Web3是用分散式帳本建構的生態,正在快速發展中。公鏈L1和L2的技術創新形成了下一代底層運算的網路呼吸能力。雲端服務是Web3生態的心臟,每年數以萬計的程式在雲端伺服器上運作。安全性對於Web3和雲端服務都至關重要,涉及私鑰管理、未授權存取等問題。近來,AWS和CrossSpace合作舉辦了「Web3安全」系列線上線下研討會,探討了雲端服務安全領域,解決了安全實踐挑戰。由於雲端安全面臨許多挑戰,如敏感資料外洩、未授權存取等,各安全機構的專家提供如何保護雲端安全的建議。
來源:CrossSpace
Web3以區塊鏈底層技術(分散式帳本)建構的生態正在快速迭代,公鏈L1和L2的技術創新建構成下一代底層運算具有網路呼吸能力,各種基礎設施就像「樂高」組件一樣不斷完善, Web3 建構者不斷在多次應用中建立豐富的dApp。
雲端服務作為Web3 極為重要的基礎設施也是Web3 整個生態心血管的,每年有數以萬計的程式在雲端伺服器上運作。根據Immunefi 安全機構的公開報告數據,「2022 年安全事件中,46.5% 的資金」損失底層基礎設施,其中關於私鑰的管理、實踐與緊急應變計畫至關重要。 「來自Web3的雲端安全性持續面臨挑戰,私鑰外洩、未授權存取、智慧合約分析與審計、DDoS攻擊、內部威脅、合規和穩定性等問題一直困擾著Web3 BUIDLers,也不斷給雲端服務商和安全服務商帶來新的挑戰。
作為最早推出雲端服務的公司,亞馬遜雲端科技Amazon Web Services (AWS),一直是雲端服務領域的領導者,如今AWS 更加積極擁抱Web3 生態,聯合Web3 領先社群品牌CrossSpace 發起「Web3 安全」系列線上線下研討會,深入雲端服務安全領域,闡述了來自交易所、公鏈、基礎設施和dApps 的安全實踐挑戰,探討實際解決的解決方案。
作為本系列討論的訪談環節,我們榮幸地專訪四家Web3卓越安全服務機構Beosin、CertiK,MetaTrust和SlowMist(慢霧)及AWS雲安全方面的專家,共同探討當下雲安全的挑戰和解決問題的思路。
為什麼Web3的雲端安全如此重要?
安全對任何企業來說都是重中之重。雲端服務與Web3是相輔相成的關係。自2009年比特幣主網上線,2015年以太坊主網上線,安全事件和資產損失逐年增加,因此安全作為Web3世界的基石更需要重視。無論是中心化交易所,或是去中心化的DeFi、GameFi、NFT、DAO、Social、Bridge 等場景,都會涉及基於token 的各種應用場景。如何確保整個token 處理流程的安全成為Web3 BUDLers 需要仔細考慮的問題。 AWS 作為雲端安全領域的專家和服務了大眾Web3專案方的機構,一直密切關注區塊鏈和Web3 領域的安全,積極與專案方溝通,並舉辦了多種形式的Web3安全分享與培訓。
接近2023年末,多頭訊號逐漸清晰,佈局雲端伺服器的Web3專案數量將會快速增加,雲端作為基礎設施層的角色越來越重要因此,雲端安全是每個開發者和BUDLers都必須關注的安全要素。
目前雲端安全面臨哪些重大挑戰?
安全公司Beosin在本次專訪中表示,“雲端服務資料商的攻擊是近期主要的攻擊類型之一,主要是透過DDoS攻擊、帳戶劫持、惡意入口等多種手段,針對雲端服務資料商提供的”計算和儲存服務的攻擊,其後果是敏感的資料外洩和服務中斷。 」團隊分享道:「近期Mixin Network 和Fortress IO 因雲端服務商被攻擊分別損失了2 億美元和1500 萬美元。 」
敏感資料的洩露,尤其是秘密洩露是本次訪談過程中各安全專家詳細講述的安全事件起因。 CertiK第三季安全季報告也表示,「秘密外洩是本季發生重要事件的原因之」一。 14起私鑰被盜事件總共造成2.04億美元的損失。 」
除了資料外洩之外,慢霧團隊還給出了涉及雲端安全威脅的其他幾大類,包括:
1.帳號外洩和未授權存取:駭客可以透過密碼破解、社交工程或弱密碼攻擊取得使用者帳號和憑證,從而取得未授權的存取權限。
2. DDoS攻擊:全球拒絕服務(DDoS)攻擊可能導致雲端服務無法使用,透過佔用資源或抑制網路流量來癱瘓服務,導致業務中斷。
3. 惡意內部威脅:內部使用者或員工可能會竊取其權限,竊取資料、調查資訊或進行其他惡意行為。
4.合規性和資料管理:專案方在雲端服務搭建的平台上,處理資料的過程中沒有有效的利用各種工具來進行資料保護,從而導致資料混亂或遺失”
駭客多維度的攻擊角度及潛在的內部安全面臨風險,Web3安全專家們呼籲大家認識到雲端安全需要綜合的安全策略,從而不能僅僅採取單一維度的簡單的安全防護。
雲端安全的「攻防之戰」,如何破局?
雲端安全的持續挑戰,如何做好「防禦」面,助力用戶的隱私資料與資金安全?各安全機構的專家和團隊給了他們的看法。
北信團隊:
「敏感資料外洩事件頻繁發生,建議技術人員在儲存資料和傳輸資料時對資料進行加密,避免被授權的第三方存取。對於私密等敏感數據,建議使用隱私計算以及同態加密貨幣技術,避免私鑰洩漏。
同時,專案方需確認客戶端只能透過安全的API存取雲端服務,避免注入攻擊、跨站點腳本等行為。使用API還可以在存取雲端服務之前對用戶端進行身份驗證和資料檢驗,以確保存取安全和資料安全。考慮到個人電腦作為客戶端的安全防護能力較弱,不建議透過個人電腦直接呼叫API對系統進行資料存取和維運,而是透過雲端上虛擬桌面或安全的跳板機來完成相關的存取。 」
CertiK首席安全長李康教授:
「我們主要觀察到兩類使用雲端平台時面臨的常見風險,分別是用戶對雲端資料的配置不當以及用戶將雲端後台的服務隱藏到dApp 導致的風險。大多數時候雲端是提供了大量資源的保護和資料的控制,但往往因為使用者對配置的使用不當,讓外部人員有機會進入使用者的後台。而另一類風險則是來自專案方的開發者將雲端後台的服務隱藏到dApp-部分開發者為了方便自身使用,會為整個設計一個自認為只在內部使用的接口,使得dApp能夠在移動端的App直接訪問,而內部對外公開。雖然項目方的雲端API有專門的管控,但是仍然導致dApp和後台進行了很多互動。
這兩類風險,CertiK建立了雲端和基於雲端運行的dApp的安全服務,包括程式碼審計、風險評估、團隊身份驗證和背景調查等。 李康教授補充說:「如果你無法保證開發團隊絕對值得信任,讓審計對專家dApp進行一次的審計還是非常必要的。 」
MetaTrust 共同創辦人劉楊教授:
「雲端安全作為基礎設施層,需要做好資料安全和使用者的隱私保護。建構端到端的全端安全防護,特別關注針對資料的保護。針對不同類型的資料對應設定的存取權限,杜絕授權的存取。雲端服務的機制複雜度較高,不同類別的資料都需要獨立的存取機制。
另外,數據合規也需要重視。現在雲端裡面很多資料都在同一個雲端裡,可能因為地域不一樣,導致資料受到存取限制。如果對這種情況不了解的話,很容易導致資料跨境洩漏帶來的合規問題。因此,存取控制和身份驗證,其實也很重要。我們需要建構比較嚴格和細粒度的存取控制和身分驗證機制,防止這一點授權的存取。 」
SlowMist慢霧團隊:
「雲端安全需要全面的安全策略,包括適當的存取控制、加密貨幣、持續監控,請專業的安全機構進行全方位的審計、教育訓練等方面的措施,以確保雲端環境的安全性和穩定性。例如對關鍵資料進行端對端加密貨幣,如果要使用加密貨幣,加密貨幣金鑰的安全管理至關重要,保留備份,最好不要保存在雲端。例如預防配置錯誤這樣的基本漏洞,雲端安全風險將會很大降低。最後,無論是個人用戶、中小企業用戶還是企業級雲端用戶,確保網路和設備安全都是非常重要的。”
AWS:安全是一個洋蔥型的多層防護
無論在Web2或Web3,AWS都積極的在為多類別專案提供雲端運算和安全服務。作為雲端運算的領導企業和積極參與者,AWS Web3技術專家認為,安全不是雞蛋模型的單層防護,而是多層防護的模型,層層遞進,層層展開。具體來說,第一層是威脅偵測與事件回應,第二層是身分認證與存取控制,第三層是網路與基礎設施安全,第四層是資料保護與隱私,第五層是風險管控及合規。 AWS針對每一層,都提供了完整的解決方案,幫助Web3的專案方更安全地管理整個應用系統。
結論:Web3雲端安全的攻防之戰要取得勝利,需要依靠各位的共同努力
Web3生態的安全維護雲端基礎設施的安全,而與雲端基礎設施相關的各參與者包括專案方、雲端服務商和安全服務商都需要建立起綜合的安全策略,定期進行審計、自我安全排查,以確保最大的安全性。
對於Web3 的開發者來說,除了增強自身的道德水平,還需要持續精進安全相關的技能,可以積極參與AWS 目標開發者的活動及培訓,例如Web3 道德駭客與安全最佳實踐,識別常見的風險。
我們共同的目標是打造安全的Web3生態,實現產業的永續發展,希望你能從本次訪談中得到啟示,並積極運用於日常實踐中。
如Web3專案方需要了解如何建立安全的雲端應用,可點選連結了解更多。
本文來自投稿,不代表BlockBeats觀點。
資訊來源:0x資訊編譯自網際網路。版權所有,未經許可,不得轉載