在公共云存储的推动下，磁盘和RAID阵列等传统存储概念逐渐被新的更灵活的选项所取代。在云平台中存储的数据实际上独立于其底层硬件部署，并可享受几乎无限量的冗余选项，其中很多选项是默认配置的一部分。

同时，存储术语也发生了改变。例如亚马逊公司使用的新存储概念之一是存储桶，它是作为存储数据的容器。可以说，亚马逊存储桶是非常灵活、高度可访问的分布式文件夹。这些存储桶可托管在选定的地理区域中，而且，日志记录和性能等元素可根据客户的要求和预算来进行调整。

云存储桶的安全考虑因素

然而，这种灵活性也带来风险。很多云用户可能在知情或者不知情的情况下允许公共访问云存储桶及其内容。在某些情况下，这可能是由于错误配置而导致；在其他情况下，则是由于缺乏对较新技术的了解造成。无论是什么原因，到目前为止，不安全的云存储桶已经导致多起数据泄露事故的发生，并且将来可能会继续带来安全风险。

举例来说，由网络公司LocalBlox错误配置的亚马逊简单存储服务（S3）存储桶访问，导致在2018年2月发生重大数据泄漏事故。LocalBlox公司在公开可访问的S3存储桶中存储了一个1.2TB的文件，其中包含4800条用户互联网行为记录，这些记录关联到用户的IP地址。当该公司得知这个问题后，立即关闭了访问权限。目前很难确定是否有人在访问关闭前下载了敏感且有价值的用户数据副本，以及如果真的是这样，我们也无法确定该数据副本可能用于何种目的。

当数据在任何一段时间内可公开访问，我们几乎不可能保证随后限制访问的行为可保护所有数据，因为只要曾经可公开访问则可以说数据已经被泄漏。

存储桶枚举

围绕云数据的安全问题并不是新鲜事。多年来，我们看到很多工具（例如S3 Scanner和AWSBucketDump）可扫描云计算平台的地址范围，以寻找任何可公开访问的云存储桶。当找到这种存储桶时，大多数工具都可扫描或转储存储桶的内容，从而提供了简单且自动的方式来访问泄漏的数据。

目前最新的趋势是使用证书透明度日志来提高扫描效率。这些工具不再需要强制破解预定义单词列表的所有条目，因为它们使用证书透明度日志中发现的域名排列，这使得该过程更具针对性，因此速度更快。

安全措施

现在供应商已经开始承担云存储桶安全问题的部分责任，并在最近为云用户提供了一些有趣的更主动的措施。

尽管传统安全控制和流程仍然可行，但它们经常会由于人为错误或者对平台缺乏了解而出现问题。同时，应该正确设置访问权限，并定期对访问权限进行审查。另外，还需要对客户自己环境进行主动扫描（利用上述枚举脚本）或者更广泛的漏洞扫描，这里并没有什么新概念；只需要部署这些策略即可。

最近很有趣的改进之一是2017年8月发布的Amazon Macie。Amazon Macie可通过机器学习技术实现自然语言处理，从而自动发现并分类Amazon S3存储桶中存储的数据，这在未来可能是非常棒的产品。

当然，人为错误不可能降低到零，所以通过近实时到自动控制来控制发生错误时的风险是一个好办法。

另一个选项是启用亚马逊的默认加密功能，该功能可自动加密放在存储桶中的任何文件。其他可用的功能还包括亚马逊的权限检查和警报以及使用访问控制列表。

监控公共访问和API调用也很重要。还应该设置警报并采取措施，以涵盖大量文件或大型文件的转储。SIEM可关联所需的安全事件数据，以便通过规则和设置阈值来帮助设定警报。

我们不得不承认，通过云存储导致的数据泄露事故是不会消失的问题，这里的原因有很多，但目前也有很多缓解方案，并且，这个领域还有很多有前景的发展。例如亚马逊甚至会主动联系数据可公开访问的用户。当所有这些选项组合在一起时，它们可构成坚实的安全基础，应该足以解决持续存在的问题，不过，这些产品需要安全专业人员的部署和维护。