Amazon Simple Storage Service S3 的使用越来越广泛,被用于许多用例:敏感数据存储库、安全日志的存储、与备份工具的集成……所以我们必须特别注意我们如何配置存储桶以及我们如何将它们暴露在互联网上...为了防止用户能够禁用此选项,我们可以在我们的组织中创建一个 SCP 策略,以便组织中的任何 AWS 账户成员都不能这样做。 2- 验证允许策略的主体中未使用通配符 所有安全策略都必须遵循最小特权原则。...为此,我们将在建立权限时避免使用通配符“*”,并且每次我们要建立对存储桶的权限时,我们将指定“主体”必须访问该资源。...8-激活对 S3 的访问日志 AWS S3 与 Cloudtrail 集成。每个 S3 API 调用都可以记录下来并与 CloudWatch 集成以供将来分析。...Cloudtrail 可以为整个组织全局激活,因此建议我们的关键存储桶激活此集成。 9-备份您的 S3 数据 在多个目的地至少保留一份关键数据备份。
S3存储桶中发现安全问题,Inspector从EC2实例中发现操作系统和应用的安全问题。...IAM负责创建子账户以及分配对账户和资源的访问权限;CloudTrail会记录你AWS账号内几乎所有API调用;Config会记录你账户内所有的配置变化;VPC Flow Logs则会记录VPC内的所有网络流日志...Amazon S3是一托管类服务,提供对象存储服务。AWS负责保证其11个9的数据可靠性和4个9的服务可用性,以及操作系统及软件补丁升级、防火墙配置及灾难恢复等。...你可使用SSL/TLS访问它,采用客户端数据加密,启用服务器端数据加密,按需配置访问权限,启用MFA Delete功能以防止存储桶误删,开启访问日志和监控,启用对象版本,对特定对象加锁以防止对象误删,使用...CCR(跨区域访问)来满足某些合规要求;还可启用AWS Macie服务,它会使用人工智能算法对S3存储桶中的数据进行分析,发现潜在的安全风险,保护敏感数据。
我们正在创建新的基础设施即代码方法,以协调运维团队和开发者的基础设施即代码工具和工作流程。 基础设施即代码(IaC)工具,如 Terraform 和 Pulumi,无疑改变了我们管理云基础设施的方式。...这里有一段代码,让用户可以从存储桶中获取下载 URL: import { api, bucket } from "@nitric/sdk"; const photoApi = api('photos'...这个列表包括 API、存储桶和执行单元等资源,以及在云端配置它们所需的必要信息。 该资源规范清楚地定义了应用程序的部署和运行需求,这使得我们可以生成与项目一同存在的资源图和文档。...例如设置 API 网关或存储桶。 运行时提供商:将抽象的 SDK 调用转换为特定的云 API 请求。例如发布主题或读/写存储桶。...部署提供商 使用 Pulumi 部署代码设置 S3 存储桶的代码可能如下所示。代码遍历资源规范,收集建立存储桶资源所需的必要细节。
ARM 提供了一个管理层,可用于创建、更新和删除 Azure 帐户中的资源。...访问控制策略访问控制:过于宽松的 S3 策略AWS Ansible 配置错误:不正确的 S3 存储桶网络访问控制访问控制:过于宽松的 S3 策略AWS CloudFormation 配置错误:不正确的...配置错误:S3 日志记录不足AWS CloudFormation 配置错误:S3 存储桶日志记录不足AWS CloudFormation 配置错误:日志验证已禁用AWS CloudFormation...配置错误:不安全的 Redshift 存储不安全的存储:缺少 S3 加密AWS Ansible 配置错误:不安全的 S3 存储桶存储不安全的存储:缺少 S3 加密AWS CloudFormation...配置错误:不安全的 S3 存储桶存储不安全的存储:缺少 SNS 主题加密AWS CloudFormation 配置错误:不安全的 SNS 主题存储不安全的传输:Azure 存储Azure Ansible
云存储桶,允许任何经过AWS全球认证的用户浏览和下载内容,而这种类型的AWS帐户可以通过免费注册获得。...毫不奇怪,这种控制程度为开发人员和DevOps团队带来了相同(可能有人说更高)的复杂程度。 在AWS云平台中,其角色作为机器身份。需要授予特定于应用程序的权限,并将访问策略附加到相关角色。...这些可以是由云计算服务提供商(CSP)创建的托管策略,也可以是由AWS云平台客户创建的内联策略。 担任角色 可以被分配多个访问策略或为多个应用程序服务的角色,使“最小权限”的旅程更具挑战性。...(1)单个应用程序–单一角色:应用程序使用具有不同托管和内联策略的角色,授予访问Amazon ElastiCache、RDS、DynamoDB和S3服务的特权。如何知道实际使用了哪些权限?...但是,只依靠Access Advisor并不能解决访问权限与解决许多策略决策所需的各个资源之间的问题。为此,有必要深入了解CloudTrail日志以及计算管理基础设施。
同样,Amazon S3 提供了一个抽象的可扩展存储解决方案,使用户能够存储和检索任意数量的数据,而无需管理物理存储系统。...为了访问 Pulumi 的抽象尚未完全支持的即将推出的或实验性功能,逃生舱为开发人员提供了内置的灵活性和可扩展性。 Pulumi 的动态提供程序允许你在现有提供程序无法满足你的需求时定义自定义资源。...通过实现四种方法——创建、读取、更新和删除——你可以将任何外部服务或 API 集成到 Pulumi 应用程序中。...以下是如何部署对存储桶资源的请求的示例,开发人员可以轻松修改或扩展该示例: // Bucket - Implements deployments of Nitric Buckets using AWS...S3 func (a *NitricAwsPulumiProvider) Bucket(ctx *pulumi.Context, parent pulumi.Resource, name string,
插件有两种类型: Source 插件为 Falco 添加新的数据源。它们从本地机器或远程源产生 Falco 可以理解的输入事件。...Source 和 Extractor 插件的组合允许用户将任意数据输入 Falco,以有用的方式解析数据,并从中创建规则和策略。...让我给你一个例子:Cloudtrail 插件扩展了 Falco,以理解 Cloudtrail 日志(本地或存储在 S3 上),并允许你编写这样的规则: - rule: Console Login Without...然而,在架构上,大多数选项属于以下类别之一: 查询云 API 或监视云数据存储以检测错误配置或漏洞的工具 将云日志流到后端的工具,对它们进行索引和查询 要检测基于云计算的软件中的威胁,第一类并不十分有用...使用 Falco 启动和运行只需要几分钟,将其用于云日志和系统调用可以实现统一的威胁检测方法。 Falco 的未来是什么? V0.31.0 提供一个 Cloudtrail 插件,但预计未来会有更多。
然后,被盗的凭证被用来执行AWS API调用,通过窃取进一步的凭证或在公司的云环境中创建后门来获得持久性。这些账户被用来在云环境中进一步传播。...S3桶的枚举也发生在这一阶段,存储在云桶中的文件很可能包含对攻击者有价值的数据,如账户凭证。...【SCARLETEEL攻击链】 为了尽量减少留下的痕迹,攻击者试图禁用被攻击的AWS账户中的CloudTrail日志,这对Sysdig的调查产生了不小的困难。...然而,很明显,攻击者从S3桶中检索了Terraform状态文件,其中包含IAM用户访问密钥和第二个AWS账户的密钥。这个账户被用来在该组织的云计算中进行横移。...Sysdig建议企业采取以下安全措施,以保护其云基础设施免受类似攻击: 及时更新所有的软件 使用IMDS v2而不是v1,这可以防止未经授权的元数据访问 对所有用户账户采用最小特权原则 对可能包含敏感数据的资源进行只读访问
每个基础设施即代码工具都会存储这个基础设施状态,实际上它只是关于所有云资源、属性和依赖关系的元数据。然而,工具将其暴露给你的程度各不相同。...而其他工具如 Terraform 则要求你手动管理这个状态,通常将其存储在你选择的云上的 S3 存储桶或等效物中。...有关策略即代码的更多信息,请参阅 Pulumi 的策略即代码 CrossGuard 用户指南。...Pulumi Cloud 为自动化基础设施交付提供了两种解决方案:首先,上述任何一个 CI/CD 系统都可以用来交付应用程序代码,同时也可以交付您的基础设施即代码。...我们希望本文为您提供了一个对核心基础设施即代码概念的良好理解,无论您选择哪个工具,以及展示了 Pulumi Cloud 通过使用通用和流行的编程语言所提供的一些独特优势。
通过在生产流水线中应用 IaC ,组织报告称提高了生产效率并实现了资源节约。 然而,并非所有的 IaC 解决方案都是相同的。...不可变的版本控制,即使用单一代码库创建和删除基础设施。 在整个 CI/CD 过程中进行测试。 设置策略的能力。 管理安全性的能力。 基础设施即代码提供的不变性在 CI/CD 中非常重要。...另一方面, Pulumi 声称支持所有主要编程语言,因此提供了更多的选择自由和更直接的方式来为 CI/CD 和一般情况下进行基础设施规划。...Kao 展示了如何以简单的英语输入请求,例如“我想要一个 S3 存储桶、一个 API 网关和一个 Lambda 函数。我想构建一个动态的无服务器网站。...因此,今天为开发人员提供的基础设施即代码工具应该看起来和感觉上都与以往大不相同。
与此同时, Elastic Beanstalk也将创建一个名为 elasticbeanstalk-region-account-id 的 Amazon S3 存储桶。...Elastic Beanstalk服务不会为其创建的 Amazon S3 存储桶启用默认加密。这意味着,在默认情况下,对象以未加密形式存储在存储桶中(并且只有授权用户可以访问)。...获取用户源代码 在获取elasticbeanstalk-region-account-id存储桶的控制权后,攻击者可以递归下载资源来获取用户Web应用源代码以及日志文件,具体操作如下: aws s3 cp...攻击者编写webshell文件并将其打包为zip文件,通过在AWS命令行工具中配置获取到的临时凭据,并执行如下指令将webshell文件上传到存储桶中: aws s3 cp webshell.zip s3...存储桶,并非用户的所有存储桶资源。
权限提升 通过Write Acl提权 对象存储服务访问控制列表(ACL)是与资源关联的一个指定被授权者和授予权限的列表,每个存储桶和对象都有与之关联的ACL。...为例,攻击者可以通过如下指令关闭多区域日志记录功能: aws cloudtrail update-trail --name [my-trail]--no-is-multi-region-trail -...为例,可以使用如下指令来查看CloudTrail的监控范围,并寻找监控外的云主机进行攻击以防止触发安全告警: aws cloudtrail describe-trails 禁用日志记录 与直接关闭安全监控服务相比...以AWS CloudTrail为例,攻击者可以通过使用如下指令关闭CloudTrail日志 aws cloudtrail stop-logging --name [my-trail] 并在攻击完成后,...以AWS API接口为例,可以使用DescribeInstances接口来查询账户中一个或多个实例的信息,或是使用ListBuckets API接口来查询目标存储桶列表信息。
只能在创建存储桶时启用 (3)Quota 限制bucket中的数据的数量 (4)Retention 使用规则以在一段时间内防止对象删除 如下图所示,在bucket功能画面,具有的功能有: 支持bucket...每个策略都描述了一个或多个操作和条件,这些操作和条件概述了用户或用户组的权限。 每个用户只能访问那些由内置角色明确授予的资源和操作。MinIO 默认拒绝访问任何其他资源或操作。...创建组Group 从显示的用户列表中选择以在创建时将用户分配给新组。这些用户继承分配给组的策略。 在创建之后可以从Group的视图中选择并将策略添加到组中。 策略视图允许您管理为组分配的策略。...MinIO 支持类似于 Amazon S3 事件通知的存储桶和对象级 S3 事件 支持的通知方式: 选择其中一个,通过在对应的方式里面配置通知需要的信息,比如下面是一个Webhook的方式,个人更推荐这种...以下更改将复制到所有其他sites 创建和删除存储桶和对象 创建和删除所有 IAM 用户、组、策略及其到用户或组的映射 创建 STS 凭证 创建和删除服务帐户(root用户拥有的帐户除外) 更改到 Bucket
例如2017年曝光的美国陆军及NSA情报平台将绝密文件放在可公开访问的Amazon S3存储桶中,这个错误配置的S3存储桶, 只要输入正确的URL,任何人都能看到AWS子域名“inscom”上存储的内容...(4)存储安全。确保通过自动执行基于策略的标记、访问和加密规则来保护存储的关键数据。...例如,可以通过标签设置,在工作时间之外关闭开发实例和其它一些不用的实例,以节约成本;可以调整自动缩放配置,以减少非工作时间的成本;根据实例的具体资源利用率,调整实例的大小,实现成本的降低;分析S3的存储...护栏不会阻挡活动,而是按预期执行安全策略,用户可以为不适用的资源设置白名单和黑名单。 例如,如果为安全组打开了管理员访问权限,那么就不会阻止管理员对这个安全组范围的访问。...相反,DisruptOps将策略设置为只允许来自授权公司IP范围的连接。
为车辆登记功能创建系统模型 2、会出什么问题?识别功能威胁 3、我们要怎么做?确定威胁的优先级并选择缓解措施 4、我们做得足够好吗?...的 API,后端通过DynamoDBTable和S3进行存储。...否认:Lambda 函数是否可以在不⽣成审计跟踪条⽬的情况下删除存储桶对象,从⽽不归因于执行了该操作? 信息泄露:Lambda 函数如何返回对错误 S3 对象的引⽤?...2.1.3 对数据存储的威胁:数据存储可能面临篡改、信息泄露和拒绝服务的风险。 拒绝:如果系统设计中没有对系统日志进行存储,应该不会有拒绝威胁。 否认:系统本身没有日志记录,所以没有否认威胁。...泄露泄露:恶意人员如何从DynamoDB 表中读取数据,或读取存储在 Amazon S3 存储桶内的对象中的数据? 拒绝服务:恶意人员如何从 Amazon S3 存储桶中删除对象?
由于国内用户不是很多,大部分数据使用了云盘来存储。但随着业务的持续,产生了大量的附件和日志,图片审核和日志分析也成了一项不堪负重的工作。...COS 提供了兼容 S3 的实现方案。如果您在应用的说明中看到类似 S3 兼容存储 或 S3 Compatible 字样,那么大多数情况可以使用 COS 服务。...在举例讲解 COS 插件应用之前,我们先来看下 COS 的安全策略。部分应用为了降低入门难度,其文档会引导用户使用主账号密钥,风险是非常大的。我推荐使用子账号密钥,并使用六段式资源描述限定权限范围。...登录腾讯云后台,进入访问管理/策略界面,创建一个相对严格的策略:指定 resource 为具体的存储桶及路径,并赋予全部操作权限。...图片进入访问管理/用户界面,创建一个用户,设置访问方式为编程访问,权限策略为我们刚才创建的策略。将其操作权限限定到指定的对象存储桶。
hashicorp 为 terraform 设计了一套语言 HCL(Hashicorp Configuration Language)来描述基础设施资源的状态。...,所以下述的资源都会创建在 aws 的 us-west-2 区域,就是美国西海岸俄勒冈的数据中心。...当然,如果每次都去云平台拿所有相关资源的状态,效率太低,所以 terraform 会将上一次执行完的结果的状态保存在本地或者公共的存储(一般是 S3),对比代码和上一次执行完保存的状态即可。...目前 AWS 上常用的方案是 S3 存储状态,DynamoDB 用来加锁。如果多个人部署同一个 stack,就简单粗暴去 DynamoDB 拿锁排队。...另外,状态的版本控制基本上没有,或者只能通过状态使用的存储引擎做版本管理(比如 S3),很难有效对比多个状态之间的差异。 2)缺乏可视化的手段。
二、实验过程说明 在A账号创建S3存储桶xybaws-account-access-s3 在A账号创建S3存储桶访问策略xybaws_cross_account_access_s3_policy...账号A的角色 在B账号中切换角色,以访问A账号的S3存储桶 三、实验演示过程 1、在A账号中创建S3存储桶 创建存储桶 Name:xybaws-account-access-s3 创建存储桶...2、在A账号创建S3存储桶访问策略 导航至IAM管理控制台。...创建存储桶: Name:xybaws_cross_account_access_s3_policy 该策略是允许S3被访问,且允许所有S3的操作。 查看和创建。策略详细信息。...以下是JSON格式,该策略是创建S3存储桶访问的JSON格式。
Limited Capacity:对于私有云存储服务来说,因为其所有资源都是自拥有的,也都需要自维护,包括对存储集群进行扩容,所以从容量角度来说,为存储集群进行扩容,显性和隐性成本都很高,因此,从用户角度出发...然而,存储桶级的数据存放规则,显然不够灵活,无法满足某些应用场景的需求。 对象数据存储策略 Storage Class 这一概念,本身是AWS S3 中的一个重要的特性。...解决方案三:自动生成迁移策略 存储桶日志 存储桶日志是用于记录追踪对某一特定存储桶的操作和访问的功能特性。...存储桶日志的每条日志记录都记录了一次对相应存储桶的操作访问请求的细节,例如请求的发起者、存储桶名字、请求时间、请求的操作、返回的状态码等等。...自动生成迁移策略 根据存储桶日志中的操作记录、以及可配置的标尺参数,对存储桶中的对象数据的热度进行分析,并按照分析结果自动生成迁移策略,对对象数据进行管理。一张图来概要介绍下处理流程: ?
需要注意的是,策略中将资源(Resource)和行为(Action)配置为“*”实际上是非常危险的方式,一旦攻击者拥有了访问凭证,便可通过AWS CLI对IAM进行创建、删除、修改等操作,例如: ##创建一个...图4 AWS账户信息 配置完成后我们尝试通过AWS CLI与AWS服务端进行通信,以下命令含义为列出AWS账户中所有的S3存储桶资源,我们可以看到配置已生效: ?...除了创建该函数之外,为了模拟真实攻击环境,应用程序中还包含AWS的S3存储桶及API Gateway等资源,具体可查看项目中的resource.yaml①和serverless.yaml②文件,紧接着我们将此项目部署至.../panther/assets/panther.jpg 可以看到S3存储桶的内容已经复制到笔者的本地环境了,我们打开文件看看里面有什么内容: ?...及CloudTrail等, 通过细心查看日志信息我们可以细粒度的还原一次Lambda函数的触发过程,从而发现攻击痕迹。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
