云端数据外泄
云端数据外泄 是什么?
云端数据外泄未经授权将数据从云账户复制或传输出去,通常通过对象存储 API、快照、跨账户复制或攻击者控制的账户实现。
云端数据外泄是入侵过程中将受害云服务中的数据迁移到攻击者控制基础设施的阶段。常见手法包括 S3 GetObject 与 Sync、通过 SharePermission 将 EBS/RDS 快照共享到攻击者账户、跨账户复制策略、BigQuery 与 Athena 导出、公开桶设置以及长过期的签名 URL。出站流量可能伪装为对象版本化或备份工具等合法服务。防御措施包括最小权限 IAM、对存储与快照跨账户共享的拒绝规则、配合 SCP 的 VPC Endpoint、使用客户管理密钥的加密、异常流量检测以及静态数据的 DLP 扫描。
● 示例
- 01
攻击者使用窃取的 IAM 凭据对敏感桶执行 aws s3 sync。
- 02
把 RDS 快照共享到外部 AWS 账户以导出客户表。
● 常见问题
云端数据外泄 是什么?
未经授权将数据从云账户复制或传输出去,通常通过对象存储 API、快照、跨账户复制或攻击者控制的账户实现。 它属于网络安全的 云安全 分类。
云端数据外泄 是什么意思?
未经授权将数据从云账户复制或传输出去,通常通过对象存储 API、快照、跨账户复制或攻击者控制的账户实现。
云端数据外泄 是如何工作的?
云端数据外泄是入侵过程中将受害云服务中的数据迁移到攻击者控制基础设施的阶段。常见手法包括 S3 GetObject 与 Sync、通过 SharePermission 将 EBS/RDS 快照共享到攻击者账户、跨账户复制策略、BigQuery 与 Athena 导出、公开桶设置以及长过期的签名 URL。出站流量可能伪装为对象版本化或备份工具等合法服务。防御措施包括最小权限 IAM、对存储与快照跨账户共享的拒绝规则、配合 SCP 的 VPC Endpoint、使用客户管理密钥的加密、异常流量检测以及静态数据的 DLP 扫描。
如何防御 云端数据外泄?
针对 云端数据外泄 的防御通常结合技术控制与运营实践,详见上方完整定义。
云端数据外泄 还有哪些其他名称?
常见的别称包括: 云出站, 云桶外泄。
● 相关术语
● 参见
- № 211容器逃逸
- № 079AWS IMDSv1 攻击
- № 598Kubernetes 集群攻击
- № 255CSPM 发现项