幾個常見的雲配置錯誤

毫無疑問，雲計算可以改善安全性的某些方面。畢竟，雲計算具有巨大的規模經濟，可為客戶提供專用的安全團隊和技術，而這對於絕大多數組織而言都是不可行的。當客戶沒有在雲計算環境中正確配置和保護自己的工作負載和儲存桶時，就會發生壞訊息。

保證資料在雲中安全是企業與雲計算**產商共同的責任。而雲計算安全措施是雲計算客戶必須採取的措施。

以最近發生的capitalone公司資料洩露事件為例，在該事件中，黑客利用配置錯誤的雲防火牆來訪問1億張信用卡客戶和申請人的資料，這是歷史上最大的一次洩露事件。有成千上萬種潛在的雲配置錯誤，例如capitalone的錯誤配置。但是，與許多事情一樣，大多數錯誤配置錯誤都可以分為幾類。以下是雲計算配置發生錯誤的五個最常見區域。

錯誤1：儲存訪問

在儲存桶方面，許多雲計算使用者認為「經過身份驗證的使用者」僅涵蓋那些在其組織或相關應用程式中已通過身份驗證的使用者。不幸的是，情況並非如此。「經過身份驗證的使用者」是指具有aws身份驗證的任何人，實際上是任何aws客戶。由於這種誤解以及由此導致的控制項設定錯誤配置，儲存物件最終可能完全暴露給公共訪問。設定儲存物件訪問許可權時，需要特別小心，以確保只有組織內需要訪問許可權的人員才能訪問它。

錯誤2：「秘密」管理

此配置錯誤可能特別損害組織。確保諸如密碼、api金鑰、管理憑據和加密金鑰之類的機密是至關重要的。人們已經看到它們在配置錯誤的雲儲存桶、受感染的伺服器、開放的github儲存庫甚至html**中公開可用。這相當於將家門的鑰匙放在門前。

解決方案是維護企業在雲中使用的所有機密的清單，並定期檢查以檢視每個機密如何得到保護。否則，惡意行為者可以輕鬆訪問企業的所有資料。更糟糕的是，他們可以控制企業的雲資源以造成無法彌補的損失。同樣重要的是使用秘密管理系統。aws secrets manager、aws parameter store、azure key vault和hashicorp vault等服務是健壯且可擴充套件的秘密管理工具的一些示例。

錯誤3：禁用日誌記錄和監視

令人驚訝的是，有多少組織沒有啟用、配置甚至檢查公共雲提供的日誌和遙測資料，在許多情況下，這些資料可能非常複雜。企業雲團隊中的某個人應該負責定期檢視此資料並標記與安全相關的事件。

這個建議並不侷限於基礎設施即服務的公共雲。儲存即服務**商通常提供類似的資訊，這同樣需要定期審查。更新公告或維護警報可能會對企業產生嚴重的安全影響，但如果沒有人注意，則對企業沒有任何好處。

錯誤4：對主機、容器和虛擬機器的訪問許可權過大

企業是否將資料中心中的物理或虛擬伺服器直接連線到internet，而無需使用過濾器或防火牆來保護它?當然不是。但是人們幾乎總是在雲中完全做到這一點。人們最近看到的一些示例包括：

暴露在公共網際網路上的kubernetes集群的etcd(埠2379)

傳統埠和協議(例如在雲主機上啟用的ftp) 已虛擬化並遷移到雲中的物理伺服器中的傳統埠和協議，如rsh、rexec和telnet。

確保保護重要的埠並禁用(或至少鎖定)雲中的舊的、不安全的協議，就像在本地資料中心中一樣。

錯誤5：缺乏驗證

最終的雲計算錯誤是乙個元問題：人們經常看到組織無法建立和實施系統來識別錯誤配置，因為它們會發生。無論是內部資源還是外部審核員，都必須負責定期驗證服務和許可權是否已正確配置和應用。設定時間表以確保這種情況像發條一樣發生，因為隨著環境的變化，錯誤是不可避免的。企業還需要建立嚴格的流程來定期審核雲配置。否則，可能會冒著安全漏洞的風險，惡意行為者可以利用這些漏洞。

僅當雲計算客戶忠實於其雙重責任模型時，雲計算才有可能成為資料和工作負載的安全場所。牢記這些常見錯誤，並建立乙個可以盡快發現這些錯誤的系統，可以確保企業在雲中的數字資產將是安全的。

幾個常見的雲配置錯誤

REST的幾個常見錯誤

SSIS中常見的幾個錯誤

簡單舉幾個CodeReview的常見錯誤

幾個常見的雲配置錯誤

REST的幾個常見錯誤

SSIS中常見的幾個錯誤

簡單舉幾個CodeReview的常見錯誤

相關推薦