编者按：本文来自“InfoQ”，作者：Marc Laliberte，高档安全分析师，来自 WatchGuard Technologies，译者：夏夜，策划：万佳，36氪经授权发布。

早在 2006 年，亚马逊就推出S3。作为一个渠道，它能够存储任何类型的数据。从那时起，S3 存储桶成为最常用的云存储东西之一，存储从服务器日志到客户数据的任何内容，其用户包含 Netflix、Reddit 和 GE Healthcare 等著名品牌。

尽管S3推出时很注重安全准则，但它在保证安全性的道路上并不是一往无前。

近年来，S3 存储桶的安全问题到达高峰，Uber、埃森哲 (Accenture) 等公司，乃至美国国防部都受到严重数据走漏的影响。

简直一切这些走漏都有一个一起要素——担任办理云存储的办理员过错装备了安全设置，导致它们对大众敞开。

你或许想知道，这种工作为什么一而再再而三地发作？莫非不该该有可用的默许安全装备阻挠这类工作发作吗？

值得称赞的是，S3 一直以来所选用的模型，使新创建的桶默许都是私有的。对大众和其他通过身份验证的 Amazon AWS 帐户，办理员能够操控其拜访等级。

但问题在于，对某个特定的“桶”，要想判别大众应归于哪个拜访等级并不简单。您或许会得到一个装备受限权限的桶，但该装备中或许包含了一些项，这些项能够掩盖这些约束，然后供给揭露拜访授权。

早在 2017 年，Amazon 就添加了额定的安全更改，以协助处理因为 S3 存储桶装备过错而导致的日益添加的安全问题。首要，他们在一切公共桶上打上一个大大的橙色标签。此外，他们还为上传到桶的一切数据添加了默许加密和具体陈述等设置，以协助辨认过错装备。

但这明显还不行。在这些改变之后的几个月里，许多企业依然面对着来自完全敞开存储导致的很多数据走漏要挟。

S3 用户面对的首要问题之一，涉及到一切的规矩覆写和拜访操控列表覆写，这些覆写行为是跟着时刻推移逐步进行的。尽管 Amazon 依然默许阻挠一切公共 S3 拜访，可是用户偶然需求暂时揭露拜访一些数据。

为方便地完成这一点，办理员能够更新他们的拜访操控列表，答应对数据进行读拜访，并且想的是稍后删去该项规矩。但不幸的是，数据拜访需求发作了改变，人们又很健忘，这在某种程度上预示着规矩或许会比预期逗留更长时刻，在不该该拜访数据时却能拜访数据。

嵌套目录（每个目录都有各自的权限）也或许进一步添加 S3 存储桶拜访和安全的复杂性。最终，您或许会忘掉存储灵敏日志子目录的子目录其实便是能够揭露拜访的。

亚马逊在 2018 年 11 月遇到了这样的一个问题，其时他们添加了一个选项来阻挠全球范围内一切公共拜访帐户中的每个 S3 桶。这为办理员供给了一个重置按钮来铲除之前的设置，只需一次单击就能够掩盖一切自定义规矩。

惋惜的是，这些安全更新只需在人们知道它们存在并正确运用它们的情况下才有用。不幸的是，因为用户过错和不正确的运用，只需服务还在运转，咱们就或许持续看到源于过错装备的 S3 桶缝隙。

假如你的公司运用 Amazon S3（或任何云存储服务），你能够做几件事来保证数据不会走漏:

• 首要，花一些时刻完全查看当时的存储权限。查看现有的存储桶，保证没有一点过期的规矩，这些规矩或许答应意外的数据拜访。

• 其次，在设置新的云存储或办理当时设置时，请遵从最佳实践准则。Amazon 的协助体系有一个很好的攻略，协助用户维护S3 的安全，类似于Microsoft 的Azure 存储服务。

• 最终，退一步考虑一下要上传到云中的数据类型。您能够在云上存储某些东西并不代表您必定需求云存储。削减您的数据轨道不只降低了复杂性，更简单发现过错装备，并且还削减了您成为数据走漏受害者时的潜在丢失。

关于公司数据的存储需求来说，云存储是一个十分棒且一般十分合算的东西，但假如不小心，它或许会给您的事务带来严重的安全问题。

建议您从上面的三个最佳实践开端最小化危险。当您有疑问时，在将灵敏信息上传到云上之前，找一位 S3（或您运用的任何渠道）的专家并与他们沟通。

原文链接：

How data breaches forced Amazon to update S3 bucket security

封面图来自pexels