国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　幾周之前，初創(chuàng)公司Code Spaces受到了DDOS進(jìn)行蓄意勒索的攻擊，在公司沒有支付勒索金的情況下，攻擊者進(jìn)入了AWS的EC2控制面板并刪除了數(shù)據(jù)。

　　這是無疑是一個(gè)噩夢(mèng)，無論如何阻止它，但類似的事件已經(jīng)出現(xiàn)了——盡管不是如此戲劇性的結(jié)果。安全專家說，通常在這些情況下，其他用戶無意中張貼他或她的AWS帳戶根密鑰在公眾地方 -——例如Github或StackOverflow，攻擊者的目標(biāo)不是勒索或是竊取數(shù)據(jù)，還是竊取這些免費(fèi)的計(jì)算資源，因?yàn)閕t’s free IT IT。

　　最近一個(gè)不愿透露具體信息的公司說有人能夠運(yùn)轉(zhuǎn)在偏遠(yuǎn)地區(qū)價(jià)值成千上萬美金的“流氓”AWS實(shí)例。即使這家公司(我們的目標(biāo)是X公司)沒有發(fā)現(xiàn)違反或張貼其憑據(jù)的跡象，AWS也會(huì)發(fā)行信貸金額。

　　Evident.io 創(chuàng)始人兼首席執(zhí)行官Tim Prendergast.這樣說道：“Evident.io公司為AWS提供了一個(gè)叫做SaaS安全產(chǎn)品，X公司的SaaS出現(xiàn)問題后，Evident.io公司并沒有花太長(zhǎng)的時(shí)間就發(fā)現(xiàn)了里面的錯(cuò)誤之處”。即使該公司并沒有推出它的根密鑰，同時(shí)Tim Prendergast又指出它確實(shí)有“高出兩位數(shù)的安全控件沒有得到正確的實(shí)施”。

　　事實(shí)上，這類公司通常面臨一下三大領(lǐng)域的挑戰(zhàn)，所以建議都應(yīng)該在安裝的早期考慮所有不安全的因素。

　　三種規(guī)避措施

　　首先，有一個(gè)根密鑰或IAM用戶密鑰被暴露的情況發(fā)生時(shí)，它可能具有正如前文所提到那樣的滲透性。

　　其次，缺乏良好的密碼規(guī)劃。企業(yè)往往不設(shè)置密碼驗(yàn)證來確定是否正確。所以公司強(qiáng)制使用兩個(gè)“強(qiáng)密碼”和多種認(rèn)證因素就顯得尤其重要。

　　最后，很多企業(yè)對(duì)于他們?nèi)绾卧O(shè)置的用戶權(quán)限或角色都顯得比較松懈，許多給所有用戶全面管理訪問的時(shí)候卻沒有理由這么做，這正是類似于有太多的Windows用戶有充分的管理權(quán)限的時(shí)光。這為潛在的攻擊者開辟了一個(gè)巨大的空間，他們只需要一個(gè)用戶的密碼，便可以訪問到整個(gè)大雜燴。

　　Prendergast說：“用戶可以通過釣魚網(wǎng)站或者訪問電子郵件和一個(gè)鍵盤記錄器來獲取如何登錄賬戶的信息”。如果網(wǎng)絡(luò)釣魚受害者有管理員權(quán)限，那么損失也將變得不容樂觀。

　　最佳實(shí)踐

　　不用多說，根據(jù)AWS的最佳實(shí)踐，張貼在公共網(wǎng)站密鑰認(rèn)證是一個(gè)禁忌。這本來是眾所周知的，但可怕的是它發(fā)生的次數(shù)竟然不在少數(shù)。

　　AWS用戶的首席技術(shù)官說：“我曾經(jīng)看見有人在StackOverflow上輸入AWS根密鑰兩次，但是當(dāng)我提醒他們時(shí)，他們卻并不知情”，這是另外一種實(shí)踐方式。在這兩種情況下，亞馬遜將計(jì)入欺詐性收費(fèi)返還給客戶。

　　當(dāng)被問及對(duì)此事以及發(fā)表評(píng)論時(shí)，一個(gè)AWS的發(fā)言人說：“客戶不應(yīng)該使用他們的根帳戶的訪問鍵，應(yīng)該使用身份訪問管理(IAM)來創(chuàng)建與AWS資源交互應(yīng)用程序的臨時(shí)安全證書。當(dāng)然，這些IAM訪問鍵必須加以認(rèn)真的管理。

　　最后她補(bǔ)充道：“開發(fā)商有責(zé)任按照亞馬遜指導(dǎo)和利用這些機(jī)制。當(dāng)亞馬遜意識(shí)到可能暴露的憑據(jù)時(shí)會(huì)主動(dòng)通知受影響的客戶，并提供有關(guān)如何保護(hù)他們的訪問鍵的指導(dǎo)”。

　　事情是這樣的，Prendergast最后說道：“許多AWS帳戶是以小開發(fā)者為中心的聚集地。他們并沒有首席信息安全官或者經(jīng)常連任何安全專家都沒有，這就意味著安全需要開發(fā)人員負(fù)責(zé)，但是這并不是開發(fā)人員的焦點(diǎn)。而且從技術(shù)上來講，對(duì)于API級(jí)別的任何安全問題是用戶的責(zé)任而不是亞馬遜的”。因此AWS賬戶安全問題任重而道遠(yuǎn)。