使用AWS時,許多人誤以為雲端資安已完全受到保護,但這是一個危險的觀念。雖然AWS負責基礎設施的安全防護,但雲端環境內部的資安控管仍是客戶的責任。以建築物安全來比喻:AWS負責提供堅固的外牆和屋頂,而客戶則需自行管理門鎖、設置監控系統,並確保重要資產的安全。
AWS的共同責任模式及可能攻擊
AWS採用「共同責任模式」(Shared Responsibility Model)來劃分資安責任。明確理解這個責任劃分對於維護AWS環境的資訊安全至關重要。舉例來說:
- AWS方面負責確保基礎設施的安全(如硬體、網路、機房等),就如同負責「建築物本身的結構安全」。
- 用戶方面負責AWS環境中的資料、應用程式和組態設定的安全,就如同負責「門禁管制和警報系統」。
以下是常發生於雲端的資安事件:
一、伺服器端請求偽造(SSRF)攻擊
部署在AWS上的應用程式容易遭受SSRF攻擊。透過這種攻擊手法,駭客能誘使伺服器發出未經授權的請求,藉此存取機敏資料或進行深層入侵。 防範SSRF的方法:
- 定期執行弱點掃描並即時修補應用程式漏洞。
- 啟用AWS IMDSv2機制—這是AWS提供的重要安全防護層,但需要客戶主動啟用及設定。
二、存取控制弱點
AWS Identity and Access Management (IAM) 提供資源存取權限的管理機制,但設定不當可能造成嚴重的資安漏洞。企業應遵循最小權限原則,確保使用者和系統只能存取執行業務所需的必要資源。 常見的設定缺失包括:
- 過度寬鬆的角色與權限配置
- 欠缺適當的安全控管機制
- 不慎公開的 S3 儲存桶
三、資料外洩風險
AWS用戶必須自行確保雲端儲存資料的安全性,包括管理應用程式如何存取這些資料。 以AWS RDS(關聯式資料庫服務)為例,用戶必須確保應用程式不會導致敏感資料外洩。即使是一個簡單的「不安全的直接物件引用」(IDOR)漏洞,都可能讓擁有使用者帳號的攻擊者存取其他用戶的資料。
四、系統修補管理
不要誤以為AWS會幫你修補系統漏洞!使用EC2虛擬主機的用戶必須自行負責作業系統(OS)和應用程式的更新維護。以在Ubuntu 24.04上安裝Redis為例,用戶需要負責修補應用程式(Redis)和作業系統(Ubuntu)的所有資安漏洞。AWS只負責底層硬體的韌體更新等維護工作。 儘管AWS Lambda等無伺服器服務可以減輕部分修補工作的負擔,但你仍須確保使用受支援的執行環境(runtime)並持續更新。
五、網路防火牆與攻擊面管理
AWS提供用戶管理其攻擊面的權限,但對於用戶開放的服務和連接埠,AWS不承擔任何安全責任。例如,當在AWS上部署GitLab伺服器時,用戶必須自行負責建置VPN、設定防火牆規則,或將服務放置在VPC(Virtual Private Cloud)中,同時確保團隊能安全地存取這些資源。若未做好這些防護,一旦出現零時差漏洞,可能導致資料外洩,這並非AWS的責任。 上述案例說明,雲端資安並非自動到位。雖然AWS負責基礎設施的安全防護,但建置在其上的所有服務安全性仍是客戶的責任。忽視這點可能使組織面臨嚴重的資安風險,但只要善用適當工具,維持安全並非難事。
本文轉載自 TheHackerNews。
資料來源:資安人