亚马逊网络服务推出亚马逊的第一个服务市场已经超过11年了。从那时起，云存储服务已经发展成为70种不同AWS服务中最流行的服务之一。企业客户包括Netflix和Airbnb依靠S3备份和存储PB级数据。

　　亚马逊网络服务公司（Amazon Web Services）向市场推出Amazon S3已经有11年多了。从那时起，云存储服务已经发展成为70多种不同的AWS服务中最受欢迎的服务之一。其中包括Netflix和Airbnb在内的企业客户依靠S3来备份和存储PB级数据。

　　与其他AWS服务一样，S3多年来经历了多次迭代，增加了特性和和功能以满足客户对数据存储不断变化的的需求。但最近的研究发现，Amazon S3存储桶因配置错误而导致数据泄露，这种情况令人不安。

　　最近几个月，包括埃森哲，Verizon和选举数据机构Deep Root Analytics公司在内的公司都毫不知情地泄露了客户数据，还因为这些权限配置错误而暴露了内部数据，如云平台凭证。

　　日前，AWS公司对此进行了一些安全性改进，以帮助防止S3存储的数据与无法访问的人共享。这些功能旨在让客户更清楚地了解哪些S3存储桶可公开访问，并为存储在存储桶中的对象提供默认加密。

　　复杂的用户界面，以及谁负责云安全的困惑，可能导致凭证和数据暴露。

　　其中一个新功能通过在每个可公开访问的S3存储桶旁边显示突出的指示符来解决此问题，而新的S3库存报告显示每个对象的加密状态。报告本身可以被加密。

　　专家说，这种安全的可见性是至关重要的，特别是当组织在几十个AWS账户分散工作负载，或者在多个云供应商的云平台管理数据时。

　　Dome9公司首席执行官Zohar Alon表示，“拥有40个亚马逊账户的企业可能拥有数千或数万个存储桶。”Dome9公司总部位于加州山景城，提供SaaS平台，为IaaS公共云（包括AWS，Microsoft Azure和Google云平台）提供企业级安全。Dome9Arc平台提供监视，修复和策略执行服务。

　　“当我们开始为越来越多的企业，金融机构，制造企业提供服务时，我们有10家财富50强公司使用我们的技术，我们看到的是他们有多个亚马逊帐户，其中一些公司有数百个帐户，他们也在采用其他云计算供应商提供的云服务，如微软Azure和谷歌云平台。”Alon说，“即使是供应商自己解决问题，也并不意味着一个解决方案可以直接到达客户，因为云的多重性和责任感的多重性，组织试图找出如何以及谁来管理这些问题的内部责任。”

　　复杂的用户界面和企业云基础设施的庞大性质已经让诸如Dome9等公司的生态系统让位，帮助客户简化在AWS中运行云计算的安全性，监控和其他方面。

　　Alon说：“因为亚马逊具备工程师思维的工作人员，因此对安全有着重要的意义，但是我们并不在意安全性。“亚马逊的使命是让用户尽可能地利用基础设施，尽可能快地发展，有时候这需要有特定的安全专业知识来补充，当这些技术来自供应商时，他们不一定能够满足需求。”

　　在某些情况下，企业会尝试将在本地数据中心环境中运行的安全策略和技术应用到其云基础架构中。根据RedLock公司首席执行官Varun Badhwar的说法，这可能是安全厂商面临的最大挑战，他们试图围绕更有效的新的安全方法来教育客户，其中许多方法可以实现自动化。

　　Badhwar说：“假设云提供商负责整个安全堆栈是一个错误的前提。最终，企业仍然需要解决传统数据中心环境中需要解决的所有问题，无论是脆弱性管理，用户监控和安全，访问控制，配置网络管理和流量可视性。但是，在云端，数据中心中现有的安全架构变得无关紧要。用户不能只是采用思科或PaloAlto Networks下一代防火墙来保护S3存储桶的数据泄露。”

　　RedLock公司成立于2015年，通过RedLock Cloud 360平台帮助客户实现这一可见性，RedLock Cloud 360平台监控多个云平台的云安全。它的仪表板可以让用户查明问题，深入了解事件的根源，提供自动修复功能，并使用人工智能来评估云端中的风险资源，确保高优先级问题出现并立即处理。

　　Badhwar说：“传统客户仍在试图了解如何使他们的传统安全运营中心在云端具有可见性。“当问题出现时，运营中心的用户能否理解开发者的意图产，甚至做出了一个引发安全风险的改变？如今缺乏这种根本性的能见度。“

　　在云中，用户比传统数据中心拥有更多的权限，Badhwar说，这其中包括更改代码并将其投入生产。在今年10月发布的一份报告中，RedLock公司发现53％的组织的云存储已对外暴露。

　　他说，“我对5月所发现的接近40％这个数字感到惊讶，尽管所有的新闻价值都是这样，尽管像AWS这样的云提供商在教育市场问题方面已经做出了很大的努力，但人们实际上看到了问题处在一个高发期，而没有减少。”

　　该研究还发现，38％的组织机构管理的用户帐户受到损害。

　　“因为云管理页面在网上，而在传统的数据中心都在防火墙后面，所以用户有一个额外的控制层。而在新的平台中，用户失去了凭据，有人可以登录，因为不会是赋予用户的防火墙。所以这是一个严重的问题。”他说。

　　Badhwar建议组织寻找必须立即解决的方法，解决他们的配置和合规状况以及漏洞管理问题，还应考虑修复安全的问题。

　　“这正是DecSecOps的概念，当用户在云中以更快的速度移动时，必须自动检测和修复安全错误配置和安全威胁，这当然需要用户更好构建自己的平台。”Badhwar说。