毫無疑問,云計算可以改善安全性的某些方面。畢竟,云計算具有巨大的規(guī)模經(jīng)濟,可為客戶提供專用的安全團隊和技術(shù),而這對于絕大多數(shù)組織而言都是不可行的。當客戶沒有在云計算環(huán)境中正確配置和保護自己的工作負載和存儲桶時,就會發(fā)生壞消息。
以最近發(fā)生的CapitalOne公司數(shù)據(jù)泄露事件為例,在該事件中,黑客利用配置錯誤的云防火墻來訪問1億張信用卡客戶和申請人的數(shù)據(jù),這是歷史上最大的一次泄露事件。有成千上萬種潛在的云配置錯誤,例如CapitalOne的錯誤配置。但是,與許多事情一樣,大多數(shù)錯誤配置錯誤都可以分為幾類。以下是云計算配置發(fā)生錯誤的五個最常見區(qū)域。
錯誤1:存儲訪問
在存儲桶方面,許多云計算用戶認為“經(jīng)過身份驗證的用戶”僅涵蓋那些在其組織或相關(guān)應(yīng)用程序中已通過身份驗證的用戶。不幸的是,情況并非如此。“經(jīng)過身份驗證的用戶”是指具有AWS身份驗證的任何人,實際上是任何AWS客戶。由于這種誤解以及由此導(dǎo)致的控件設(shè)置錯誤配置,存儲對象最終可能完全暴露給公共訪問。設(shè)置存儲對象訪問權(quán)限時,需要特別小心,以確保只有組織內(nèi)需要訪問權(quán)限的人員才能訪問它。
錯誤2:“秘密”管理
此配置錯誤可能特別損害組織。確保諸如密碼、API密鑰、管理憑據(jù)和加密密鑰之類的機密是至關(guān)重要的。人們已經(jīng)看到它們在配置錯誤的云存儲桶、受感染的服務(wù)器、開放的GitHub存儲庫甚至HTML代碼中公開可用。這相當于將家門的鑰匙放在門前。
解決方案是維護企業(yè)在云中使用的所有機密的清單,并定期檢查以查看每個機密如何得到保護。否則,惡意行為者可以輕松訪問企業(yè)的所有數(shù)據(jù)。更糟糕的是,他們可以控制企業(yè)的云資源以造成無法彌補的損失。同樣重要的是使用秘密管理系統(tǒng)。AWS Secrets Manager、AWS Parameter Store、Azure Key Vault和Hashicorp Vault等服務(wù)是健壯且可擴展的秘密管理工具的一些示例。
錯誤3:禁用日志記錄和監(jiān)視
令人驚訝的是,有多少組織沒有啟用、配置甚至檢查公共云提供的日志和遙測數(shù)據(jù),在許多情況下,這些數(shù)據(jù)可能非常復(fù)雜。企業(yè)云團隊中的某個人應(yīng)該負責定期查看此數(shù)據(jù)并標記與安全相關(guān)的事件。
這個建議并不局限于基礎(chǔ)設(shè)施即服務(wù)的公共云。存儲即服務(wù)供應(yīng)商通常提供類似的信息,這同樣需要定期審查。更新公告或維護警報可能會對企業(yè)產(chǎn)生嚴重的安全影響,但如果沒有人注意,則對企業(yè)沒有任何好處。
錯誤4:對主機、容器和虛擬機的訪問權(quán)限過大
企業(yè)是否將數(shù)據(jù)中心中的物理或虛擬服務(wù)器直接連接到Internet,而無需使用過濾器或防火墻來保護它?當然不是。但是人們幾乎總是在云中完全做到這一點。人們最近看到的一些示例包括:
· 暴露在公共互聯(lián)網(wǎng)上的Kubernetes集群的ETCD(端口2379)
· 傳統(tǒng)端口和協(xié)議(例如在云主機上啟用的FTP)
· 已虛擬化并遷移到云中的物理服務(wù)器中的傳統(tǒng)端口和協(xié)議,如rsh、rexec和telnet。
確保保護重要的端口并禁用(或至少鎖定)云中的舊的、不安全的協(xié)議,就像在本地數(shù)據(jù)中心中一樣。
錯誤5:缺乏驗證
最終的云計算錯誤是一個元問題:人們經(jīng)常看到組織無法創(chuàng)建和實施系統(tǒng)來識別錯誤配置,因為它們會發(fā)生。無論是內(nèi)部資源還是外部審核員,都必須負責定期驗證服務(wù)和權(quán)限是否已正確配置和應(yīng)用。設(shè)置時間表以確保這種情況像發(fā)條一樣發(fā)生,因為隨著環(huán)境的變化,錯誤是不可避免的。企業(yè)還需要建立嚴格的流程來定期審核云配置。否則,可能會冒著安全漏洞的風險,惡意行為者可以利用這些漏洞。
僅當云計算客戶忠實于其雙重責任模型時,云計算才有可能成為數(shù)據(jù)和工作負載的安全場所。牢記這些常見錯誤,并建立一個可以盡快發(fā)現(xiàn)這些錯誤的系統(tǒng),可以確保企業(yè)在云中的數(shù)字資產(chǎn)將是安全的。