提起“云計算”，相信大家都不再陌生，進入中國市場這么多年，無論是在遠程辦公上還是企業運營的其他方面，都帶來了很多便利之處！這種基于互聯網提供服務的業務模式，黑客往往會利用主觀上的錯誤用戶行為，而非客觀上的技術安全缺陷，對企業“云”安全進行威脅和攻擊。

根據最新調查，云配置錯誤是企業云數據泄露的最主要原因，云服務器租用，許多公司應對云安全的威脅準備工作并不完善，這給正在監視企業云安全的黑客們提供了充分發現漏洞并攻擊的機會。

以下是常見的5個AWS錯誤配置：

1、EC2安全組的權限訪問不受控制

與AWS彈性云計算(Elastic Compute Cloud簡稱EC2)實例相關聯的安全組(Security Groups簡稱SGs)類似于防火墻，它們在協議和端口上需要設置授權。這些SG是一組規則，它可以過濾EC2實例的入站（入口)和出站(出口）流量。一個EC2實例可以有多個SG，一個SG的規則可以隨時修改，如允許指定的IP地址或IP 范圍、指定端口、指定協議等。

當您使用CloudTrail啟用日志記錄并使用第三方日志分析和管理工具監視日志數據時，您可以檢測到那些不受限制的訪問，檢測附加到EC2實例的SGs何時允許了對25(SMTP)、80以及443(HTTP和HTTPS)以外的端口不受限制地進行了訪問等。

2、亞馬遜云機器映像(AMI)不受保護

AMI（全稱Amazon Machine Image,亞馬遜機器映像）提供EC2實例所需的啟動信息，當創建EC2實例時，必須指定它所屬的AMI。

由于AMI包含專有的或敏感的數據，包括操作系統、應用程序和配置參數等信息，您應該時刻確保它是私有的，任何內容都不應該被公開。

3、沒有終止未使用的訪問密鑰

訪問密鑰是IAM（全稱Identity and Access Management，身份和訪問管理）用戶或AWS根用戶的長期憑證，可以實現對公司AWS 資源的個人訪問權限或組訪問權限控制，也可以為AWS以外的用戶（聯合用戶）授權，管理IAM用戶的訪問密鑰對企業云安全非常重要！

審計AWS帳戶是檢測未使用訪問密鑰的最佳方法之一。

可以參考如下步驟在AWS管理控制臺來檢測和刪除未使用的訪問密鑰：

l 登錄AWS控制臺

l 左側選擇IAM服務選項下的用戶

l 單擊要審核的用戶

l 單擊安全證書標簽

l 檢查Last Used列，如果它顯示為N/A，這意味著訪問密鑰從未被選中的該用戶使用過，即這是一個從未使用的密鑰

您必須對每個可疑用戶帳戶重復此過程，并檢查訪問密鑰是否未使用或使用過；您還可以通過下載憑證報告，免備案服務器，然后在命令行接口(command-line interface，簡稱CLI)，執行特定命令找到未使用的訪問密鑰；在獲得未使用的訪問密鑰列表后，您可以繼續從同一個控制臺刪除它們。

4、對Redshift集群的訪問不受控制

Amazon Redshift是一個節點計算資源的集合，這些資源構成一個稱為集群的組，每個集群運行一個Amazon Redshift engine以及一個或多個數據庫。

首次配置Amazon Redshift集群時，默認情況下，沒有人可以訪問它，為了給其他用戶授予訪問此集群的權限，需要將其與安全組關聯，并且定義訪問規則。如果不配置安全組就與集群關聯，那Amazon Redshift將是公開的，互聯網上任何人都可以建議與其數據庫的連接，這無疑會增加暴力攻擊、SQL注入或Dos攻擊等多種風險。

5、過度允許訪問云資源

眾所周知，公司如果沒有防火墻，任何人都可以通過互聯網直接連接到公司內部網絡設備。然而，當涉及到云平臺時，管理員有時會無意中忽視了配置入站訪問規則，這給黑客們提供了通過互聯網直接訪問公司內部資源的可趁之機。

企業需不間斷審計和審查VPC安全組和網絡訪問控制列表(NACL)，獲得入站和出站流量情況，跟蹤對這些組的更改事件，并對指定協議或端口有不受限訪問時及時得到告警通知。