會推廣Tiros和Zelkova部署,但Zelkova已應用在S3儀表板上用以自動檢查哪些存儲桶可被公開訪問之類的事。
AWS開始公開談論這兩款工具的事實,表明該公司正認真考慮如何更好地部署它們。AWS安全工程副總裁兼首席信息官 Stephen Schmidt 有徹底改變AWS上人與數據互動方式的長遠考慮,推廣這兩款工具的想法便根植于此。他上周表示,已為公司每位副總裁設立了“嚴格限制并監測人對數據的訪問”的安全目標。
這里的“嚴格”二字并非輕描淡寫,Schmidt的目標是人對數據的訪問要減少80%。當然,他的想法在很多人看來簡直是“瘋了,根本是不可能的”。但他選擇這一看似瘋狂的目標,正是因為該目標不通過自動化就不可能達到。他的想法,就是要引導人們去開發能夠避免手工作業的工具。
Tiros和Zelkova正是符合這一目標的工具,但Schmidt希望AWS持續打造各種機制來保護客戶。人對數據的訪問是業務需要,每個人都做業務都需要訪問數據。但這并不意味著所有訪問都是恰當的。公司企業往往因為圖方便圖省事,就賦予了管理員過多的數據訪問權限。我們非常有必要嚴格限制非絕對必要的訪問。限制人對數據的訪問,能擋住絕大部分的攻擊。
AWS的長期計劃中包含有限制自身訪問客戶基礎設施和數據的部分,這增加了AWS提供客戶支持和責任管理的難度,但Schmidt堅持這是減小風險的唯一途徑,還想要進一步限制訪問。那么,該公司內部在限制訪問上的達標情況又如何呢?
有些團隊絕對能達標。有些團隊進展巨大,但今年內不能完全達標。說實話,這是個大膽的要求。但值得高興的是,如今每個人都參與進來了,即便是反對者也在細想過后認識到了‘這對我有好處’。
——Schmidt
下一篇:身份管理如何驅動安全