2021年云安全漏洞与数据泄露回顾
引言
云安全事件的实际数据往往缺乏细节,且存在幸存者偏差。本文聚焦2021年公开披露的云安全事件,不包括云服务提供商自身的漏洞。
2021年趋势
静态凭证仍是主要初始访问途径
静态长期凭证的泄露风险极高。计算表明:假设组织有10个静态凭证,每个每天有0.01%泄露风险,2年内至少一个凭证泄露的概率达52%。
实际数据泄露案例
- Codecov:公开Docker镜像包含GCP服务账户凭证,攻击者替换安装脚本窃取环境变量
- Juspay:未回收的访问密钥被窃,导致3500万条支付数据泄露
- Kaspersky:AWS SES令牌泄露用于发送钓鱼邮件
- Upstox/MobiKwik:访问密钥泄露导致350万客户KYC数据外泄
漏洞案例
- Glassdoor员工在GitHub公开AWS访问密钥
- BeVigil发现40款流行Android应用内嵌AWS密钥
- 暴露的Apache Airflow实例泄露AWS凭证
- SEGA Europe公开S3存储桶泄露多组凭证
恶意软件
- TeamTNT团伙窃取AWS/GCP/Docker凭证
- 攻击者利用Log4Shell漏洞窃取AWS凭证
公开S3存储桶问题
2021年公开披露的S3存储桶数据泄露案例:
| 公司 | 数据类型 | 影响用户数 |
|---|---|---|
| Hobby Lobby | 姓名/邮箱/地址/源码 | >30万 |
| Decathlon Spain | 姓名/邮箱/电话 | >7.8万 |
| Pixlr | 邮箱/哈希密码 | 190万 |
| MobiKwik | KYC数据/交易日志 | 350万(KYC) |
| SEGA Europe | API密钥 | 未披露 |
技术防护方案
消除静态长期凭证
人类用户:
- 使用AWS SSO或IAM角色联合
- 通过SCP策略阻止IAM用户创建
- 使用aws-vault加密磁盘凭证
应用程序:
- 优先使用EC2实例角色/Lambda执行角色
- 非AWS环境使用Hashicorp Vault
SaaS集成:
- 创建专用IAM角色+随机ExternalID
扫描异常凭证
推荐工具:
- 代码扫描:detect-secrets/gitleaks/truffleHog
- Docker扫描:SecretScanner/ggshield
- GitGuardian可验证AWS凭证有效性
修复S3存储桶配置
基础措施:
- 账户发现与清单
- IaC扫描工具(tfsec/checkov)
- 启用账户级S3 Public Access Block
- 运行时扫描(Prowler/ScoutSuite)
高级加固:
- VPC端点限制访问
- 客户管理KMS密钥加密
- 启用S3数据事件日志
- 使用PMapper分析访问权限
保护实例元数据服务
- 通过SCP强制使用IMDSv2
- EKS环境阻止Pod访问元数据服务
- 利用GuardDuty检测凭证外泄
结论
2021年的攻击技术并无重大创新,这反而凸显了基础安全措施的重要性。预计2022年会出现更多类似事件,攻击者可能采用更高级的持久化技术。
特别说明:本文作者目前就职于Datadog,但本文非公司赞助内容。