82%公有云数据库未加密 亚马逊AWS最堪忧

近日，一家云计算基础设施安全公司RedLock发布了“云基础设施安全趋势”报告，研究报告揭示了公有云安全的情况，发现82%的托管数据库未加密，另外还有许多其他问题。报告也指出尤以亚马逊AWS的云计算安全问题最为突出。

报告显示，“公有云计算环境（如亚马逊关系数据库服务和Amazon RedShift）中82%的数据库未加密，令人震惊。”

除了敏感数据被暴露之外，它还确定了其他几个问题，包括网络控制薄弱，治理不善，开发人员导致的安全风险和严格的合规并发症。

关于易受攻击的数据库，RedLock选择MongoDB实例作为安全从业者担心的原因。这些开源数据库是今年初勒索劫持攻击的主要目标。

报告说：“更糟糕的是，这些未加密数据库中有31%接受来自互联网的入站连接请求，而这是非常糟糕的安全措施。最值得注意的是，MongoDB实例看到重要的入站流量，27017端口是入站连接的前五大端口之一。

而且，再次提到了AWS产品的例子。报告说：“同样，RedLock的CSI研究人员还发现，40%的企业使用云存储服务，如亚马逊单一存储服务（Amazon S3），无意中对外暴露了一项或多项此类服务。2017年3月份，由于配置错误，史考特证券至少有20000份包含敏感数据的客户记录被曝光。”

报告主要亮点包括：

• 诸如PII[个人识别信息]和PHI[受保护的健康信息]之类的敏感数据被泄露，因为基本的数据安全性最佳做法如加密和访问控制未被执行。

• 网络安全被忽略，允许不受限制地访问敏感应用程序。

• 用户访问控制不足导致用户之间的安全情况较差。

• 由于缺乏安全专业知识，开发人员无意中引入了风险，特别是在容器等新技术方面。

• 在不断变化的环境中，实现持续合规是困难的。

RedLock表示，其研究团队已经确定了480万个具有敏感数据泄露记录，包括PII和PHI。

RedLock上个月发布了一项名为“公共共享的Amazon RDS和EBS快照暴露机密信息”的警报，AWS云上的情况相当不堪。但RedLock也强调，AWS的问题并不是由云平台本身引起的，而是由于云用户的配置实践不佳所致。

使用RDS控制台公开共享RDS快照

超过86个公共共享RDS快照

该警报特别提到，RedLock发现了属于财富50强企业的大约30万个客户电子邮件和加密密码，以及属于医疗保健供应链管理供应商的大约50万个客户和员工记录，客户包括大多数主要医疗服务提供商。

RedLock在一篇博客文章中进一步讨论了这次安全警报，并表示：“任何具有有效AWS凭证的用户都可以轻松查找和访问已被公开共享的未加密数据卷，随后访问存储在其中的所有信息，建议客户立即评估其基础架构的此漏洞，并采取适当的措施修复配置错误。”

使用EC2控制台公开共享ELB快照

在AWS Oregon地区可以找到7400个公共共享的EBS快照

同时，RedLock为使用公有云的企业如何提升安全意识提供了许多技巧，其中包括：

• 在公有云计算环境中自动发现数据库和存储资源。

• 实施连续配置监控，以确保为这些资源启用加密，并禁用公共访问。

• 监控网络流量，以确保这些资源不直接与互联网上的服务进行通信。

• 使用HSTS监控并将未加密的Web流量从端口80重定向到端口443。

• 确保服务被配置为根据需要接受来自互联网的流量。

• 实施“拒绝所有”默认出站防火墙策略。

RedLock CTO Gaurav Kumar表示，“公有云计算环境活力十足，我们的研究表明云资源的平均使用寿命只有127分钟，传统的安全策略无法匹配。我们的报告分析了超过100万个云资源和12 PB的网络流量，结果是企业需要有助于轻松，快速和自动化地管理安全性和合规风险的解决方案。”