AWS是全球最大云提供商。因此,其安全直接影响到无数网站和在线服务。危险的疏漏总在发生,安全顾虑并不仅仅是理论上的。客户会在AWS上存储各种各样的数据集和原始信息,把AWS存储库也变成了自身基础设施的一部分。如果某客户发生了设置失误,或者没完全理解AWS某功能的所有影响,就容易招致未授权访问或数据渗漏事件。
AWS账户错误配置已经导致了多起数据泄露事件,从选民注册信息到联邦快递客户数据、保险信息,甚至大型会计及咨询公司埃森哲的系统都曾被曝过。
不过,现在有两款新工具有望能缓解该问题。这两款工具名为Zelkova和Tiros,出自AWS自动化推理小组,可分析重要AWS安全配置,评估访问控制方案,映射从S3存储桶到互联网的可能路径;还可提供对不同设置的实际后果的自动化反馈,帮助管理员避免危险的错误。
上周举行的AWS大会上,负责测试Zelkova和Tiros的对冲基金 Bridgewater Associates 安全架构师 Greg Frascadore 称:“我们希望能从这些系统中得到某种形式的可证安全。这里的‘可证’并不是说永远不会犯错,而是一种形式化的分析和有条理的验证方式,可以验证我们付诸实践的安全控制是按既定的方式在工作。我们的安全目标是阻止数据从AWS渗漏出去。”
这两个工具打的是组合拳。Tiros映射出网络机制间的连接,能有效检测来自开放互联网的非预期访问。Zelkova能在不同S2存储桶或其他AWS组件间创建用于对比的基准,帮助开发人员确认自己的设置相对于已有基础设施或范例S3存储桶有多宽容,并采用自动化逻辑发挥配置的极限效能。二者结合,便能在造成影响前抢先识别出错误。
这两个工具最重要的功能就是帮助用户在设计阶段就进行验证,在实际更改AWS基础设施之前就能验证安全,以免将漏洞引入AWS账户设置。
Tiros和Zelkova目前还只是粗陋的内部工具,用户界面复杂而不人性化。Bridgewater基金与AWS合作测试这两款工具,以投入自身资源的方式换取工具的使用权。不过Bridgewater正积极推动AWS将两款工具改进称消费级产品。AWS发言人称,亚马逊不确定是否会推广Tiros和Zelkova部署,但Zelkova已应用在S3仪表板上用以自动检查哪些存储桶可被公开访问之类的事。
AWS开始公开谈论这两款工具的事实,表明该公司正认真考虑如何更好地部署它们。AWS安全工程副总裁兼首席信息官 Stephen Schmidt 有彻底改变AWS上人与数据互动方式的长远考虑,推广这两款工具的想法便根植于此。他上周表示,已为公司每位副总裁设立了“严格限制并监测人对数据的访问”的安全目标。
这里的“严格”二字并非轻描淡写,Schmidt的目标是人对数据的访问要减少80%。当然,他的想法在很多人看来简直是“疯了,根本是不可能的”。但他选择这一看似疯狂的目标,正是因为该目标不通过自动化就不可能达到。他的想法,就是要引导人们去开发能够避免手工作业的工具。
Tiros和Zelkova正是符合这一目标的工具,但Schmidt希望AWS持续打造各种机制来保护客户。人对数据的访问是业务需要,每个人都做业务都需要访问数据。但这并不意味着所有访问都是恰当的。公司企业往往因为图方便图省事,就赋予了管理员过多的数据访问权限。我们非常有必要严格限制非绝对必要的访问。限制人对数据的访问,能挡住绝大部分的攻击。
AWS的长期计划中包含有限制自身访问客户基础设施和数据的部分,这增加了AWS提供客户支持和责任管理的难度,但Schmidt坚持这是减小风险的唯一途径,还想要进一步限制访问。那么,该公司内部在限制访问上的达标情况又如何呢?
有些团队绝对能达标。有些团队进展巨大,但今年内不能完全达标。说实话,这是个大胆的要求。但值得高兴的是,如今每个人都参与进来了,即便是反对者也在细想过后认识到了‘这对我有好处’。
——Schmidt
相关阅读