用户错误配置AWS服务暴露了云安全风险

安全供应商Threat Stack的一项新研究将于今天在AWS峰会上发布，揭示了用户的一系列常见安全配置错误，这些错误配置使他们的云实例面临潜在的安全风险。

Threat Stack分析了使用AWS的200家公司，以查看是否存在潜在的安全隐患-事实证明，存在许多安全隐患。最大的问题之一是发现73%的用户将Secure SHell(SSH)服务留给了云实例上的公共Internet。SSH通常用于远程管理服务器实例。

“很明显，这不是SSH中的漏洞，而是安全组(防火墙)配置不佳，” Threat Stack的CTO Sam Bisbee告诉 eWEEK。

在任何类型的服务器上进行典型的SSH安装都需要某种形式的身份验证。Bisbee解释说，他的公司在AWS上发现的问题是，安全组配置允许通过SSH从Internet上的任何源直接访问环境中的任何系统。

Bisbee说：“尽管有安全地运行这样的体系结构的技术方法，但它们通常被认为过于复杂，通常不值得付出额外的努力或风险。”

Bisbee补充说，暴露SSH服务是有风险的，因为它允许更大的面向公众的表面积，该表面积可能会受到攻击。例如，他指出，如果某个环境要公开一千个各自公开SSH的系统，则有可能将攻击分散到整个表面，以减少被检测到的机会。

Bisbee说：“比起单个主机上的一千次失败登录，很难发现每个登录失败的一千个主机。”

Bisbee补充说，根据他的经验，SSH主机会很快受到攻击。

Bisbee说：“我上次将SSH作为测试进行测试时，主机上的SSH受到攻击的时间不到10秒。”

安全漏洞的另一个方面是AWS用户缺乏多因素身份验证(MFA)。根据Threat Stack的分析，有62%的组织未使用某种形式的MFA来保护其AWS云实例。

关于为什么MFA的采用率不高，Bisbee有一些想法。

比斯比说：“我相信对MFA一无所知的技术人员人数急剧减少。” “我认为人们低估了投资，并且错误的看法是这太困难了。”

Threat Stack还发现并非所有的AWS用户都在所有AWS区域中使用AWS CloudTrail审核和合规性服务。Bisbee说，有27%的用户未在所有AWS区域中配置CloudTrail，这意味着他们可能已在至少一个区域中进行了设置。

Bisbee说：“这种行为很普遍，因为用户有条件只监视他们利用的区域中的资源，尽管它可以自由监视未使用的区域。” “这对于系统监视(CPU和硬盘驱动器)有意义，但对安全性或合规性监视则没有意义。”

例如，Bisbee说，如果组织仅在北弗吉尼亚州运行系统，则它们永远都不应在东京运行系统，并且如果这种情况发生变化，则应在深夜唤醒某人，因为这意味着它们已被破坏或错误配置了资源。

Bisbee说：“我个人认为AWS的教育策略开始显示出递减的回报，他们需要开始代表客户做出小小的选择。”

例如，他建议默认情况下应在所有区域中启用CloudTrail，而MFA应该是强制性的。

Bisbee说：“我认为，如果用户希望安全性不再可用，则可以将其作为一种功能使用，这就是拥有如此众多安全性合作伙伴的原因之一。” “不过，如果AWS默认情况下照顾更多的基础，那将是很棒的，这样我们就可以不再强调相同的基本配置错误，而专注于更棘手的问题。”

用户