为防止S3数据意外泄露,AWS推出了新的安全功能

亚马逊的Web服务部门今天向AWS账户所有者推出了新的安全功能，旨在防止因S3 bucket配置错误而导致的意外数据泄露。
从今天开始，AWS账户所有者将可以在“此帐户的公共访问设置”部分下访问其S3仪表板中的四个新选项。

这四个新选项允许帐户所有者为所有帐户的S3 bucket设置默认访问策略。这些新的帐户级设置将覆盖任何现有或新创建的S3 bucket ACL（访问控制列表）和策略。新创建的S3 bucket安全设置能和之前设置的旧安全策略兼容。

亚马逊网络服务首席宣传员杰夫巴尔表示，新设置可用作主交换机，防止帐户所有者或其员工/开发人员通过应用程序编码或错误配置错误意外打开S3 bucket及其数据存储级别。

这类安全事故（错误配置的S3存储库）在过去几年中一直是AWS客户比较头疼的问题，并且对AWS本身来说也是存在严重漏洞。许多网络安全专家认为，亚马逊没有做足够的事情来警告AWS用户暴露S3 bucket或提供控制这种危险发生的解决方案。

亚马逊去年11月开始采取行动，当时它开始在AWS仪表板中显示亮橙色告警用户：（图中是允许公共访问的每个S3 bucket）


今天的更新，解决了该公司最近面临的大多数批评。此更新将提供急需的设置，以防止错误配置暴露存储库，而不仅仅是在帐户所有者已经发生之后告诉他们。

大量的S3 bucket数据泄露是常态，下面是一个（非常不完整的）数据泄漏列表，这些泄漏是由运行错误配置的S3 bucket或应用程序引起的，错误配置导致允许任何人查看其内容，而不仅仅是服务器所有者。

• 不安全的S3服务器暴露了数千个FedEx客户记录
  
• AWS S3错误暴露了GoDaddy的商业机密
  
• 埃森哲在暴露的服务器上留下了大量高度敏感的数据，包括“王国钥匙”
  
• 至少1400万Verizon用户的客户记录（包括电话号码和帐户PIN）通过S3 bucket公开
  
• Verizon AWS S3 bucket泄露有关公司内部计费系统的 100多亿条数据
  
• S3数据库泄露暴露了成千上万的雇佣军简历
  
• S3服务器暴露了1.98亿美国选民的细节
  
• National Credit Federation因S3 bucket泄露美国公民数据
  
• 尼日利亚航空公司Arik Air因暴露的S3数据存储库泄露了客户数据
  
• Pocket iNet ISP暴露了73GB的数据，包括密钥，纯文本密码
  
• Alteryx的S3漏洞导致 1.23亿美国家庭沦陷于欺诈和垃圾邮件
  
• 保险公司AgentRun因Amazon S3 bucket泄露了敏感的客户健康数据
  
• 唐纳德特朗普的竞选网站因S3 bucket泄露实习生简历
  
• 间谍软件公司SpyFone因S3服务器泄露了其窃取的数据
  
• 国防部高级承包商Booz Allen Hamilton因S3 bucket泄露了60,000个文件，包括员工安全凭证和密码
  
• AWS S3服务器泄露了300多万WWE粉丝的个人详细信息
  
• 一家汽车追踪公司泄露了超过50万辆汽车和车主的详细信息。
  
• Election Systems＆Software（ES＆S）泄露180万芝加哥选民的个人记录
  
• 道琼斯泄露了220万客户的个人信息
  
• S3 bucket泄露了数千名澳大利亚政府和银行员工的数据
  
• 密码管理器Keeper因S3服务器泄露了数据
  

根据去年发布的研究报告，Skyhigh Networks（现为迈克菲的一部分）发现，大约7％的AWS S3 bucket都是公开暴露数据的。

除了新的AWS S3公共访问设置外，亚马逊还宣布了DynamoDB的新闻(DynamoDB是一个高负载数据库引擎，也是AWS套件的一部分)，从今天开始，亚马逊表示默认情况下，存储在DynamoDBs中的所有数据都将被加密。

亚马逊在一份新闻稿中说：“你不必进行任何代码或应用程序修改来加密你的数据。” “DynamoDB透明地处理数据的加密和解密，并继续提供您所期望的相同的单位数毫秒延迟。”