AWS安全-血的教训:1500欧的账单
因为最近半年在写学校的项目,所以,使用邮箱注册了一个新的账号,用来开发,并且绑定了信用卡
因为安全意识淡薄,所以项目开始之初就是在github上随便弄了一个公共项目,而且关键是当时为了开发方便,所以直接使用根用户赋予了很多权限包含EC2,项目中包含了根用户的的密钥。当然也包含接下来要讲的1500多欧账单的问题
然后放在了github 上大概半年左右的时间,一直相安无事,而且注册用的邮箱一直闲置,没有及时留意,结果12月份突然看到账单1500多欧,当时真的是很震惊,因为相当于我一个月的工资,于是赶紧联系亚马逊客服,用英语说了半天,我仔细看了一下账单,收费的原因全部都是因为 EC2的使用,而且是全球每个亚马逊机房都有20台的主机实例。别有用心的人使用我的根用户密钥原来还有这么多用处,估计是用来挖矿了之类的;因为现在还在跟亚马逊的客服沟通,不知道最后的结果。网上也看到了很多其他用户的帖子,才认识到安全很重要!
以下看到的帖子摘取:
当被问及对此事以及发表评论时,一个AWS的发言人说:“客户不应该使用他们的根帐户的访问键,应该使用身份访问管理(IAM)来创建与AWS资源交互应用程序的临时安全证书。当然,这些IAM访问键必须加以认真的管理。
最后她补充道:“开发商有责任按照亚马逊指导和利用这些机制。当亚马逊意识到可能暴露的凭据时会主动通知受影响的客户,并提供有关如何保护他们的访问键的指导”。
事情是这样的,Prendergast最后说道:“许多AWS帐户是以小开发者为中心的聚集地。他们并没有首席信息安全官或者经常连任何安全专家都没有,这就意味着安全需要开发人员负责,但是这并不是开发人员的焦点。而且从技术上来讲,对于API级别的任何安全问题是用户的责任而不是亚马逊的”。因此AWS账户安全问题任重而道远。
防范方法摘取:
AWS(Amazon Web Service)提供的为期一年的Free Tier很是诱人,相信已有不少人在用,但是使用
过程中有些事项一定要注意,以免在不知情的情况下被扣费。
1.EC2:创建实例时,要选带有黄色五角星的操作系统,这类系统是免费提供的,不另收费。
但请注意:不要使用RHEL(Red Hat Enterprise Linux),此系统占用的EBS空间大而且极费IO,
每月200万的免费IO不出两天就能耗完。另,免费额度只够创建一个EC2实例。
2.S3:每月的免费存储是5G,注意不要超出这个上限,另外GET,POST等操作可能会超出免费额度,
不过没关系,反正便宜的很。
3.流量:流入AWS的流量完全是免费的,但每月的免费流出流量只有15G,超出部分就要收费了。而且这
15G对于所有的AWS服务来说是共享的。托管一个小网站,架设个VPN,再存储几个G的文件到S3,15G
应该足够一个月用的。
4.监控:基本监控是免费的,再高级别的就要收费了。免费监控虽说不够详细,但是足够让我们了解服务
器最近一段时间的运行状况了,没必要使用高级别的监控服务。
5.RDS:关系型数据库免费的好像不包含Oracle,而且每月IO也有上限,而且必须是单一区域(多区域要
收费),IOPS最好也不要调用。创建RDS实例的时候要一项项的跟Free Tier列的额度对比,不明白的项
就不要勾选了。同EC2,免费额度也只够创建一个RDS实例。
6.Elastic IP:当Elastic IP没有捆绑到EC2实例时,一定要记得释放,不然它会按小时收费。而且每月头100次
捆绑Elastic IP到EC2实例是免费的,超出则收费。
7.EBS:30G以内的存储是免费的,每月200万的免费IO,1G的免费快照。
8.要使用从未在AWS上用过的信用卡,不然你就不符合Free Tier的使用条件,所有服务将会按需收费。
9.此服务只有一年的有效期,到期时记得导出数据并停止所有服务。
其它服务我暂时还没用到,同学们用的时候小心点,一定要对比好Free Tier中列出的免费额度,不然你的信
用卡可能就会被扣款。
以下是相关的帖子原地址:
https://gigaom.com/2014/07/13/to-be-secure-aws-users-must-mind-their-keys-and-cues/
http://www.sohu.com/a/229472302_210640
http://xiaohost.com/116.html
但是,想以此也告诫我自己,安全无小事!