AWS是全球最大云提供商。因此,其安全直接影响到无数网站和在线服务。危险的疏漏总在发生,安全顾虑并不仅仅是理论上的。客户会在AWS上存储各种各样的数据集和原始信息,把AWS存储库也变成了自身基础设施的一部分。如果某客户发生了设置失误,或者没完全理解AWS某功能的所有影响,就容易招致未授权访问或数据渗漏事件。
AWS账户错误配置已经导致了多起数据泄露事件,从选民..信息到联邦快递客户数据、保险信息,甚至大型会计及咨询公司埃森哲的系统都曾被曝过。
不过,现在有两款新工具有望能缓解该问题。这两款工具名为Zelkova和Tiros,出自AWS自动化推理小组,可分析重要AWS安全配置,评估访问控制方案,映射从S3存储桶到互联网的可能路径;还可提供对不同设置的实际后果的自动化反馈,帮助管理员避免危险的错误。
上周举行的AWS大会上,负责测试Zelkova和Tiros的对冲基金 Bridgewater Associates 安全架构师 Greg Frascadore 称:“我们希望能从这些系统中得到某种形式的可证安全。这里的‘可证’并不是说永远不会犯错,而是一种形式化的分析和有条理的验证方式,,可以验证我们付诸实践的安全控制是按既定的方式在工作。我们的安全目标是阻止数据从AWS渗漏出去。”
这两个工具打的是组合拳。Tiros映射出网络机制间的连接,能有效检测来自开放互联网的非预期访问。Zelkova能在不同S2存储桶或其他AWS组件间创建用于对比的基准,帮助开发人员确认自己的设置相对于已有基础设施或范例S3存储桶有多宽容,并采用自动化逻辑发挥配置的极限效能。二者结合,便能在造成影响前抢先识别出错误。
这两个工具最重要的功能就是帮助用户在设计阶段就进行验证,在实际更改AWS基础设施之前就能验证安全,以免将漏洞引入AWS账户设置。
