AWS介绍

AWS（Amazon Web Services） 是 Amazon 提供的云计算平台，提供了广泛的云服务，包括计算、存储、数据库、网络、安全、人工智能、大数据处理等功能，帮助企业和开发者构建、部署和管理应用程序。AWS 是全球最大的云服务提供商之一，广泛应用于各个行业，具有高扩展性、可靠性和安全性。

AWS风险

攻防视角下AWS，红队钟爱的“云控中心”，是快速获取数据、权限的理想跳板。

攻击路线（按照1，2，3的流程来进行攻击）

1、控制云上应用2、应用内配置文件获取AK/SK3、利用AK/SK接管目标AWS平台4、创建新的管理员用户5、使用SSM接管EC2实例6、从EC2中提取凭证信息7、控制EC2中运行的敏感系统

AWS风险案例

数据泄露仍是AWS安全的主题曲

数据泄露案例

1、Pegasus：存储桶配置不当泄漏6.5T数据2、Capital One ：SSRF漏洞获取EC2元数据至1亿数据泄漏3、Verizon： S3存储桶配置公共访问导致600万数据泄露

AWS攻击面
1、身份与访问管理（IAM）

2、对象存储（S3）

3、云服务器（EC2）

4、云数据库（RDS/DynamoDB）

5、容器服务（ECS/EKS）

6、……

AWS攻击场景

1、身份与访问管理（IAM）
简介：IAM负责用户、角色和访问权限的管理。攻击者通常通过泄露的AK/SK，过度授予的权限来利用这些账户，获得访问权，并进一步滥用权限执行高风险操作。

AK/SK泄露
过度授予的IAM权限
未设置多因素认证（MFA）
角色假冒与跨账户权限滥用
过度开放的IAM角色和权限组合
IAM用户拥有多个访问密钥
……

2、对象存储（S3）
简介：S3是用于存储和访问数据的服务，许多应用依赖它来存放文件。攻击者可以通过公开的存储桶或错误的权限设置，进行任意文件上传、下载或覆盖，甚至接管整个存储桶。

Bucket名称爆破与枚举
任意文件上传与覆盖
存储桶公共访问权限
S3 Bucket接管（CNAME绑定失效）
AK/SK泄露后的存储桶数据访问
Bucket Object遍历
Bucket策略配置可写
S3存储桶未启用加密
……

3、云服务器（EC2）
简介：EC2提供可扩展的虚拟服务器来托管各种应用。攻击者可以通过利用未修补的漏洞，访问元数据服务获取凭证，或通过弱口令、公开端口进入服务器。

SSRF漏洞利用元数据服务
公开的SSH/RDP端口暴露
镜像投毒
弱口令/未授权访问EC2实例
EBS卷访问控制不严格
EC2实例未配置IAM角色
未启用日志记录与监控
元数据服务滥用获取临时凭证
EC2实例上的命令执行漏洞
利用临时存储获取敏感信息
……

4、云数据库（RDS/DynamoDB）
简介：RDS和DynamoDB用于存储业务数据，常作为核心数据库系统。攻击者可以通过泄露的AK/SK或弱口令访问这些数据库，进行数据提取、篡改或控制数据库实例。

AK/SK泄露后的数据库访问
RDS弱口令/未授权访问
公网访问的RDS实例
RDS数据库未加密
数据库凭证配置文件泄露
API滥用修改RDS配置或创建用户
RDS实例未启用删除保护
……

5、容器服务（ECS/EKS）
简介：ECS和EKS帮助用户管理和部署容器化应用。容器服务的核心挑战是隔离性，攻击者通过容器逃逸、恶意镜像、或不当的权限配置，突破隔离边界，获取主机或集群的控制权，甚至在整个容器集群内横向扩展其攻击。

容器逃逸
EKS集群VPC终端节点暴露
容器镜像投毒
EKS默认VPC使用
容器进程共享和横向移动
不当的容器镜像权限
ECS服务允许外部访问
Kubernetes API滥用进行权限提升
……

AWS实时检测/主动检测

实时监测
告警事件：

CloudTrail 日志记录已禁用
S3存储桶通过ACL公开
Route 53 域已转移到另一个帐户
亚马逊机器映像修改为公开共享
工具使用：终局之战
……
行为事件：
为 root 用户创建新的访问密钥
恢复并重置root用户密码
根用户 MFA 已删除
通过 CLI 创建访问密钥
用户手动删除RDS数据库
……

主动监测
基线扫描：
EKS 集群 VPC 终端节点公开访问
未启用 CloudTrail 日志记录
IAM 用户未配置多因素认证 (MFA)
IAM 策略允许附加完全管理权限 (*)
启用虚拟 MFA 的 IAM 根账户
……

应对的安全需求场景
云平台风险识别
云资产风险配置识别
云账户权限最小化
恶意工具利用分析
异常行为监控
异常账户分析
云合规性要求