為什么錯誤配置仍然是云安全的最大威脅
發(fā)布時(shí)間:2021-11-03 13:46
來(lái)源:企業(yè)網(wǎng)D1Net
閱讀:0
作者:Sam Bocetta
欄目: 云計算
歡迎投稿:712375056
云安全從一開(kāi)始就是一個(gè)問(wèn)題�。雖然云服務(wù)提供商盡一切可能為他們的服務(wù)提供安全保護措施���,但不幸的是��,安全漏洞事件仍然經(jīng)常發(fā)生�����。
如今���,幾乎每家企業(yè)都采用了云服務(wù)�。云遷移的興起始于過(guò)去十年����。在新冠疫情蔓延期間���,遠程工作爆炸式增長(cháng)擴大了對面向業(yè)務(wù)的云服務(wù)的需求���。對于以往只采用單一云服務(wù)的企業(yè)�����,如今都轉向采用具有邊緣計算能力的多云和分布式環(huán)境�����。
從一開(kāi)始就是一個(gè)問(wèn)題���。雖然云服務(wù)提供商盡一切可能為他們的服務(wù)提供安全保護措施�,但不幸的是�����,安全漏洞事件仍然經(jīng)常發(fā)生�。然而對這些事件的深入研究表明���,許多漏洞不是來(lái)自云服務(wù)提供商����,而是來(lái)自最終用戶(hù)對這些服務(wù)的錯誤配置����。
以下探討用戶(hù)錯誤配置的普遍性��,以及用戶(hù)可以采取哪些措施來(lái)更好地保護他們運行的環(huán)境�。
云服務(wù)的安全事件
有關(guān)云服務(wù)安全事件的統計數據令人震驚����。根據調研機構在2021年對250多名IT專(zhuān)業(yè)人員的一項調查�����,超過(guò)一半的企業(yè)都經(jīng)歷過(guò)與云服務(wù)相關(guān)的安全事件���。而且這個(gè)統計結果可能低估了實(shí)際發(fā)生的安全事件數量����。
許多都是備受矚目的安全事件���,一些知名企業(yè)的聲譽(yù)和業(yè)務(wù)受到損害�����。例如��,亞洲規模最大的云計算提供商遭遇數據泄露事件��,導致與該公司購物平臺相關(guān)的超過(guò)11億條記錄對外泄露��。
美國的云計算提供商也有很多的數據泄露行為���。2021年初����,微軟Azure云服務(wù)的一次錯誤配置泄露了十幾家提交與微軟合作提案的公司的機密信息(其中包括源代碼)�����。
2020年底發(fā)生的另一起安全事件導致超過(guò)50萬(wàn)條記錄泄露����,其中包含高度敏感的個(gè)人信息����。雖然2021年的微軟Azure泄露事件是由于微軟公司自身的錯誤配置造成的��,但大多數漏洞是由于客戶(hù)的安全措施不足造成的�����。
例如最近涉及亞馬遜S3云服務(wù)的一次數據泄露事件�。為旅游業(yè)提供服務(wù)的Prestige Software公司錯誤地配置了其AmazonS3服務(wù)�,導致Booking.com�、Hotels.com和Expedia等熱門(mén)旅游網(wǎng)站的用戶(hù)累計十年的數據對外泄露���。
然而��,可能最廣為人知的一次數據泄露事件是2019年對亞馬遜AWS用戶(hù)CapitalOne公司的攻擊�����。此次事件導致1億多客戶(hù)的個(gè)人數據對外泄露����,其中包括高度敏感的信息����,例如社會(huì )安全號碼�����、信用卡號碼和信用評分���。那么其問(wèn)題的根源是什么?Capital One公司的防火墻配置錯誤����。
這些只是近年來(lái)發(fā)生的主要數據泄露事件中的冰山一角����。它們應該作為主要云計算提供商和云計算用戶(hù)的警示�����。雖然企業(yè)可以而且應該能夠依賴(lài)云計算提供商的安全措施���,但僅靠這一點(diǎn)是不夠的���。作為全面的內部網(wǎng)絡(luò )安全計劃的一部分��,企業(yè)必須正確配置其云計算環(huán)境����。
避免云服務(wù)的錯誤配置
防止錯誤配置需要在使用的所有階段進(jìn)行協(xié)調一致的努力����,從最初的簽署合同到持續的維護和更新���。以下是企業(yè)應采取的幾個(gè)步驟���,以最好地保護其云服務(wù)����。
云服務(wù)配置的問(wèn)題可能在實(shí)施過(guò)程中很早就出現��,其原因很簡(jiǎn)單�����,因為企業(yè)沒(méi)有充分理解他們的責任�����。云計算提供商和客戶(hù)之間的責任劃分通常取決于云計算提供商是IaaS還是SaaS提供商��。
知道誰(shuí)有什么責任
IaaS提供商(例如AWS��、谷歌云���、微軟Azure�����、阿里云等)通常具有共同責任模式�����。支付卡行業(yè)數據安全標準(PCI-DSS)是電子商務(wù)企業(yè)的主要數據安全協(xié)議之一���,該標準特別強調了云計算提供商和用戶(hù)在確保云平臺中PCI合規性和保護消費者金融數據方面的共同責任���。
IaaS客戶(hù)在使用這些服務(wù)時(shí)需要清楚地了解其責任的全部范圍�。第一步是讓所有相關(guān)IT和網(wǎng)絡(luò )安全人員了解服務(wù)協(xié)議��。了解云計算提供商為配置服務(wù)提供的工具和支持也很重要�。
相比之下����,SaaS提供商(例如Salesforce����、Workday����、Square)往往承擔大部分安全責任�����。盡管如此���,IT和網(wǎng)絡(luò )安全專(zhuān)業(yè)人員仍然應該審查服務(wù)許可協(xié)議�����,以確保企業(yè)滿(mǎn)足任何必要的安全要求�����。
了解常見(jiàn)的配置和安全問(wèn)題
在與云服務(wù)提供商達成協(xié)議之前����,企業(yè)應了解其可能面臨的主要安全問(wèn)題���。所有云服務(wù)提供商都提供大量文檔(例如 AWS安全文檔)����,其中大部分在互聯(lián)網(wǎng)上是公開(kāi)的�����,即使是那些不使用這些服務(wù)的企業(yè)也能看到�����,因此人們需要深入了解配置云服務(wù)的復雜性和潛在陷阱�。
此外�����,簡(jiǎn)單的互聯(lián)網(wǎng)搜索還可以幫助識別配置和使用云服務(wù)的挑戰�。除了在線(xiàn)文檔之外���,還可以訪(fǎng)問(wèn)云服務(wù)提供商提供贊助的技術(shù)支持論壇����,這些論壇專(zhuān)門(mén)討論任何給定云服務(wù)的特定問(wèn)題�����,并包含有關(guān)遇到的問(wèn)題和解決方案的有用信息�。
創(chuàng )建配置模板
IT行業(yè)中有一個(gè)格言���,那就是“如果它沒(méi)有壞�����,就不要修復它”�,這個(gè)格言適用于云計算配置����。一旦企業(yè)為現有的云服務(wù)創(chuàng )建有效且安全的配置����,它們就可以成為其他服務(wù)的模板.
這并不意味著(zhù)對于每個(gè)服務(wù)都可以簡(jiǎn)單地應用現有配置�。與其相反�,每項新服務(wù)都值得特別關(guān)注�����。但這確實(shí)意味著(zhù)企業(yè)可以通過(guò)從一些安全的設置開(kāi)始來(lái)簡(jiǎn)化配置過(guò)程�����。
但是�,企業(yè)從內部部署系統過(guò)渡到云服務(wù)時(shí)�����,需要注意采用的模板���。雖然可能存在相似之處����,但它們仍然運行在不同的運營(yíng)環(huán)境中���。Hosting Canada公司網(wǎng)絡(luò )開(kāi)發(fā)人員Gary Stevens表示��,由于這個(gè)原因����,云托管越來(lái)越受歡迎��。
Stevens說(shuō)�����,“云托管與虛擬專(zhuān)用服務(wù)器(vps)有一些相似之處�,但關(guān)鍵的區別在于虛擬專(zhuān)用服務(wù)器(vps)分布在大量計算機上��,而不是擁有其專(zhuān)用的物理地址�����。”
測試和更新
一旦企業(yè)擁有認為安全的配置�����,必須盡可能更頻繁和嚴格地對其進(jìn)行測試�����。測試可以發(fā)現以前可能從未考慮過(guò)的問(wèn)題�。如果可以進(jìn)行自動(dòng)化系統測試����,那就更好了����。
企業(yè)還需要更新其配置以反映云服務(wù)的使用或變化�。正如原有版本的軟件應用程序為黑客提供了訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò )和系統的攻擊機會(huì )一樣�,過(guò)時(shí)的配置也會(huì )產(chǎn)生不必要的漏洞�����。
結語(yǔ)
云計算應用將會(huì )繼續增加�,這有著(zhù)充分理由���。云計算技術(shù)為企業(yè)提供了更高的效率和更多的功能�����,可以幫助他們更好地運營(yíng)業(yè)務(wù)����。通過(guò)努力和關(guān)注����,企業(yè)可以確保他們對云服務(wù)的使用對自己及其客戶(hù)來(lái)說(shuō)都是一種安全的體驗��。
