云計(jì)算如今已經(jīng)成為一個(gè)擁有眾多子行業(yè)的廣闊市場,但是當(dāng)客戶沒有在云計(jì)算環(huán)境中正確配置和保護(hù)自己的工作負(fù)載和存儲(chǔ)桶時(shí),就會(huì)產(chǎn)生巨大的安全隱患。現(xiàn)在小編為大家介紹一下云計(jì)算配置容易發(fā)生錯(cuò)誤的五個(gè)常見誤區(qū)及解決方案,希望能對(duì)大家有所幫助。
錯(cuò)誤一:存儲(chǔ)訪問
在存儲(chǔ)桶方面,許多云計(jì)算用戶認(rèn)為“經(jīng)過身份驗(yàn)證的用戶”僅涵蓋那些在其組織或相關(guān)應(yīng)用程序中已通過身份驗(yàn)證的用戶。不幸的是,情況并非如此。“經(jīng)過身份驗(yàn)證的用戶”是指具有AWS身份驗(yàn)證的任何人,實(shí)際上是任何AWS客戶。由于這種誤解以及由此導(dǎo)致的控件設(shè)置錯(cuò)誤配置,存儲(chǔ)對(duì)象最終可能完全暴露給公共訪問。設(shè)置存儲(chǔ)對(duì)象訪問權(quán)限時(shí),需要特別小心,以確保只有組織內(nèi)需要訪問權(quán)限的人員才能訪問它。
錯(cuò)誤二:“秘密”管理
此配置錯(cuò)誤可能特別損害組織。確保諸如密碼、API密鑰、管理憑據(jù)和加密密鑰之類的機(jī)密是至關(guān)重要的。人們已經(jīng)看到它們?cè)谂渲缅e(cuò)誤的云存儲(chǔ)桶、受感染的服務(wù)器、開放的GitHub存儲(chǔ)庫甚至html代碼中公開可用。這相當(dāng)于將家門的鑰匙放在門前。
解決方案是維護(hù)企業(yè)在云中使用的所有機(jī)密的清單,并定期檢查以查看每個(gè)機(jī)密如何得到保護(hù)。否則,惡意行為者可以輕松訪問企業(yè)的所有數(shù)據(jù)。更糟糕的是,他們可以控制企業(yè)的云資源以造成無法彌補(bǔ)的損失。同樣重要的是使用秘密管理系統(tǒng)。AWS Secrets Manager、AWS Parameter Store、Azure Key Vault和Hashicorp Vault等服務(wù)是健壯且可擴(kuò)展的秘密管理工具的一些示例。
錯(cuò)誤三:禁用日志記錄和監(jiān)視
令人驚訝的是,有多少組織沒有啟用、配置甚至檢查公共云提供的日志和遙測數(shù)據(jù),在許多情況下,這些數(shù)據(jù)可能非常復(fù)雜。企業(yè)云團(tuán)隊(duì)中的某個(gè)人應(yīng)該負(fù)責(zé)定期查看此數(shù)據(jù)并標(biāo)記與安全相關(guān)的事件。這個(gè)建議并不局限于基礎(chǔ)設(shè)施即服務(wù)的公共云。存儲(chǔ)即服務(wù)供應(yīng)商通常提供類似的信息,這同樣需要定期審查。
錯(cuò)誤四:對(duì)主機(jī)、容器和虛擬機(jī)的訪問權(quán)限過大
要注意的是,企業(yè)除了將數(shù)據(jù)中心中的物理或虛擬服務(wù)器直接連接到Internet,還需要使用過濾器或防火墻來保護(hù)它。對(duì)此需要注意的有:
•暴露在公共互聯(lián)網(wǎng)上的Kubernetes集群的ETCD(端口2379)
•傳統(tǒng)端口和協(xié)議(例如在云主機(jī)上啟用的FTP)
•已虛擬化并遷移到云中的物理服務(wù)器中的傳統(tǒng)端口和協(xié)議,如rsh、rexec和telnet。
確保保護(hù)重要的端口并禁用(或至少鎖定)云中的舊的、不安全的協(xié)議,就像在本地?cái)?shù)據(jù)中心中一樣。
錯(cuò)誤五:缺乏驗(yàn)證
最終的云計(jì)算錯(cuò)誤是一個(gè)元問題:人們經(jīng)常無法創(chuàng)建和實(shí)施系統(tǒng)來識(shí)別錯(cuò)誤配置。因此無論是內(nèi)部資源還是外部審核員,都必須負(fù)責(zé)定期驗(yàn)證服務(wù)和權(quán)限是否已正確配置和應(yīng)用。設(shè)置時(shí)間表以確保這種情況像發(fā)條一樣發(fā)生,因?yàn)殡S著環(huán)境的變化,錯(cuò)誤是不可避免的。企業(yè)還需要建立嚴(yán)格的流程來定期審核云配置。否則,可能會(huì)冒著安全漏洞的風(fēng)險(xiǎn),惡意行為者可以利用這些漏洞。
要想讓云計(jì)算成為數(shù)據(jù)和工作負(fù)載的安全場所,最好牢記這些云配置的常見錯(cuò)誤,并建立一個(gè)能夠盡快發(fā)現(xiàn)這些錯(cuò)誤的系統(tǒng),確保企業(yè)在云中的數(shù)字資產(chǎn)安全。
