防止数据泄漏？云访问控制助你一臂之力

不幸的是，这类事件在过去的一年中频繁发生。事实上，同是这家公司发现大量的、存储在Amazon S3存储桶的机密数据，在2017年5月泄露。

2017年6月，存储在由色列软件公司Nice Systems控制的、不安全的S3桶中的1,400百万Verizon客户数据显泄露。而在2015年，在一家处理健康保险索赔的软件公司向公众开放了一个数据库后，AWS S3暴露了150万条病历。

（图片来源于网络）

在这些泄露中，有许多教训可以吸取。第一个是，当谈及云服务，尤其是云存储时，核心安全最佳实践已经飘出了窗外。

也许更多的问题是，缺乏对进入云端的敏感数据的策略控制、治理和风险评估。为什么这些数据被发送到云端？为什么一旦数据被放置在那里，几乎没有任何对数据的关注和审查呢？ 这些问题是企业IT组织需要快速处理的问题。

所有云数据需要使用内部和合规性的分类工作进行分类，当所有数据被发送到云端云时，理想情况下都要先确定政策和风险审查。假设数据被批准在云中使用，组织应遵循许多最佳实践来确保云得到了更好地控制和监测。

为了防止类似于Amazon S3桶泄露事件的发生，组织需要更高水平的、尽职尽责的调查和监督。使用云访问安全代理（CASB）服务可以帮助许多SaaS和云服务，来跟踪和控制整个企业的云使用情况。 某些情况下，CASB可能会在敏感数据发送到云服务时，阻止甚至检测并提醒你。

除此之外，还需要安全团队设置并控制云存储环境的访问权限，同时Amazon S3桶给用户提供大量可以利用的控制。

首先，对于任何一个Amazon S3桶的实施，都有大量的访问控制和可用许可。对于所有发送于云端的敏感数据，公司一方面要要示严格的、带有身份管理政策的云访问，另一方面要持续监测和登录。

有两种主要方法可以控制对Amazon S3存储桶和数据的访问。

• 第一种方法是最简单的，通过访问控制列表（ACL）配置设置中的S3图形控制台。S3 ACL使你能够为经过身份验证的AWS用户和任何匿名用户创建基本的云访问控制。默认情况下，Amazon S3存储桶所有者具有对所有内容的读/写访问权限，包括存储在存储区中的对象和文件以及存储区本身的权限。

• 保证S3存储桶安全的第二种方法涉及更多，但更为细化。这涉及使用AWS Identity and Access Management设置存储桶策略，对存储桶及其资源进行更具体的策略访问和审计。