一位研究人员发现共和党全国委员会的一个选民资料库被意外公开，并公布了一亿九千八百万选民的资料。据网络安全公司UpGuard称，选民数据库被托管在一个没有授权，没有云访问控制的Amazon S3存储桶中。

不幸的是，这类事件在过去的一年中频繁发生。事实上，同是这家公司发现大量的、存储在Amazon S3存储桶的机密数据，在2017年5月泄露。

2017年6月，存储在由色列软件公司Nice Systems控制的、不安全的S3桶中的1,400百万Verizon客户数据显泄露。而在2015年，在一家处理健康保险索赔的软件公司向公众开放了一个数据库后，AWS S3暴露了150万条病历。

缺乏策略和控制

在这些泄露中，有许多教训可以吸取。第一个是，当谈及云服务，尤其是云存储时，核心安全最佳实践已经飘出了窗外。

也许更多的问题是，缺乏对进入云端的敏感数据的策略控制、治理和风险评估。为什么这些数据被发送到云端？为什么一旦数据被放置在那里，几乎没有任何对数据的关注和审查呢？ 这些问题是企业IT组织需要快速处理的问题。

所有云数据需要使用内部和合规性的分类工作进行分类，当所有数据被发送到云端云时，理想情况下都要先确定政策和风险审查。假设数据被批准在云中使用，组织应遵循许多最佳实践来确保云得到了更好地控制和监测。

实施云访问控制

为了防止类似于Amazon S3桶泄露事件的发生，组织需要更高水平的、尽职尽责的调查和监督。使用云访问安全代理（CASB）服务可以帮助许多SaaS和云服务，来跟踪和控制整个企业的云使用情况。 某些情况下，CASB可能会在敏感数据发送到云服务时，阻止甚至检测并提醒你。

除此之外，还需要安全团队设置并控制云存储环境的访问权限，同时Amazon S3桶给用户提供大量可以利用的控制。

首先，对于任何一个Amazon S3桶的实施，都有大量的访问控制和可用许可。对于所有发送于云端的敏感数据，公司一方面要要示严格的、带有身份管理政策的云访问，另一方面要持续监测和登录。

有两种主要方法可以控制对Amazon S3存储桶和数据的访问。第一种方法是最简单的，通过访问控制列表（ACL）配置设置中的S3图形控制台。S3 ACL使你能够为经过身份验证的AWS用户和任何匿名用户创建基本的云访问控制。默认情况下，Amazon S3存储桶所有者具有对所有内容的读/写访问权限，包括存储在存储区中的对象和文件以及存储区本身的权限。

保证S3存储桶安全的第二种方法涉及更多，但更为细化。这涉及使用AWS Identity and Access Management设置存储桶策略，对存储桶及其资源进行更具体的策略访问和审计。

额外的步骤

一旦设置了云访问控制，笔测试人员和漏洞评估小组就可以使用多种工具来发现和评估存储桶策略和一般安全状况。AWS命令行界面工具可用于管理存储桶并远程列出其策略。

独立渗透测试人员Robin Wood写了一个名为Bucket Finder的工具，可以用来迫使S3命名空间寻找Amazon S3桶。其他发现和评估工具包括S3 Knock、Lazy S3和AWS Scan。

无论使用什么工具，组织都需要预先定义策略，使用本地或云中的CASB和网关平台和服务控制数据流到云存储，并根据标准和合规要求，持续监视S3存储桶和其他可能不安全的云存储节点。