防止 Amazon S3 物件的非預期加密

在亞馬遜網路服務 (Amazon Web Services, AWS)，客戶資料的安全性是我們的首要任務，並且永遠會是。最近，AWS客戶事件回應團隊 (CIRT) 和我們的自動化安全監控系統發現，與亞馬遜簡單儲存服務 (Amazon S3) 儲存桶相關的加密活動出現了異常增加。

透過與客戶合作，我們的安全團隊偵測到在S3中使用一種稱為客戶提供金鑰的伺服器端加密 (SSE-C) 的加密事件增加。雖然這是許多客戶使用的功能，但我們發現有大量的S3 CopyObject操作使用SSE-C開始覆寫物件，這會導致客戶資料被重新加密為新的加密金鑰。我們的分析發現，這是由獲得有效客戶憑證的惡意行為者所為，他們利用這些憑證重新加密物件。

需要注意的是，這些行為並不是利用AWS服務中的漏洞，而是需要未經授權的用戶以未預期的方式使用有效憑證。雖然這些行為發生在共享責任模型的客戶領域中，AWS建議客戶採取措施以防止或減少此類活動的影響。

使用主動防禦工具，我們已經實施了自動緩解措施，這將有助於在許多情況下防止此類未經授權的活動。這些緩解措施已經阻止了大量的嘗試成功，而客戶尚未採取措施保護自己。然而，威脅行為者使用了有效憑證，AWS很難可靠地區分有效使用和惡意使用。因此，我們建議客戶遵循最佳實踐以降低風險。

我們建議客戶實施以下四項安全最佳實踐，以防止未經授權使用SSE-C：

I. 阻止使用SSE-C加密

如果您的應用程式不使用SSE-C作為加密方法，您可以透過應用於S3儲存桶的資源政策或應用於AWS Organizations中的組織的資源控制政策 (RCP) 來阻止使用SSE-C。

S3儲存桶的資源政策通常稱為儲存桶政策，允許客戶為S3中的個別儲存桶指定權限。可以使用S3 PutBucketPolicy API操作、AWS命令行介面 (CLI) 或AWS管理控制台來應用儲存桶政策。了解更多有關儲存桶政策在S3文件中的運作方式。以下示例顯示了一個阻止SSE-C請求的儲存桶政策，適用於名為your-bucket-name的儲存桶。

RCP允許客戶指定適用於整個AWS Organizations中的資源的最大可用權限。可以使用AWS Organizations UpdatePolicy API操作、AWS命令行介面 (CLI) 或AWS管理控制台來應用RCP。了解更多有關RCP在AWS Organizations文件中的運作方式。以下示例顯示了一個阻止組織中儲存桶的SSE-C請求的RCP。

II. 實施資料恢復程序

如果沒有資料保護機制，資料恢復時間可能會更長。作為資料保護的最佳實踐，我們建議您防止資料被覆寫，並保持關鍵資料的第二份副本。

啟用S3版本控制以在儲存桶中保留物件的多個版本，以便您可以恢復意外刪除或覆寫的物件。需要注意的是，版本控制可能會增加儲存成本，特別是對於頻繁覆寫儲存桶中物件的應用程式。在這種情況下，考慮實施S3生命週期政策以管理舊版本並控制儲存成本。

此外，將關鍵資料複製或備份到不同的儲存桶，甚至不同的AWS帳戶或AWS區域。為此，您可以使用S3複製自動將物件在儲存桶之間複製。這些儲存桶可以位於相同或不同的AWS帳戶，以及相同或不同的AWS區域。S3複製還為具有更嚴格RPO (恢復點目標) 和RTO (恢復時間目標) 要求的客戶提供SLA。或者，您可以使用AWS Backup for S3，這是一種管理服務，能自動定期備份S3儲存桶。

III. 監控AWS資源以檢測意外的訪問模式

如果沒有監控，S3儲存桶上的未經授權行為可能會被忽視。我們建議您使用AWS CloudTrail或S3伺服器訪問日誌等工具來監控對您資料的訪問。

您可以使用AWS CloudTrail記錄AWS服務（包括Amazon S3）的事件，甚至將日誌合併到單一帳戶中，以便您的安全團隊可以訪問和監控。您還可以根據特定的S3指標或日誌創建CloudWatch警報，以警告異常活動。這些警報可以幫助您快速識別異常行為。您還可以設置自動化，使用Amazon EventBridge和AWS Lambda自動採取糾正措施。請參閱S3文件中的這個主題，了解用於掃描整個組織的所有儲存桶並應用S3阻止公共訪問的設置示例。

IV. 實施短期憑證

減少憑證被盜風險的最有效方法是根本不創建長期憑證。不存在的憑證無法被曝光或被盜，AWS提供了一套豐富的功能，減少了在源代碼或配置文件中存儲憑證的需求。

IAM角色使應用程式能夠從Amazon彈性計算雲 (Amazon EC2) 實例、Amazon彈性容器服務 (Amazon ECS) 或Amazon彈性Kubernetes服務 (Amazon EKS) 容器，或Lambda函數中安全地進行簽名API請求，使用短期憑證。即使是AWS雲外的系統也可以使用IAM Roles Anywhere功能進行身份驗證呼叫，而無需長期AWS憑證。此外，AWS IAM Identity Center使開發人員工作站能夠獲得由多因素身份驗證 (MFA) 保護的長期用戶身份支持的短期憑證。

所有這些技術都依賴於AWS安全令牌服務 (AWS STS) 發行臨時安全憑證，這些憑證可以控制對AWS資源的訪問，而無需在應用程式中分發或嵌入長期AWS安全憑證，無論是在代碼中還是在配置文件中。

總結

在您的環境中檢測此類未預期的加密技術需要警惕和支持。在這篇文章中，我們強調了最常見的指標。當您的安全團隊不斷努力保護您的環境時，請知道AWS的多個團隊，包括AWS客戶事件回應團隊 (CIRT)、亞馬遜威脅情報和服務團隊如Amazon S3團隊，正在努力創新、合作和分享見解，以幫助保護您的寶貴資料。

在這篇文章中，我們提供了有關客戶資料最近威脅的更新，並強調了四項安全最佳實踐，客戶可以使用這些實踐來防止惡意行為者使用丟失或被盜的AWS憑證來使用SSE-C加密資料的風險。

隨著威脅行為者策略的演變，我們對客戶安全的承諾依然堅定不移。我們正在共同建立一個更安全的雲環境，讓您可以自信地創新。

如果您懷疑有未經授權的活動，請立即聯繫AWS支持。

Jennifer Paz
Jennifer是一名擁有十多年經驗的安全工程師，目前在AWS客戶事件回應團隊 (CIRT) 服務。Jennifer喜歡幫助客戶解決安全挑戰，並實施複雜的解決方案來增強他們的安全姿態。工作之餘，Jennifer是一名熱愛步行、慢跑、酸菜球、旅行和美食的愛好者，總是在尋找新的美食冒險。