摘要

  • Capital One 表示,一名外部人员在 2019 年 3 月 22 日和 23 日利用了一个配置漏洞。刑事和监管记录描述了一个更长的控制链:一个配置错误的 Web 应用防火墙使命令能够到达云环境,获得了一个角色的凭据,这些凭据可以枚举和复制存储对象,并且监控未能将可疑活动转化为及时的遏制。
  • 货币监理署并未将该事件定性为孤立的工程错误。其同意令的调查结果追溯到该银行 2015 年的云迁移,并指出风险评估无效、网络安全和数据丢失预防控制不足、告警处置不当、内部审计差距以及董事会未能有效追究管理层责任。
  • 责任存在于多个层面,但在法律上不可互换。联邦陪审团判定 Paige Thompson 有犯罪行为。Capital One 接受了 OCC 8000 万美元的罚款,但既不承认也不否认该机构的调查结果。消费者针对 Capital One 和 Amazon 的索赔在诉答阶段部分成立,后来达成和解,因此民事案件并未对银行和云提供商之间的责任分配进行审判。
  • 主权方面的教训并不是选择国内云区域就能解决数据保护问题。加拿大约有 600 万人受到影响,其中约 100 万人的社会保险号码被泄露。本地性、保留、身份权限、元数据访问、加密权限、日志记录和监管机构对证据的访问必须作为一个系统进行治理。

过于狭隘的漏洞描述

关于 Capital One 数据泄露事件的常见描述很简洁:防火墙配置错误,攻击者访问了 Amazon Web Services 中的数据,超过 1 亿人的信息被盗。这句话的每个部分都指向了正确的方向。然而,作为问责叙述,它过于狭隘,使事件听起来像是处于其他方面受控环境边缘的一次单一错误设置。

官方记录描述了更具结构性的问题。Capital One 于 2019 年 7 月 29 日向美国证券交易委员会(SEC)提交的公告称,该公司于 7 月 19 日确定,一名外部人员在利用特定配置漏洞后获取了个人信息。它将重大未经授权访问的时间定为 3 月 22 日和 23 日,称负责任披露报告于 7 月 17 日到达,并解释称该公司已修复配置并与联邦执法部门合作。该公告还表示,云运营模式帮助公司在知情后迅速诊断并纠正了问题。

最后一点很重要。Capital One 并未将云本身视为原因。该公司强调,相关基础设施元素既可以存在于云环境中,也可以存在于本地环境中。这种立场在技术上是可辩护的:反向代理或 Web 应用防火墙在任何一种环境中都可能成为非预期的中继;服务凭据在任一环境中都可能权限过大;合法身份在任一环境中都可能读取加密数据。然而,云改变了这些条件组合的速度、抽象程度和规模。跨越应用边界的命令可以到达实例元数据服务。临时凭据可以通过 API 从其他地方使用。存储角色可以枚举远超单台服务器磁盘容量的数据湖。使云运营高效的同一自动化过程,也可能使权限错误对入侵者同样高效。

Capital One 当前的事件信息页面指出,美国约有 1 亿人、加拿大约有 600 万人受到影响。最大的数据类别是消费者和小企业在 2005 年至 2019 年初申请信用卡产品时提供的信息:姓名、地址、邮政编码、电话号码、电子邮件地址、出生日期和自报收入。部分信用卡客户数据包括评分、额度、余额、支付历史、联系信息以及 2016、2017 和 2018 年 23 天的交易数据片段。该公司报告称,约 14 万个美国社会安全号码、约 8 万个关联银行账号以及约 100 万个加拿大社会保险号码被泄露。它表示信用卡账号和登录凭据并未受损。

这些区分防止了夸大,但并未将控制问题简化为一个数字。申请数据在信用决策后很长时间内仍可能涉及身份敏感信息。收入、地址历史、出生日期、信用状况和政府标识符可以跨系统组合。因此,该事件不仅关乎存储桶是否私有,还关乎为何面向应用的角色能够触及存储库、为何本地元数据边界的凭据路径可能成为外部数据路径、为何监控未能缩小差距,以及为何约 14 年间收集的数据仍保持在可访问范围内。

时间线与问责形式的演变

日期改变了组织合理预期知晓和采取行动的能力。核心时间线可基于公司披露、后续起诉和定罪、监管机构命令以及法院记录构建,而无需将每个来源视为同种证据。

日期事件与问责意义
2015 年左右OCC 后来发现,Capital One 在将重大技术运营迁移到云环境之前未能建立有效的风险评估流程,也没有建立适当的云风险管理。
2019 年 3 月 12 日替代起诉书指控自该日左右起存在针对 Capital One 的未经授权访问行为。Capital One 单独将 3 月 22 日和 23 日认定为其公布的主要数据访问日期。
3 月 22-23 日Capital One 表示外部人员在这两天获取了数据。起诉书指控 3 月 22 日的一条命令将 Capital One 数据复制到 Thompson 控制的服务器。
4 月至 5 月在民事案件的诉答阶段,原告声称日志显示额外连接或尝试连接,且公开帖子描述了该活动。这些起诉指控仅在驳回动议裁决中被视为真实。
7 月 17 日一名 GitHub 用户通过负责任披露渠道向 Capital One 提示可能存在数据被盗。这一外部报告而非最终解决的内部告警触发了发现过程。
7 月 19 日Capital One 确定发生未授权访问,修复了配置问题,并联系了 FBI。根据公司 2020 年委托书,管理层向董事会报告了此事。
7 月 29 日Capital One 公布了数据泄露事件。FBI 逮捕了 Paige Thompson,政府提交了刑事起诉书。
11 月 19 日AWS 发布了实例元数据服务版本 2,增加了面向会话的请求保护和客户控制,要求使用新方法或禁用元数据访问。
2020 年 4 月 30 日FFIEC 发布云风险声明,强调金融机构必须理解共同责任,不能仅因系统运行在云中就假设控制有效。
2020 年 8 月 5-6 日OCC 发布 8000 万美元民事罚款和详细停止令;美联储针对控股公司发布协调命令。
2020 年 9 月联邦地区法院部分批准、部分驳回了 Capital One 和 Amazon 驳回消费者索赔的动议。该裁决判断指控在法律上是否充分,而非指控是否被证实。
2022 年 6 月联邦陪审团在经过七天审判后,判定 Thompson 犯有电信欺诈、未经授权访问和破坏受保护计算机罪。
2022 年 8-9 月OCC 于 8 月 31 日终止了 2020 年停止令。联邦法院于 9 月 13 日最终批准了 1.9 亿美元的消费者集体和解协议。
2022 年 10 月Thompson 被判已服刑期加上五年缓刑,包括位置和计算机监控。

3 月 12 日与 3 月 22 日之间的明显差异并非需要强行统一为一个日期的矛盾。2021 年的替代起诉书指控自 3 月 12 日左右起存在更长时间的未经授权计算机访问。Capital One 的公告将 3 月 22 日和 23 日作为其事件描述中的主要数据访问日期。时间线应保留被指控行为与公司对数据外泄描述之间的差异。

同样的原则适用于受影响人数。公司最初公告称美国约 1 亿人、加拿大约 600 万人受到影响。美国和解管理人后来描述集体和解中约有 9800 万美国消费者。这两个数字不应被暗中转换为精确的通用计数。它们属于不同阶段、不同定义的记录。

元数据边界如何变成凭据边界

技术链条始于服务器端请求伪造(SSRF)。在 SSRF 条件下,外部调用者诱导服务器端组件发出由该调用者选择或影响的请求。该请求从服务器的网络位置发出,因此可能到达无法从公共互联网直接访问的目标。安全问题不仅仅在于接受了某个 URL;而在于应用程序成为将外部意图带入更信任网络上下文的代理。

司法部的Capital One 案件页面将入侵描述为通过配置错误的 Web 应用防火墙发生。审判前提交的替代起诉书指控 Thompson 创建并使用扫描器来识别那些 Web 应用防火墙配置允许外部命令到达并在其服务器上执行的云客户。起诉书称这些命令获取了客户账户或角色的安全凭据;这些凭据随后被用于列出存储桶并复制角色有权限的对象。起诉书使用了中性术语“云计算公司”,但公开民事记录和 Capital One 自身的文件将环境确定为 AWS。

EC2 实例元数据服务的存在是为了让虚拟机上的软件了解其运行时环境并获取与附加身份角色关联的临时凭据。这是存储长期访问密钥的文件的有用替代方案。然而,该设计假设来自实例的访问具有意义。如果面向 Web 的组件可以被诱使发出任意内部请求,那么“本地到实例”就不再等同于“授权工作负载代码”。

AWS 2019 年关于IMDSv2 的解释将元数据地址标识为链路本地端点,并解释元数据可以包括附加到实例的角色的临时凭据。版本 2 要求软件首先发出 HTTP PUT 请求以建立会话并获取秘密令牌,然后在后续元数据请求中出示该令牌。AWS 设计该协议以增加对常见开放式 Web 应用防火墙、开放式反向代理、SSRF 弱点以及某些第 3 层防火墙或网络地址转换错误的防御能力。客户可以要求使用版本 2 或完全禁用元数据访问。

重要的分析点不在于协议修订是否追溯证明了缺陷,也不在于客户配置是否免除了平台设计者的所有设计责任。而在于本地信任假设可以在不止一个层面上得到加强。Capital One 可以限制 WAF、限制到元数据端点的出站流量、缩小角色范围、限制可访问的存储、检测异常的 API 使用并减少保留的数据。AWS 可以使元数据协议更不易通过透明代理和 SSRF 路径被重用。深度防御认识到,应用错误不应自动成熟为身份凭据,身份凭据不应自动成熟为大量数据导出。

Web 应用防火墙并非漏洞的全部

将事件称为防火墙配置错误可能掩盖三个不同的问题。首先,为何非受信请求能够导致防火墙或其背后的组件到达内部目标?其次,当这种情况发生时,哪个身份被暴露?第三,该身份能够做什么?

第一个是应用和网络路径问题。Web 应用防火墙通常被理解为在请求到达应用之前过滤恶意输入的控制措施。在此次事件中,相关配置使其成为通往内部资源路径的一部分。这种反转应改变云团队测试边缘控制的方式。WAF 不仅是公共边界上的规则集;它是具有执行上下文、出站可达性、头部、方法和附加身份的代码。安全审查必须问:当控制自身被混淆时,它能到达什么、能模仿什么?

第二个问题涉及元数据凭据。临时凭据在重要方面比嵌入的长期密钥更安全:它们轮换、过期,并且可以集中关联到角色。但“临时”描述的是持续时间,而非权限。如果攻击者能够反复获取当前凭据,或者能够在凭据有效窗口内复制大型数据集,那么轮换并不能阻止损害。因此,凭据卫生必须包括凭据颁发路径及其携带的权限。

第三个问题是最小权限。起诉书声称,获取的账户具有列出和复制目标存储的必要权限。民事法院 2020 年 9 月的驳回动议命令作为该程序阶段接受的指控,记录了 Amazon 对应用层防火墙配置错误以及可能过于宽泛的权限的描述。该命令还记录了原告关于存储访问和数据湖的指控。这些段落并非审判裁决,但它们仍然有用,因为法院的处置表明,刑事入侵并不一定从法律上切断安全决策与消费者损害之间的所谓因果链。

因此,有效的审查应避免以“WAF 已修复”作结。它应重建完整的权限图:公共请求到代理;代理到元数据端点;元数据端点到角色会话;角色到存储列表;存储列表到对象读取;对象读取到解密路径;API 调用到网络出站。每条边都需要有所有者、业务理由、预防性控制和遥测。移除一条错误的规则会阻断已知路径,但并不能证明身份和数据架构是适当的。

加密保护的是介质,而非授权滥用

Capital One 表示,数据加密是标准做法,且对选定字段(尤其是社会安全号码和账号)进行了令牌化。它还表示,相关情况使得对已访问数据的解密成为可能,而令牌化数据由于使用不同的方法和密钥而保持受保护。这是对“数据已加密”解决控制问题这一常见说法的有力纠正。

静态加密主要设计用于在存储介质、快照或底层存储被授权服务路径之外访问时保护数据。应用程序仍需要读取数据。云存储和密钥管理系统因此会为满足策略的身份解密信息。如果攻击者获取了具备与工作负载相同读取权限的凭据,加密可以完全按设计运行,同时将明文释放给使用授权机器身份的非授权人员。

这不是反对加密的理由,而是支持分离权限的理由。暴露于面向公众控制的角色不应携带广泛的数据读取和密钥使用权限。高度敏感字段应在通用存储读取者身份无法跨越的服务边界下进行令牌化或加密。密钥策略、数据策略和角色策略应作为一个授权决策进行审查。否则,三个各自合理的配置可能交叉,从而授予任何所有者都未曾意图的访问权限。

该事件还表明,为何控制报告应区分覆盖范围和后果。“100% 的对象已加密”可能为真,但机密性风险仍然很高。更有用的董事会指标应显示:每个运行时角色可以读取的敏感对象比例;哪些身份可以调用解密;面向公众的工作负载是否出现在这些路径中;以及角色读取其正常前缀、卷、区域或时间模式的频率。

检测在响应成功之前就已失败

Capital One 的负责任披露程序在外部人员使用它时发挥了作用。该公司称于 7 月 17 日收到报告,7 月 19 日确认入侵,修复问题,联系 FBI,7 月 29 日公布事件,并支持了快速逮捕。这些都是有意义的响应事实。但它们不能回答为何内部控制系统未能将 3 月的活动处理完结。

OCC 的调查结果从更高层面解决了这一差距。在民事罚款同意令中,货币监理署发现 Capital One 未能建立适当的云风险管理,包括充分的数据丢失预防控制和有效的告警处置。Capital One 既不承认也不否认这些调查结果。“处置”不仅仅是生成告警,而是决定事件是良性、升级、遏制还是凭证据关闭的过程。

云环境产生大量遥测数据:角色承担、元数据使用、存储列表、对象读取、API 源地址、出站流量、被拒绝的调用、策略更改和数据分类事件。更多信号并不会自动创建检测能力。一个程序可以收集所有相关事件,但如果规则不关联序列、阈值对角色正常行为不敏感、告警没有明确责任人,或者关闭原因未经独立审查,那么它仍可能失效。

外部报告导致发现的事实应同时被视为响应成功和保证失败。成功之处在于渠道存在、被监控并促成了行动。失败之处在于,在银行自身控制产生最终遏制之前,一条四个月前的访问路径通过公开活动被发现。负责任披露是一个宝贵的外部传感器,但它不应被视为内部检测凭据获取、异常存储桶枚举和大量对象复制的替代方案。

OCC 将事件视为迁移治理失败

最有力的公开问责记录并非技术事后分析,而是 OCC 2020 年的执法文件。该机构的罚款公告称,该银行在将重大技术运营迁移到公共云之前未能建立有效的风险评估流程,且未能及时纠正缺陷。该机构处以 8000 万美元罚款,认可了银行的通知和补救措施,并表示负责任的创新仍需健全的风险管理和内部控制。

同意令的调查结果异常具体。OCC 发现,该银行在 2015 年左右迁移前未能建立有效的风险评估。它发现网络安全控制设计和实施、数据丢失预防和告警处置存在缺陷。它发现内部审计未能识别众多控制弱点和差距,未能有效向审计委员会报告已识别的弱点,且董事会未能采取有效措施追究管理层对审计提出的某些问题的责任。Capital One 同意该命令以避免诉讼费用,并明确既不承认也不否认调查结果。

这一框架改变了问责单位。如果事件是 2019 年一条错误的 WAF 规则,那么补救可以集中于工程师、变更审查和即时控制。如果相关失败始于 2015 年未经充分评估的运营模式,那么责任系统包括迁移治理、云控制设计、第二道防线挑战、内部审计、委员会报告、管理层补救和董事会升级。

随附的OCC 停止令使这一更广泛的范围可操作化。它要求设立至少由三名董事组成的合规委员会、书面纠正行动计划、技术风险评估改进、云运营风险管理、独立风险管理、控制测试和内部审计。云计划必须解决边界安全、敏感信息的识别和保护、未经授权披露的预防和检测,以及容器化对象的配置管理。独立风险管理必须定义全面的风险和控制宇宙,并挑战第一道防线对固有和剩余网络风险的评估。

该命令的控制测试要求尤为重要。Capital One 必须制定相关云控制清单,使基于风险的测试计划与清单一致,跟踪差距,进行补救,或正式接受风险。内部审计必须验证管理层技术资产、可配置设备和软件清单的完整性和准确性;将其审计范围与检查问题对应;纳入漏洞根本原因分析的经验;修订审计覆盖范围;评估员工专长;并改进向审计委员会的报告。

这些义务回答了反复出现的云治理错误。企业可能拥有控制目录和审计计划,但它们之间缺乏可靠关系。控制目录包含管理层认为存在的控制。资产清单包含团队认为其运营的资产。审计范围包含审计预期审查的内容。如果这些集合未经过对账,那么面向公众的角色、元数据路径、存储桶或配置引擎可能悬在所有权模型之间。OCC 命令要求提供这些集合一致的证据。

董事会问责是证据,而非会议频率

Capital One 的2020 年委托书称,管理层在 7 月 19 日发现后立即向董事会报告了该事件。多个委员会的独立成员和全体董事会就该事件和响应召开了 20 多次会议。董事会聘请了外部专家,收到了关于根本原因和补救的报告,加强了监督,并指定风险委员会在审查增强的网络治理方面发挥主导作用。管理层设立了企业网络问题和升级的高级委员会。

这些是合法的治理回应,但会议次数不能证明控制有效。OCC 的调查结果侧重于事件发生前的时期,当时审计弱点据称未被有效揭示,且管理层对某些未结差距未被迫责。因此,有用的比较不在于“之前会议少,之后会议多”,而在于到达董事的信息是否从活动报告转变为控制证据。

OCC 命令定义了该证据应支持的内容。董事必须确保及时纠正行动、验证行动有效、确保充足的人员和系统、追究管理层责任、要求充分及时的报告,并处理不合规问题。董事会可以依赖管理层、委员会和第三方,但依赖并不解除确保纠正行动的职责。

对于云元数据和存储风险,董事会级别的材料应回答具体问题:有多少互联网可访问的工作负载可以访问实例元数据?其中有多少需要更强的会话协议?哪些可以完全禁用元数据?有多少面向公众的角色可以列出或读取敏感对象存储?每个角色在一个凭据生命周期内可以检索的最大数据量是多少?哪些控制防止数据离开批准的网络或区域?有多少告警在没有确凿证据的情况下被关闭?哪些云审计问题错过了目标日期,哪个高管接受了剩余风险?

这些问题中没有一个要求董事配置防火墙。它们要求管理层能够证明其声称的运营边界。这就是行政与监督的区别。董事无需了解每个 API 参数,但他们需要一种报告系统,使危险组合在外部研究人员发现之前就变得可见。

共同责任是控制地图,而非免责声明

AWS 将云安全描述为提供商与客户之间的共同责任。根据AWS 共同责任模型,AWS 保护运行云服务的基础设施,而客户的职责因服务选择而异,通常包括客户数据、身份与访问、应用软件、操作系统配置、防火墙配置、加密选择和流量保护。对于 EC2 等基础设施服务,客户控制的操作栈比完全托管服务多得多。

该模型很有用,因为它防止了类别错误:租用计算并不使提供商成为客户应用权限的运营者。但该图只是治理的起点。许多重要控制跨越界线。提供商设计元数据服务;客户决定是否以及如何使用它。提供商提供身份策略机制;客户定义角色和权限。提供商生成日志;客户启用、保留、路由和调查它们。提供商提供区域选择;客户选择满足法律义务的区域和架构。提供商使更安全的默认设置成为可能;客户必须迁移现有工作负载并强制实施。

FFIEC 云计算声明明确了金融部门的后果。管理层不应仅仅因为系统在云环境中运行就假设安全性和弹性控制存在。该声明称,合同应明确各方的责任,但金融机构仍负责安全稳健的运营和合规。它强调治理、云架构、身份、数据管理、漏洞管理、监控、事件响应、业务连续性和审计是相互关联的实践。

因此,共同责任必须转化为足够精确以进行测试的控制矩阵。对于每个控制,矩阵应确定谁设计、谁配置、谁运营、谁接收告警、谁验证有效性、保留哪些证据,以及证据缺失时谁采取行动。像“客户责任”这样的标签并非控制所有者。在大型银行中,“客户”可以指平台工程、应用团队、云安全、数据治理、身份工程、企业风险、内部审计、法律或供应商。客户组织内部的模糊性可能比客户与提供商之间的模糊性更危险。

同样,共同责任图并不决定民事责任。合同条款、陈述、技术设计、通知义务、因果关系、州法律和已证实事实都很重要。该模型可以指导预期操作,但它不是司法上的责任分配,也不应作为赔偿条款呈报给董事会。

刑事责任、监管责任与民事风险

公开记录支持多种形式的问责,每种具有不同的法律地位。

刑事责任最为清晰。司法部的量刑公告指出,联邦陪审团认定 Thompson 犯有电信欺诈、五项未经授权访问受保护计算机罪以及破坏受保护计算机罪。检察官证明她扫描云账户以寻找配置错误,利用它们获取数据和计算能力,并访问了 30 多个实体。她被判已服刑期加上五年缓刑。这一已裁决的犯罪行为不应被淡化为偶然发现。

监管问责聚焦于银行。OCC 罚款令是最终同意令,但 Capital One 既不承认也不否认货币监理署的调查结果。美联储的协调执法公告称,控股公司必须加强风险管理、治理、网络安全和信息安全控制。随附的美联储同意令要求母公司董事会利用其资源确保银行遵守 OCC 命令,并提交董事会监督书面计划。

民事风险更广,但最终过失方面不太确定。消费者根据过失、合同、不当得利、通知和消费者保护理论起诉 Capital One 和 Amazon。2020 年 9 月,地区法院部分批准、部分驳回了被告的驳回动议。大多数过失索赔得以维持,而华盛顿州过失索赔和若干本身过失理论被驳回。法院在该阶段得出结论,Thompson 的犯罪行为不一定取代被告被指控的过失。由于驳回动议接受充分指控的事实为真实,该裁决确定索赔可以继续;它并未确定 Capital One 或 Amazon 实施了被指控的行为。

该案以和解而非实质审判告终。最终批准令批准了 1.9 亿美元非退还基金、身份防御和恢复服务以及商业实践承诺。和解解决了针对 Capital One 和 Amazon 的索赔。批准意味着法院根据集体诉讼规则认定协商解决方案公平、合理且充分。它并未在银行、AWS 和攻击者之间分配泄露责任的百分比。

这一区别很重要,因为“谁应负责”这个问题可能引出错误答案。Thompson 因犯罪行为被定罪。Capital One 基于同意令承担了监管制裁并接受了纠正义务。Capital One 和 Amazon 面临部分成立并随后和解的民事索赔。提供商后来的设计变更与预防相关,但并非法律过错的自认。每项陈述都有其来源和程序状态。将它们合并为一个概括性裁决将是不准确的。

IMDSv2 与更安全默认设置的治理

AWS 于 2019 年 11 月引入了 IMDSv2,距离 Capital One 披露漏洞不到四个月。AWS 的发布公告将其描述为针对未经授权元数据访问的深度防御。客户可以在新实例或正在运行的实例上要求使用增强型请求方法,或者完全关闭元数据访问。版本 1 保持可用以确保兼容性。

IMDSv2 的会话令牌针对多个混淆代理路径增加了阻力。转发简单 GET 请求的代理可能不允许初始 PUT。插入转发头部的反向代理可能因令牌创建而被拒绝。令牌绑定到实例,不能简单地从任意机器重放。跳数限制可以限制元数据响应在网络层中的传播距离。这些是宝贵的协议控制,因为它们减少了应用和代理错误的后果。

它们并未消除最小权限的需求。如果恶意代码确实在实例上执行,它可能像合法代码一样执行令牌交换。如果易受攻击的 SSRF 允许任意方法和头部,保护可能不那么完整。如果附加角色可以读取不必要的数据湖,剩余后果仍然很高。因此,元数据强化是序列中的一层,而非角色设计、出站控制、数据分段和监控的替代品。

默认设置也具有时间维度。2019 年,客户必须在其可用后选择并强制使用更强的方法。AWS 后来宣布了默认 IMDSv2 路线图,将控制台快速启动和新发布的实例类型推向版本 2,同时保留兼容性选项。这一进展说明了平台治理的困境。立即强制更改可能破坏现有软件;长期可选择性使旧假设保持不变。提供商应使迁移可衡量,提供账户级强制,暴露剩余的版本 1 使用,并设定明确方向。客户应将可选安全升级视为带有所有者和截止日期的风险决策,而非功能积压。

对于董事会,教训是询问默认债务。有多少工作负载仍依赖旧版元数据模式?为什么?如果禁用它会破坏什么?哪些应用无法容忍较低的跳数限制?哪种组织政策阻止新例外?公司如何知道收购的账户或开发环境没有偏离?一个可用但未衡量的安全功能产生的保证低于连接清单和强制的迁移计划。

数据本地性并未限制逻辑访问

泄露事件影响了美加边境两侧的人员。加拿大隐私专员办公室在 Capital One 报告 600 万加拿大人受到影响(包括部分人的社会保险号码被访问)后展开了调查。Capital One 的加拿大事件页面提供了针对国家的通知和支持。跨境影响将本地性从抽象的云采购问题转变为问责问题。

此处审查的来源并未确定每个受影响对象的准确 AWS 区域,也未显示加拿大记录保存在单独的加拿大区域。应保留这一缺失。从数据主体的国籍或全球云品牌推断存储位置是不负责任的。记录确实表明,一次事件影响了受不同法律和监管体系管辖的大量人群。

AWS 在其数据隐私材料中表示,客户控制客户内容,提供商和客户职责遵循共同责任模型。其当前数字主权框架强调客户对工作负载运行位置、数据访问、弹性和控制的选择。这些能力相关,但区域选择并非完整的主权成果。

本地性回答了服务在正常运营中配置存储或处理数据的位置。安全还必须回答谁可以导致服务披露数据、凭据可在何处行使、日志和备份的去向、支持访问如何控制,以及导出的数据能否跨越所选边界。在 Capital One 链条中,API 凭据比靠近磁盘的物理位置更重要。一旦角色被接受为授权,存储可以通过服务接口交付对象。国内区域本身无法阻止该逻辑路径。

因此,主权控制至少需要四个层面。第一是位置:批准的区域、复制设置、备份、分析、灾难恢复和支持服务。第二是权限:身份、密钥使用、元数据访问,以及通过网络、账户、组织或区域限制调用的策略。第三是可观测性:保留在独立控制账户中的日志、跨境传输的证据、异常来源位置的告警以及可供相关监管机构使用的记录。第四是退出和连续性:以可用形式导出数据和日志的能力、撤销提供商访问、轮换密钥,以及在区域、提供商或法律转移机制不可用时运行经过测试的恢复安排。

该事件还表明,当基础设施地理位置不确定时,数据主体地理位置仍可能重要。加拿大监管机构、受影响个人、通知实践和身份补救需求并未因 Capital One 总部位于美国而消失。多国云计划应将数据集映射到其代表的人员和义务,而不仅仅是工程师看到的账户和区域。

保留将访问路径转变为历史档案

Capital One 表示,受影响的最大类别包括 2005 年至 2019 年初的申请数据。这一跨度改变了风险分析。信用申请有直接目的:评估资格、遵守法律、防止欺诈和建立账户。随着时间的推移,某些信息可能仍为服务、法律保留、监管职责、模型治理、争议解决或欺诈分析所必需。但必要性必须按字段、目的和期限进行证明。

保留通常被视为独立于云安全的隐私安排。该事件显示了为何这种分离是人为的。受感染角色可访问的数据量和年限决定了影响。完美的删除计划无法阻止攻击者读取当前记录,但可以防止一次凭据事件暴露十四年的申请历史。同样,将字段分类为敏感如果没有任何存储策略、密钥边界、访问角色或删除作业因分类而改变,则几乎无效。

适当的控制不仅仅是“删除旧数据”。它是可辩护的生命周期:确定收集目的;指定保留的法律和业务依据;将活跃运营数据与受限档案分开;最小化字段;对持久标识符进行令牌化;强制删除;仅保留受记录异常约束的记录;并测试删除的数据是否也从副本、派生数据集、缓存、快照和开发副本中移除。每个异常应有所有者和到期审查。

数据架构还应减少聚合。单一角色不应仅因为某个处理作业曾经需要它就获得广泛历史语料库的访问权限。按目的、敏感性、时间段和辖区进行分区为访问策略提供了有意义的内容。没有这些边界,最小权限被迫在非常大的存储桶或数据湖级别运行,“可以运行此应用程序”与“可以阅读此机构的历史”之间的差异变得危险地缩小。

云依赖包括证据依赖

Capital One 不仅仅是在租用远程磁盘。像任何大型云客户一样,它依赖于提供商定义的身份语义、元数据行为、API 日志记录、区域构造、存储控制、服务可用性、文档以及提供商保留和解释证据的能力。这是一个比正常运行时间更广泛的依赖。

2019 年的事件并未导致 Capital One 核心银行服务长时间公开中断。连续性问题是机密性和信任。该公司必须调查庞大的云资产,识别受影响的记录,通知两个国家的人员,与执法部门和监管机构合作,提供监控,进行诉讼辩护,并在继续运营的同时补救控制。这是在证据受损情况下的连续性:服务可能仍然可用,而机构必须确定其记录、身份流程和客户通信是否仍可信任。

Capital One 的2019 年 Form 10-K报告了 2019 年增量响应和补救费用 7200 万美元,被 3400 万美元的保险赔偿抵消。该公司预计此前宣布的总事件调整项目 1 亿至 1.5 亿美元范围的低端,部分费用持续到 2019 年以后。它警告了监管干预、诉讼、补救成本、声誉损害和信心丧失。这些数字先于 8000 万美元的 OCC 罚款和后来的 1.9 亿美元集体和解基金,不应随意加总,因为保险、时间、和解范围和会计处理不同。

证据依赖应在合同和技术上规划。受监管客户需要具有足够字段和保留期的日志、提供商事件的及时通知、取证收集的合作、保留义务、区域和子处理者信息、控制报告访问、漏洞沟通,以及政府和监管机构请求的处理流程。它还需要在安全工作负载无法更改的安全账户中拥有自身的关键日志副本。显示服务正常运行的提供商仪表板并不能证明客户身份范围适当。

退出规划应属于同一套件。将数据和身份策略集中在一个提供商可以改善标准化和可见性,但也可能使迁移变得困难。退出测试应衡量清单数据、复制访问策略、导出密钥或重新加密、传输日志、重建检测、满足本地性约束以及证明在旧提供商处删除所需的时间。多云部署并非自动更安全;复制不成熟的控制可能加倍不确定性。目标是数据和证据的可信可移植性,而非装饰性的提供商数量。

和解解决了什么,留下了什么

消费者和解规模可观,但其含义应谨慎陈述。和解设立了 1.9 亿美元基金,用于符合条件的自付损失、时间损失、身份防御服务、恢复服务、通知和管理以及法院批准的律师费。它还包括商业实践承诺。最终批准令认定和解公平、合理且充分,并附带偏见地驳回了已释放的消费者索赔。

和解并未确认修改后的诉状中的每项指控为真。它未将驳回动议背景转化为证据后的裁决。它未确定 AWS 的元数据设计造成了特定比例的损害,或 Capital One 的配置造成了其余部分。它未抹去 Thompson 的刑事责任,也未取代 OCC 单独的监管调查结果和命令。

这种未解决的责任分配本身就是一个治理教训。企业不能等待法院在改进共同控制之前分配一个整洁的百分比。平台提供商可能没有经裁决的责任,但仍增加更安全的协议。客户可能质疑监管机构的调查结果,但仍接受命令并彻底改革控制。董事会可以保留法律辩护,同时将运营事实视为紧急。法律姿态和补救姿态可以不同而不矛盾。

OCC 后来宣布,它于 2022 年 8 月 31 日终止了 2020 年停止令。终止是该特定命令的重要终点。它不会取消罚款、改写历史调查结果或证明云风险已趋于静态。它表明正式命令不再未决。成熟的董事会应将命令的控制清单、测试、审计和报告纪律转化为正常治理,而不是让它们随着监管监督到期而消失。

元数据、身份和本地性风险的证据包

Capital One 记录支持为在公共云中运行敏感工作负载的组织提供实用的证据包。

映射公共路径到内部权限。清点每个互联网可访问的代理、负载均衡器、WAF、API 网关和应用程序。对于每个路径,显示出站目标、元数据可达性、附加身份、允许的方法和头部,以及通过该身份可达到的最大数据权限。从攻击者视角测试路径,而非仅依据预期架构图。

使元数据态势可衡量。记录是否需要元数据、是否可以禁用、要求的协议版本、跳数限制、本地防火墙限制、容器影响以及观察到的遗留调用。在组织或账户级别强制首选状态。例外应标识依赖软件、风险所有者、补偿控制和移除日期。

计算凭据爆炸半径。对于每个运行时角色,枚举其可以访问的存储前缀、数据库、队列、密钥、密钥操作和管理操作。估计在一个凭据生命周期内可以从哪些网络位置读取多少敏感数据。测试有效权限,包括身份、资源、密钥、端点和组织策略的交集。

分离存储访问与解密权限。加密不应与通过应用程序路径暴露的相同角色合并。对持久身份字段使用令牌化或独立服务。当面向公众的身份调用密钥操作或读取其狭隘目的之外的数据类别时发出告警。

按目的和辖区控制数据。根据敏感性、目的、保留期限和受影响人群标记和分区数据。对主存储、副本、分析、备份和恢复强制使用批准的区域。记录任何必然移动内容或支持数据的服务。测试跨区域和跨账户拒绝,而非仅配置位置。

拥有审计线索。将身份、元数据、存储、密钥、网络和数据丢失事件路由到独立管理的日志记录环境。保护日志免受工作负载角色影响。关联凭据检索、列表操作、对象读取、解密和出站。衡量告警是否调查到有证据的结论,而非仅仅是否生成。

对账控制宇宙。管理层的云控制目录、资产清单、配置清单、数据目录、风险登记册和审计范围应具有通用标识符。内部审计应测试完整性,而非仅从管理层列表中抽样。未匹配的资产和控制应报告为未知覆盖范围。

升级重复和逾期的发现。错过补救日期的配置差距应与其暴露的身份和数据路径一起出现。董事会报告应指定责任高管、补偿控制、验证方法和截止日期。关闭应要求独立证据证明风险条件已改变。

演练跨境响应。漏洞演练应确定哪些人群和监管机构受影响,哪些记录显示位置和访问,如何送达针对国家的通知,以及身份恢复如何针对不同政府标识符和信用系统工作。组织应能够解释受影响数据的存放位置,而无需在危机期间重构答案。

保留提供商合作和退出权利。合同和操作程序应确保及时日志访问、取证支持、事件通知、证据保留、区域承诺、子处理者透明度和删除认证。团队应定期测试将数据、策略、密钥和审计证据导出到可用恢复环境的能力。

该证据包要求很高,因为风险是组合性的。WAF 可能满足基线。元数据服务可能按文档运行。角色可能有业务理由。存储桶可能私有。对象可能已加密。日志可能存在。然而,它们的交集仍可能允许公共请求变成授权导出。问责存在于这些交集处。

持久的考验

Capital One 数据泄露事件仍然是一个有用的云问责案例,因为它抵制了两种简单说法。第一种认为公共云导致了泄露。这忽略了客户控制的配置、权限、数据架构、监控以及 OCC 对银行云风险计划的直接调查结果。第二种认为共同责任将问题完全置于客户身上。这将提供商图表视为设计分析的终点,并忽视了更强元数据服务防御、更安全默认设置、提供商遥测和合同证据的价值。

更好的叙述遵循链条。面向公众的控制能够转发非预期请求。该请求到达元数据信任边界。由此产生的临时身份具有足够权限来列出和复制存储的信息。加密未能防止被接受为授权的凭据读取数据。内部监控未能产生及时遏制。较长的保留期限扩大了暴露的范围。同一事件影响了美国和加拿大隐私制度下的人员。审计和董事会报告未能强制解决监管机构识别的更广泛云控制差距。

责任随后根据论坛分离。攻击者被定罪。银行监管机构对 Capital One 施加了同意义务和罚款。消费者同时追究 Capital One 和 Amazon 的责任;索赔部分成立,并在没有审判责任分配的情况下和解。AWS 引入了更具防御性的元数据协议。Capital One 描述了补救措施、加强的董事会监督,并承担了巨大的响应、执法和和解成本。

对于未来的董事会,决定性问题不是云提供商是否获得认证、存储桶是否加密、或防火墙规则是否已修复。而是机构能否证明没有非受信路径能够获取具有不成比例权限的工作负载身份;该身份的异常使用将被检测并解决;可访问的数据受目的、时间和辖区限制;以及提供商和客户的证据能够足够快地结合以管理风险。

这种证明是共同责任的实践意义。没有它,责任只是纸面上的分割,而风险在生产中保持连接。