1、01020304住宅論我在X云地產購置了一套房，所有的東西都 屬于我，包括門牌號和整個房屋的空間，當然我 也有70年產權，我按揭付費，除此之外我還要交 水電費和物業費。商鋪論我在X云地產租賃了一間商鋪，所有的東西 都是我帶來的當然屬于我，我的租金也為我換來 了門牌號和整個商鋪的空間，我按月交租金，除 此之外我還要交水電費和物業費。入住與入駐 之爭由于某云廠商代碼托管平臺的項目權限設置存在歧義，導致開 發者操作失誤，造成至少40家以上企業的200多個項目代碼泄露， 其中涉及到萬科集團、咪咕音樂、51信用卡旗下51足跡、百度無 人車合作伙伴ecarx等知名企業。本質原因某云代碼托管平臺code.*

2、訪問權限設置中的“Internal”選項存在理解歧義，Internal怎么理解因人而異:Internal:使用某云廠商代碼托管平臺的人公開Internal:企業內部用戶公開產品設計和用戶體驗使得用戶對產品功能理解上存在歧義，導致了不正確的配置，這確實一部分是某云廠商產品的問題，同時更重要 的是使用者安全意識的問題。云用戶出現的源代碼泄露AccessKey公開在Github等代碼托管平臺上，相當于把取款密碼寫在銀行卡上，然后再把銀 行卡扔在大街上。01.真實情況某客戶自身的管理員AK(access key)泄露所導致的 獨立事件。02.典型案例CodeSpaces的破產的就是因為上云之后Acce

3、ssKey泄 露了，黑客勒索未遂結果徹底刪除CodeSpaces的所有 數據以及數據備份。注：AccessKey包括AccessKeyId和AccessKeySecretAccessKeyId用千標識用戶；AccessKeySecret是用來驗證用戶的密鑰某云廠商澄清網絡傳聞“可重置任意某云服務器root密碼”為虛假信息醫療設備公司Patient Home Monitoring的醫療數據存儲紀錄包含47GB醫療數據文件的 Amazon S3 云存儲對象提供公開訪問，包含多達315,363份PDF檔案，涉及近15萬患 者的姓名、地址、醫生和病例紀錄以及周常血液檢查結果等隱私信慰 美國共和黨全國委

4、員會(RNC)合作的數據分析商Deep Root Analytics、TargetPoint以及 Data Trust放在AWS S3的1.1 TB數據發生泄露 其中包含超過1.98億名美國選民的敏感個人 資料，例如姓名、出生日期、住址、電話號碼以及選民注冊細節信慰 醫療數據數據泄露美國選民數據泄露GoDaddy數據泄露一個不安全的GoDaddy的亞馬遜一個不安全的S3 bucket其中包含與31000多個GoDaddy系統相關的敏感信慰，被泄露的信慰包括主機名、操作系統、工作負載、AWS區域、內存和CPU規格等字段 Amazon S3云存儲對象提供公開訪問安全問題信患泄露（GitHub、Gi

5、tee、Blog）脆弱安全設置（弱密碼、安全組問題）、應用缺陷（應用服務缺陷，中間件缺陷）信患泄露安全設置應用缺陷其他相對安全的云廠商頂尖的安全專家專業的安全基礎設施 完善的安全保障機制同樣是遭遇攻擊，云廠商的安全 專家能夠更決更好地處理。不安全的內在因素數據安全的內在因素是用戶自 身，暴露在互聯網中用戶，用 戶需要為自身的安全做出響應。 回顧前面的數據泄露事件，主 要問題基本都出現在用戶側。數據作為企業的核心資產，云端數據安全的關注程度越來越高，把數據 放到云上是否足夠安全成為各個企業思考最多的問題。任何的安全都是相對的，沒有絕對的安全就像再安全的汽車也需要安全駕駛一樣，在云計算行業也是類似

6、。01.云廠商的安全認證CSA STAR可信云服務認證等級保護ISO 2700102.云廠商的基礎安全服務基礎安全（DDoS防護/Web應用防火墻/主機安全等）數據安全（數據加密/敏感數據保護/密鑰管理等）業務安全（內容安全/風險識別等）訪問控制（云資源訪問控制的精細程度）問題1: 用戶的安全意識及習慣問題2: 傳統安全繼續困擾云平臺用戶主流云廠商通過行業內的權威安全認證自己的安全研發團隊建立了完善的基礎安全服務資源Github、Gitee等代碼托管平臺各大云廠商提供的控制權限體系，如AccessKey等獲取&調用通過搜索獲取在互聯網的上泄露的AK獲取到AK以后攻擊者可以針對某云的各 種服務調

7、用相應API執行任意操作常見使用OSS上傳下載刪除任意文件某云廠商AccessKey泄露GitHub搜索accessKeySecret有幾萬條記錄， 都是程序員將AccessKey公開在Github等代碼托 管平臺上。用戶的安全意識及習慣ECS修改虛擬機實例的部分信患，包括 實例密碼、名稱、描述、主機名和自定 義數據等。通過AK調用某云相關api，修改虛擬機實 例密碼。這就是上文提到的 “ 可重置任意某云服務器root密碼 ”ECS修改虛擬機實例直接下載bucket數據，下載敏感數據、系統備 份，源代碼等。甚至可以下載到日志文件，其中可能還包含了 用戶名，密碼，數據庫查詢等敏感信患;實際生產環

8、境中，S3 bucket常被用千存放一些靜 態資產，如圖像和Javascript庫。但可以上傳文件，例如某些惡意的Javascrip;AWS AccessKey泄露GitHub搜索aws_access_key_id部分程序員會 將aws_access_key公開在Github代碼托管平臺上。雖然AWS提供了強大的安全控制保障，但許多 公司S3設置不合理或者泄露AK，允許未經授權的 訪問他們的數據，這勢必會給企業帶來巨大的安全 隱患。攻擊者可以做哪些事情用戶的安全意識及習慣傳統安全問題云服務未授權訪問隨著云計算和大數據的發展，云服務提供商 基本都提供了云存儲和大數據處理平臺的融合， 也推出了以存

9、儲為中心的輕計算處理框架，對數 據處理，挖掘數據的價值和管理數據等帶來前所 未有的便利。但有些企業將業務數據遷移到云服務以后缺 乏必要的安全意識，導致大量敏感數據的未授權 訪間。這里我們僅以部分遷移到云服務商的hadoop平臺為例簡單了解下數據泄露的普遍現象。通過搜索引擎可以搜到大量部署在云服務器上井且對外開放了訪問 端口服務的hadoop平臺。由于權限設置不合理，任意地址可以訪問服務端口，可以直接下載數據文件，我們可以看到 該企業在云服務器上泄露了大量隱私數據，包括手機號碼等敏感信息。云服務未授權訪問類似的問題還有很多Mongodb、Elasticsearch,這些問題是因為用了云 才出現的問題嗎？ 商安全 用戶安全云用戶的研發 運維流程的定;review；云基礎安全，使用云服務器控制臺，合理配置安全組策略，服務器出入口流量等進行監控預警；對自身網絡資產 漏洞進行發現和管理；對應用缺陷威脅進行實時預警；選擇通過權威安全認證的主流云廠商合理使用云廠商提供的基礎安全服務 不要泄露AK等敏感信息建議遵循云安全最佳實踐，定期重置所有的證書、 密碼和API訪問密鑰合理設置云服務訪問權限，使用子用戶