警告：AWS IAM的行为与目录服务不同

来自以色列安全公司LightSpin的研究人员已经确定了在Amazon Web服务（AWS）上配置身份和访问控制服务的问题，这些功能可能会让许多组织易受攻击。

提出的问题不仅说明了误解AWS的容易，而且突出了成熟的Active Directory部署之间的差距以及如何迁移到云原始IT架构。

LightSpin表示已发现AWS身份和访问管理（IAM）规则在基于Windows的安全或其他授权机制中的Microsoft Active Directory中的规则与规则相同。

在描述风险的博客文章中，CTO或Aza​​rzar描述了安全管理员如何为Windows组设置显式权限，该组不能被该组的用户覆盖。“然后我们看看IAM，那不是这种情况，”他说。

这意味着即使管理员明确讨论该组拒绝对某些人的访问，即使配置只影响组动作，而不是组的成员。Azarzar警告说，没有传播到inpidual用户的组政策的含义未传播到inpidual用户，达到了错误配置和漏洞。

风险是安全管理员可能错误地假设在AWS上配置IAM的过程与Windows上的Active Directory相同。

AWS IAM用户和组策略之间的这种差距可以被攻击者利用，以接管帐户，删除组成员，窃取数据并关闭服务。LightSpin声称其研究团队能够通过使用这种技术来损害数十个账户。

AWS表示，IAM所需的方法是通过设计，而不是错误。AWS将组视为单独的对象。这意味着IAM在拒绝规则方面，这意味着IAM不会将用户视为一个组的一部分。

AWS IAM和Active Directory之间的差异意味着组织在复制规则时需要密切关注。

从稻草民意调查LightSpin RAN，大多数组织没有考虑到AWS IAM行为与Active Directory相比的不同方式，这表明大多数企业需要仔细查看他们的AWS身份和访问控制。

“最初，我们相信这种脆弱性是一个孤立的案例，”Lightpin Ceo的首席执行官Vladi Sandler说。“但是，在进一步调查时，我们发现在许多情况下，用户可以执行系统管理员在康复组安全配置时被拒绝的动作。这使得用户的账户被认为是安全的，容易渗透的。“

LightSpin发现，联系的组织的一半不正确的AWS IAM配置，如果用户的帐户被黑客攻击，则可能会受到损害。

IT行业普遍认识到难以将成熟的内部部署Active Directory部署迁移到公共云。传输用户配置文件和保留访问和策略控制可能是错误的。LightSpin示例仅说明了迁移假设可以让组织处于风险的方便。

该公司开发了一个开源扫描仪，报告用户权限是松散定义的，打开黑客的攻击路径。