注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 3630|回复: 0

[黑客新闻] AWS共享责任模型:今天要进行的3个方面的改进,第1部分

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
47860
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   708 小时
   最后登录
   2021-8-29
发表于 2021-3-29 20:44:34 | 显示全部楼层 |阅读模式
有时将您的数字资产迁移到云似乎不堪重负。但是你并不孤单。AWS很好地完成了与您的会面,以帮助您提高安全性。AWS将其称为“共享责任模型”。您和AWS都应对系统的健康和安全负责。AWS并不希望您自己保护一切。另一方面,您不应该期望AWS为您保护所有东西。

让我们看看什么是AWS Shared Responsibility Model,以及它与将您的秘密存储在AWS私有中的关系。

AWS共享责任模型
AWS将其服务分为三类:

基础设施服务
集装箱服务
抽象服务
了解您正在使用的服务类别将帮助您了解您和AWS的职责。

基础架构服务包括诸如EC2之类的计算服务以及诸如弹性块存储(EBS),自动扩展和虚拟专用网(VPC)之类的支持服务。本质上,基础架构使您可以完全控制自己的计算服务,而与自己的数据中心几乎没有什么不同。您安装自己的操作系统,并确保它们是最新的。您的应用程序代码在AWS提供的基础架构上运行。在云术语中,这些是基础架构即服务(IaaS)产品。

简而言之,使用基础结构服务时,您将承担更多责任。查看Amazon的图,该图说明了客户负责与AWS负责的内容(请注意:本节中的所有图均来自Amazon的Security Best Practices白皮书)。

基础架构服务的责任分担。
基础架构服务的责任分担。来源:AWS Security Best Practices

在此模型中,AWS负责基础架构的安全性,其中包括物理服务器,虚拟化层和物理网络。客户管理运行其工作负载所需的其他一切。

容器服务在相同的基础架构(例如EC2实例)上运行,但是您不管理操作系统或平台。如果需要EC2实例或其他服务来运行您的工作负载,则容器服务将为您进行管理。示例包括关系数据库服务(RDS)和Elastic Beanstalk。用云计算,容器服务是亚马逊的平台即服务(PaaS)产品。

容器服务的安全模型将更多责任转移到AWS的肩膀上。例如,如果您在RDS中使用Oracle,则AWS负责使Oracle数据库软件保持最新状态以及数据库运行所在的底层操作系统和EC2实例的安全性。客户负责一些防火墙配置和数据加密。共享责任可以通过以下图表显示:

集装箱服务的共同责任明细
集装箱服务的共同责任明细。来源:AWS Security Best Practices

最后,我们将考虑抽象服务。抽象服务为客户提供了完整的服务,并且只需很少的工作就可以保护它。这些服务包括S3和DynamoDB。这些服务属于软件即服务(SaaS)范畴。错误的配置仍然可以让您容易受到攻击,但是由客户承担的总体成本要低得多。

下图表示了抽象服务的共享责任模型。AWS负责基础架构,操作系统,平台和网络安全。客户需要根据需要使用IAM和加密服务来适当地保护其数据。

抽象服务的责任分担。 来源:AWS Security Best Practices
抽象服务的责任分担。来源:AWS Security Best Practices


既然您知道什么是分担责任模型,我们现在将讨论客户必须管理的三个重要安全性部分。我们将讨论如何将私钥(和其他机密)设为私有,防火墙配置中的常见错误以及在AWS中进行正确的日志记录和监控。

在这篇文章中,我们将介绍如何将您的秘密保密。我们将在后续文章中介绍其他两个。

私钥私密
您现在已经接受了一个新职位,AWS客户。您的职责是什么?首先,我们将研究您需要保密的内容。许多雇主要求其雇员签署保密协议,禁止雇员分享公司经营方式的秘密。如果员工违反了这份合同,他们很可能会被解雇。

同样,运行您的工作负载也需要一些密钥机密,但不得与他人共享。这些包括:

加密金钥
私钥
敏感凭证(例如用于身份验证的AWS密钥)
当这些秘密暴露出来时,企业就会陷入困境。由于S3存储桶的敞开,Verizon和道琼斯都存在重大数据泄露事件。在急于得到云,企业有有时错误地配置了服务,并与巨大的后果作出简单的错误。

个人也可能犯错。一些开发人员已将其AWS秘密密钥放入Git存储库中。如果暴露在诸如GitHub之类的网站上,则用于身份验证AWS服务的密钥将在几分钟之内被泄露。坏人然后可以使用私钥创建EC2实例,以便以公司的一角钱进行加密挖矿,如果不是出于其他有害目的的话。

黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防的某些客户也成为公开私人信息的受害者。我们的黑客发现了这样的情况,其中EC2上的元数据服务器可用于泄漏敏感数据,例如密码,AWS密钥和源代码。请查看SSRF:私钥披露报告和SSRF漏洞(EC2元数据)报告以获取更多详细信息。

保护您的秘密的实际步骤
我们已经看到,如果客户不认真对待共享责任模型,则私钥和其他机密可能会泄露。如果您想保护自己的秘密,而又不想成为下一个标题,则可以这样做:在AWS中创建一个围墙花园。

一个围墙花园是设计用来控制用户访问资源的环境。它指导导航并防止有害数据进入或离开。AWS内的围墙花园安全性方法使您能够完成需要完成的工作,而不会把秘密保密。让我们讨论这些步骤。

首先,您需要一个构建管道。对AWS基础架构的所有更改都应通过构建管道进行。禁止手动更改。将构建管道与詹金斯(Jenkins)和Atlassian Bamboo等工具一起使用,将使您可以将安全检查纳入流程的一部分。可以发现和报告任何安全违规,甚至可以将其删除。

其次,良好的IAM政策至关重要。IAM是一个功能强大的工具,如果使用正确,它将极大地帮助您提高安全性。使用最小特权原则,以确保没有人拥有比必要更多的访问权限。可以为服务分配IAM角色,因此请使用IAM角色将服务链接在一起。例如,确保只有具有特定IAM角色的EC2实例才能访问S3存储桶。您在EC2上运行的工作负载将有权访问必要的数据,但您的S3存储桶将不会暴露给Internet或任何具有AWS凭证的人。

EC2实例元数据可用于存储和检索单个EC2实例的IAM角色。这是一个好习惯,但是有一个“陷阱”。实例元数据服务对API调用具有速率限制。如果您遵循良好做法并将多个IAM角色分配给各个实例,则可能会达到此限制。解决此问题的一种方法是在从元数据服务中检索凭据之后,使用代码或脚本在本地缓存凭据一段时间。不要将它们保留太久,因为它们会过期。保持几分钟,然后刷新它们。有关IAM最佳做法的更多详细信息,可以在此开源资源中找到。

暴露S3存储桶当然不是一个好习惯。因此,保护您的S3数据。默认情况下,S3存储桶是私有的,因此必须有人自觉地将其公开。不要这样 相反,请将您的S3数据视为“后端”系统,并仅将其访问权限提供给需要它的服务。使用CloudFront从S3存储桶中提供内容,而不是公开公开S3 URL。如前所述,在需要EC2实例访问S3数据时,为其指定所需的角色。未经适当授权,切勿将S3数据暴露给任何人或任何事物。AWS配置规则使您可以更轻松地查找不兼容的S3存储桶。

保护您的秘密
您已经与您的数据和客户的数据签署了“保密协议”。AWS负责保护您使用的云基础架构。但是,所有分担责任模型都将数据安全牢牢地掌握在客户手中。

因此,您有责任保护自己的机密。在您的环境中创建带围墙的花园。使用构建管道,IAM策略以及对S3资源的明智使用,以确保您的机密不会泄露。

请继续关注第2部分,防火墙配置的常见错误。

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表