墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

海外高防_云服务器安全防护_如何防

01-17 CC防护

海外高防_云服务器安全防护_如何防

Lacework

的CPO和联合创始人Sanjay Kalla表示,企业正以惊人的速度向云端挪移,高防cdn,他们正在带走珍贵的数据。黑客们就在他们身后,追踪着尽也很多的数据。云颠覆了传统的网络和主机概念,颠覆了使用它们作为代理来爱护数据访咨询的安全实践。在公共云中,网络和主机不再是资源和数据可用的最合适的操纵选项。AmazonWebServices(AWS)S3存储桶是很多数据挪移到云的目的地。思量到这些敏感数据的重要性,人们希翼企业紧密关注其S3安全态势。不幸的是,很多新闻报道都强调了有多少S3存储桶被错误配置,DDoS防护,并向公众开放。这是大迁移到云端过程中最常见的安全弱点之一,留下千兆字节的数据供黑客猎取。在调查云团队为啥会犯看起来明显的配置错误时,两个要紧缘由浮出水面:

1。太多的灵便性(太多的选项)会导致容易的错误

S3是最古老的AWS服务,在EC2或身份和访咨询治理(IAM)之前可用。在IAM存在之前,一些访咨询操纵功能是特意为S3构建的。目前,有五种不同的方式来配置和治理对S3存储桶的访咨询。

S3存储桶策略IAM政策访咨询操纵列表查询字符串身份验证/静态Web托管更改S3策略的API访咨询

更多的配置方式意味着更大的灵便性,但也意味着出错的几率更高。另一具挑战是有两种不同的策略,一种是针对bucket,另一种是针对bucket中的对象,这使得情况更加复杂。

2。AWS中的"用户"不同于传统数据中内心的"用户"

亚马逊提供了极大的灵便性,确保数据共享简单,用户能够轻松地跨账户或从互联网访咨询数据。关于传统企业,"用户"的概念通常意味着企业的成员。在AWS中,用户的定义是不同的。在AWS帐户上,"所有人"组包括所实用户(字面上是指互联网上的任何人),"AWS认证用户"是指拥有AWS帐户的任何用户。从数据爱护的角度来看,这同样糟糕,因为互联网上的任何人都能够开立AWS帐户。

从传统企业转移的客户——假如不小心——特别容易误解这些访咨询组的含义,将S3存储桶打开给"所有人"或"AWS认证用户"–这意味着向全世界开放存储桶。

S3安全检查表

假如您在AWS,同时使用S3,那个地点有一具您应该配置的检查表,以确保您的关键数据是安全的。

定期审核打开的存储桶:定期检查向全世界开放的存储桶。恶意用户能够利用这些打开的bucket寻找具有错误配置的ACL权限的对象,接着能够访咨询这些受损对象。

加密数据:在AWS上启用服务器端加密,因为它将在静止时(即写入对象时)加密数据,并在读取数据时解密。理想事情下,您应该启用客户端。

加密传输中的数据:传输中的SSL有助于在从S3存储桶访咨询数据时爱护传输中的数据。在AWS中启用安全传输以防止中间人攻击。

启用存储桶版本操纵:确保您的AWS S3存储桶已启用版本操纵。这将有助于保存和恢复更改和删除的S3对象,这有助于勒索软件和意外咨询题。

启用MFA删除:用户能够删除"S3 Bucket",即使他/她默认不使用MFA登录。强烈建议惟独使用MFA举行身份验证的用户才干删除存储桶。使用MFA防止意外或有意删除S3存储桶中的对象将增加额外的安全层

启用日志记录:假如S3存储桶启用了服务器访咨询日志记录功能,DDoS防护,您将可以跟踪访咨询存储桶的每个请求。这将允许用户监控活动、检测异常并防止未经授权的访咨询

监控所有S3策略更改:AWS CloudTrail提供S3策略所有更改的日志。对公共桶的策略和检查举行关心-但不等待定期审计,对现有桶的策略的任何更改都应实时监控。席道应用程序访咨询S3:在一具攻击向量中,黑客在他们的帐户中创建S3桶,并未来自您的帐户的数据发送到他们的桶。这揭示了云中以网络为中心的安全性的一具局限性:流量需要允许进入S3,S3被归类为差不多服务。为了防止浮上这种事情,您应该在应用程序层具有IDS功能,并跟踪环境中访咨询S3的所有应用程序。假如新应用程序或用户开始访咨询您的S3存储桶,系统应发出警报。

限制对S3存储桶的访咨询:确保您的AWS S3存储桶配置为仅允许访咨询特定IP地址和授权帐户,以防止未经授权的访咨询。

实时关闭存储桶:即使是几分钟的公开访咨询S3桶的暴露大概有风险,因为它大概导致泄漏。S3支持允许用户标记bucket的标记。使用这些标记,治理员能够用一具名为"public"的标记来标记需要公开的bucket。CloudTrail将在bucket上的策略更改时发出警报,该bucket变为公共,但没有正确的标记。用户能够使用Lambda函数实时更改权限,以纠正异常或恶意活动的策略。

版权保护: 本文由 主页 原创,转载请保留链接: /ddos/139558.html


QQ客服

400-0797-119