精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:云計(jì)算行業(yè)動(dòng)態(tài) → 正文

基礎(chǔ)設(shè)施即代碼模板是許多云計(jì)算基礎(chǔ)設(shè)施弱點(diǎn)的根源

責(zé)任編輯:cres 作者:Lucian Constantin |來源:企業(yè)網(wǎng)D1Net  2020-02-24 11:00:06 原創(chuàng)文章 企業(yè)網(wǎng)D1Net

一份最新的調(diào)查報(bào)告表明,在云計(jì)算部署中,基礎(chǔ)設(shè)施即代碼(IaC)模板配置錯(cuò)誤的比例很高,這使它們?nèi)菀资艿焦簟?/strong>
 
在云計(jì)算時(shí)代,需要快速擴(kuò)展或部署基礎(chǔ)設(shè)施以滿足不斷變化的組織需求,新服務(wù)器和節(jié)點(diǎn)的配置是完全自動(dòng)化的。這是使用機(jī)器可讀的定義文件或模板完成的,這是基礎(chǔ)設(shè)施即代碼(IaC)或連續(xù)配置自動(dòng)化(CCA)的過程的一部分。
 
Palo Alto Networks公司的研究人員對從GitHub存儲庫和其他地方收集的基礎(chǔ)設(shè)施即代碼(IaC)模板進(jìn)行了一項(xiàng)新的分析,確定了近20萬個(gè)包含不安全配置選項(xiàng)的此類文件。使用這些模板可能會導(dǎo)致嚴(yán)重的漏洞,從而使基礎(chǔ)設(shè)施即代碼(IaC)部署的云計(jì)算基礎(chǔ)設(shè)施及其保存的數(shù)據(jù)面臨風(fēng)險(xiǎn)。
 
研究人員說:“就像人們忘記鎖車或打開窗戶一樣,網(wǎng)絡(luò)攻擊者可以使用這些錯(cuò)誤的配置來避開防御措施。如此高的數(shù)字解釋了在以往的調(diào)查報(bào)告中發(fā)現(xiàn)65%的云計(jì)算安全事件是由于客戶配置錯(cuò)誤引起的。從一開始就沒有安全的基礎(chǔ)設(shè)施即代碼(IaC)模板,云計(jì)算環(huán)境就容易受到攻擊。”
 
廣泛的IaC問題
 
基礎(chǔ)設(shè)施即代碼(IaC)的框架和技術(shù)有多種,最常見的基于Palo Alto公司的收集工作是Kubernetes YAML(39%)、HashiCorp的Terraform(37%)和AWS CloudFormation(24%)。其中,42%的已識別CloudFormation模板、22%的Terraform模板和9%的Kubernetes YAML配置文件存在漏洞。
 
Palo Alto Networks公司的分析表明,使用AWS CloudFormation模板的基礎(chǔ)設(shè)施部署中有一半的配置是不安全的。調(diào)查報(bào)告進(jìn)一步按受到影響的AWS公司的云計(jì)算服務(wù)的類型進(jìn)行了分類:Amazon彈性計(jì)算云(Amazon EC2)、Amazon關(guān)系數(shù)據(jù)庫服務(wù)(RDS)、Amazon簡單存儲服務(wù)(Amazon S3)或Amazon彈性容器服務(wù)(Amazon ECS)。
 
例如,模板中定義的S3存儲桶的10%以上是公開的。過去,安全性不高的S3存儲桶是許多調(diào)查報(bào)告中的數(shù)據(jù)泄露的根源。
 
缺少數(shù)據(jù)庫加密和日志記錄對于保護(hù)數(shù)據(jù)和調(diào)查潛在的未經(jīng)授權(quán)的訪問非常重要,這也是CloudFormation模板中常見的問題。其中一半不啟用S3日志記錄,另一半不啟用S3服務(wù)器端加密。
 
亞馬遜公司的Redshift數(shù)據(jù)倉庫服務(wù)也觀察到了類似情況。11%的配置文件生成了公開的Redshift實(shí)例,43%的用戶未啟用加密,45%的用戶未打開日志記錄。
 
支持多種云計(jì)算提供商和技術(shù)的Terraform模板并沒有表現(xiàn)得更好。默認(rèn)情況下,大約有66%的Terraform配置的S3存儲桶未啟用日志記錄,26%的AWS EC2實(shí)例已將SSH(端口22)對外公開,并且有17%的模板定義的AWS安全組默認(rèn)允許所有入站流量。
 
Terraform模板中發(fā)現(xiàn)的其他常見錯(cuò)誤配置包括:
 
•AWS身份和訪問管理(IAM)密碼不符合行業(yè)最低標(biāo)準(zhǔn)(40%);
 
•沒有CPU或內(nèi)存資源限制的容器(64%);
 
•具有公開的SSH的Azure網(wǎng)絡(luò)安全組(NSG)(51%);
 
•未啟用日志記錄的谷歌云平臺存儲(58%);
 
•未啟用安全傳輸?shù)腁zure存儲(97%)。
 
Kubernetes YAML文件中不安全配置的發(fā)生率最小,但確實(shí)如此。在發(fā)現(xiàn)的不安全的YAML文件中,有26%的Kubernetes配置以root用戶或特權(quán)帳戶運(yùn)行。
 
Palo Alto Networks公司研究人員說:“以容器為根目標(biāo)的配置為網(wǎng)絡(luò)攻擊者提供了擁有該容器幾乎所有方面的機(jī)會。這也使執(zhí)行攻擊容器的過程更加容易,從而使主機(jī)系統(tǒng)面臨其他潛在威脅。安全和DevOps團(tuán)隊(duì)?wèi)?yīng)確保容器不使用root用戶或特權(quán)帳戶運(yùn)行。”
 
IaC配置錯(cuò)誤反映在實(shí)際部署中
 
基礎(chǔ)設(shè)施即代碼(IaC)模板配置錯(cuò)誤的類型及其普遍性(缺少數(shù)據(jù)庫加密和日志記錄或公開暴露的服務(wù))與Palo Alto Networks公司在過去的調(diào)查報(bào)告中涵蓋并在實(shí)際的云計(jì)算基礎(chǔ)設(shè)施部署中檢測到的問題類型一致:
 
•76%的組織允許公共訪問端口22(SSH);
 
•69%的組織允許公共訪問端口3389(RDP);
 
•64%的人員無法為其數(shù)據(jù)存儲啟用日志記錄;
 
•62%的用戶未對數(shù)據(jù)存儲啟用加密;
 
•47%的組織未將跟蹤功能用于無服務(wù)器功能。
 
這表明在自動(dòng)化基礎(chǔ)設(shè)施部署過程中使用基礎(chǔ)設(shè)施即代碼(IaC)模板而不首先檢查它們是否存在不安全的配置或其他漏洞,這是導(dǎo)致在觀察到云計(jì)算弱點(diǎn)的一個(gè)重要因素。
 
網(wǎng)絡(luò)犯罪組織經(jīng)常將云計(jì)算基礎(chǔ)設(shè)施作為攻擊目標(biāo),以部署利用受害者所支付的處理能力的加密惡意軟件。但是,一些組織中也正在冒險(xiǎn)進(jìn)行加密以外的活動(dòng),并將被黑客入侵的云計(jì)算節(jié)點(diǎn)用于其他惡意目的。
 
Palo Alto Networks公司的研究人員說,“很明顯,網(wǎng)絡(luò)攻擊者正在使用由較弱或不安全的基礎(chǔ)設(shè)施即代碼(IaC)配置模板實(shí)現(xiàn)的默認(rèn)配置錯(cuò)誤,將會繞過防火墻、安全組或VPC策略,并不必要地將組織的云計(jì)算環(huán)境暴露給網(wǎng)絡(luò)攻擊者。左移安全性是將安全性移至開發(fā)過程中的最早點(diǎn)。在云計(jì)算部署中始終如一地實(shí)施左移實(shí)踐和過程的組織可以迅速超越競爭對手。與DevOps團(tuán)隊(duì)合作,將其安全標(biāo)準(zhǔn)嵌入基礎(chǔ)設(shè)施即代碼(IaC)模板中。這對DevOps和安全來說是雙贏的措施。”
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

關(guān)鍵字:云計(jì)算

原創(chuàng)文章 企業(yè)網(wǎng)D1Net

x 基礎(chǔ)設(shè)施即代碼模板是許多云計(jì)算基礎(chǔ)設(shè)施弱點(diǎn)的根源 掃一掃
分享本文到朋友圈
當(dāng)前位置:云計(jì)算行業(yè)動(dòng)態(tài) → 正文

基礎(chǔ)設(shè)施即代碼模板是許多云計(jì)算基礎(chǔ)設(shè)施弱點(diǎn)的根源

責(zé)任編輯:cres 作者:Lucian Constantin |來源:企業(yè)網(wǎng)D1Net  2020-02-24 11:00:06 原創(chuàng)文章 企業(yè)網(wǎng)D1Net

一份最新的調(diào)查報(bào)告表明,在云計(jì)算部署中,基礎(chǔ)設(shè)施即代碼(IaC)模板配置錯(cuò)誤的比例很高,這使它們?nèi)菀资艿焦簟?/strong>
 
在云計(jì)算時(shí)代,需要快速擴(kuò)展或部署基礎(chǔ)設(shè)施以滿足不斷變化的組織需求,新服務(wù)器和節(jié)點(diǎn)的配置是完全自動(dòng)化的。這是使用機(jī)器可讀的定義文件或模板完成的,這是基礎(chǔ)設(shè)施即代碼(IaC)或連續(xù)配置自動(dòng)化(CCA)的過程的一部分。
 
Palo Alto Networks公司的研究人員對從GitHub存儲庫和其他地方收集的基礎(chǔ)設(shè)施即代碼(IaC)模板進(jìn)行了一項(xiàng)新的分析,確定了近20萬個(gè)包含不安全配置選項(xiàng)的此類文件。使用這些模板可能會導(dǎo)致嚴(yán)重的漏洞,從而使基礎(chǔ)設(shè)施即代碼(IaC)部署的云計(jì)算基礎(chǔ)設(shè)施及其保存的數(shù)據(jù)面臨風(fēng)險(xiǎn)。
 
研究人員說:“就像人們忘記鎖車或打開窗戶一樣,網(wǎng)絡(luò)攻擊者可以使用這些錯(cuò)誤的配置來避開防御措施。如此高的數(shù)字解釋了在以往的調(diào)查報(bào)告中發(fā)現(xiàn)65%的云計(jì)算安全事件是由于客戶配置錯(cuò)誤引起的。從一開始就沒有安全的基礎(chǔ)設(shè)施即代碼(IaC)模板,云計(jì)算環(huán)境就容易受到攻擊。”
 
廣泛的IaC問題
 
基礎(chǔ)設(shè)施即代碼(IaC)的框架和技術(shù)有多種,最常見的基于Palo Alto公司的收集工作是Kubernetes YAML(39%)、HashiCorp的Terraform(37%)和AWS CloudFormation(24%)。其中,42%的已識別CloudFormation模板、22%的Terraform模板和9%的Kubernetes YAML配置文件存在漏洞。
 
Palo Alto Networks公司的分析表明,使用AWS CloudFormation模板的基礎(chǔ)設(shè)施部署中有一半的配置是不安全的。調(diào)查報(bào)告進(jìn)一步按受到影響的AWS公司的云計(jì)算服務(wù)的類型進(jìn)行了分類:Amazon彈性計(jì)算云(Amazon EC2)、Amazon關(guān)系數(shù)據(jù)庫服務(wù)(RDS)、Amazon簡單存儲服務(wù)(Amazon S3)或Amazon彈性容器服務(wù)(Amazon ECS)。
 
例如,模板中定義的S3存儲桶的10%以上是公開的。過去,安全性不高的S3存儲桶是許多調(diào)查報(bào)告中的數(shù)據(jù)泄露的根源。
 
缺少數(shù)據(jù)庫加密和日志記錄對于保護(hù)數(shù)據(jù)和調(diào)查潛在的未經(jīng)授權(quán)的訪問非常重要,這也是CloudFormation模板中常見的問題。其中一半不啟用S3日志記錄,另一半不啟用S3服務(wù)器端加密。
 
亞馬遜公司的Redshift數(shù)據(jù)倉庫服務(wù)也觀察到了類似情況。11%的配置文件生成了公開的Redshift實(shí)例,43%的用戶未啟用加密,45%的用戶未打開日志記錄。
 
支持多種云計(jì)算提供商和技術(shù)的Terraform模板并沒有表現(xiàn)得更好。默認(rèn)情況下,大約有66%的Terraform配置的S3存儲桶未啟用日志記錄,26%的AWS EC2實(shí)例已將SSH(端口22)對外公開,并且有17%的模板定義的AWS安全組默認(rèn)允許所有入站流量。
 
Terraform模板中發(fā)現(xiàn)的其他常見錯(cuò)誤配置包括:
 
•AWS身份和訪問管理(IAM)密碼不符合行業(yè)最低標(biāo)準(zhǔn)(40%);
 
•沒有CPU或內(nèi)存資源限制的容器(64%);
 
•具有公開的SSH的Azure網(wǎng)絡(luò)安全組(NSG)(51%);
 
•未啟用日志記錄的谷歌云平臺存儲(58%);
 
•未啟用安全傳輸?shù)腁zure存儲(97%)。
 
Kubernetes YAML文件中不安全配置的發(fā)生率最小,但確實(shí)如此。在發(fā)現(xiàn)的不安全的YAML文件中,有26%的Kubernetes配置以root用戶或特權(quán)帳戶運(yùn)行。
 
Palo Alto Networks公司研究人員說:“以容器為根目標(biāo)的配置為網(wǎng)絡(luò)攻擊者提供了擁有該容器幾乎所有方面的機(jī)會。這也使執(zhí)行攻擊容器的過程更加容易,從而使主機(jī)系統(tǒng)面臨其他潛在威脅。安全和DevOps團(tuán)隊(duì)?wèi)?yīng)確保容器不使用root用戶或特權(quán)帳戶運(yùn)行。”
 
IaC配置錯(cuò)誤反映在實(shí)際部署中
 
基礎(chǔ)設(shè)施即代碼(IaC)模板配置錯(cuò)誤的類型及其普遍性(缺少數(shù)據(jù)庫加密和日志記錄或公開暴露的服務(wù))與Palo Alto Networks公司在過去的調(diào)查報(bào)告中涵蓋并在實(shí)際的云計(jì)算基礎(chǔ)設(shè)施部署中檢測到的問題類型一致:
 
•76%的組織允許公共訪問端口22(SSH);
 
•69%的組織允許公共訪問端口3389(RDP);
 
•64%的人員無法為其數(shù)據(jù)存儲啟用日志記錄;
 
•62%的用戶未對數(shù)據(jù)存儲啟用加密;
 
•47%的組織未將跟蹤功能用于無服務(wù)器功能。
 
這表明在自動(dòng)化基礎(chǔ)設(shè)施部署過程中使用基礎(chǔ)設(shè)施即代碼(IaC)模板而不首先檢查它們是否存在不安全的配置或其他漏洞,這是導(dǎo)致在觀察到云計(jì)算弱點(diǎn)的一個(gè)重要因素。
 
網(wǎng)絡(luò)犯罪組織經(jīng)常將云計(jì)算基礎(chǔ)設(shè)施作為攻擊目標(biāo),以部署利用受害者所支付的處理能力的加密惡意軟件。但是,一些組織中也正在冒險(xiǎn)進(jìn)行加密以外的活動(dòng),并將被黑客入侵的云計(jì)算節(jié)點(diǎn)用于其他惡意目的。
 
Palo Alto Networks公司的研究人員說,“很明顯,網(wǎng)絡(luò)攻擊者正在使用由較弱或不安全的基礎(chǔ)設(shè)施即代碼(IaC)配置模板實(shí)現(xiàn)的默認(rèn)配置錯(cuò)誤,將會繞過防火墻、安全組或VPC策略,并不必要地將組織的云計(jì)算環(huán)境暴露給網(wǎng)絡(luò)攻擊者。左移安全性是將安全性移至開發(fā)過程中的最早點(diǎn)。在云計(jì)算部署中始終如一地實(shí)施左移實(shí)踐和過程的組織可以迅速超越競爭對手。與DevOps團(tuán)隊(duì)合作,將其安全標(biāo)準(zhǔn)嵌入基礎(chǔ)設(shè)施即代碼(IaC)模板中。這對DevOps和安全來說是雙贏的措施。”
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

關(guān)鍵字:云計(jì)算

原創(chuàng)文章 企業(yè)網(wǎng)D1Net

電子周刊
^
  • <menuitem id="jw4sk"></menuitem>

            1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
              主站蜘蛛池模板: 颍上县| 恩平市| 石棉县| 建始县| 樟树市| 赤城县| 南京市| 安溪县| 靖安县| 卫辉市| 长治市| 芒康县| 望江县| 道孚县| 颍上县| 徐闻县| 柞水县| 承德市| 许昌县| 丹江口市| 青铜峡市| 固阳县| 嘉定区| 凌海市| 秦皇岛市| 二连浩特市| 弥勒县| 荃湾区| 楚雄市| 阿坝县| 通海县| 青岛市| 石家庄市| 和田县| 彰武县| 连州市| 策勒县| 泸西县| 兴仁县| 兴安县| 商南县|