毫無疑問，云計算可以改善安全性的某些方面。畢竟，云計算具有巨大的規模經濟，可為客戶提供專用的安全團隊和技術，而這對于絕大多數組織而言都是不可行的。當客戶沒有在云計算環境中正確配置和保護自己的工作負載和存儲桶時，就會發生壞消息。

 

以最近發生的CapitalOne公司數據泄露事件為例，在該事件中，黑客利用配置錯誤的云防火墻來訪問1億張信用卡客戶和申請人的數據，這是歷史上最大的一次泄露事件。有成千上萬種潛在的云配置錯誤，例如CapitalOne的錯誤配置。但是，與許多事情一樣，大多數錯誤配置錯誤都可以分為幾類。以下是云計算配置發生錯誤的五個最常見區域。

 

錯誤1：存儲訪問

 

在存儲桶方面，許多云計算用戶認為“經過身份驗證的用戶”僅涵蓋那些在其組織或相關應用程序中已通過身份驗證的用戶。不幸的是，情況并非如此。“經過身份驗證的用戶”是指具有AWS身份驗證的任何人，實際上是任何AWS客戶。由于這種誤解以及由此導致的控件設置錯誤配置，存儲對象最終可能完全暴露給公共訪問。設置存儲對象訪問權限時，需要特別小心，以確保只有組織內需要訪問權限的人員才能訪問它。

 

錯誤2：“秘密”管理

 

此配置錯誤可能特別損害組織。確保諸如密碼、API密鑰、管理憑據和加密密鑰之類的機密是至關重要的。人們已經看到它們在配置錯誤的云存儲桶、受感染的服務器、開放的GitHub存儲庫甚至HTML代碼中公開可用。這相當于將家門的鑰匙放在門前。

 

解決方案是維護企業在云中使用的所有機密的清單，并定期檢查以查看每個機密如何得到保護。否則，惡意行為者可以輕松訪問企業的所有數據。更糟糕的是，他們可以控制企業的云資源以造成無法彌補的損失。同樣重要的是使用秘密管理系統。AWS Secrets Manager、AWS Parameter Store、Azure Key Vault和Hashicorp Vault等服務是健壯且可擴展的秘密管理工具的一些示例。

 

錯誤3：禁用日志記錄和監視

 

令人驚訝的是，有多少組織沒有啟用、配置甚至檢查公共云提供的日志和遙測數據，在許多情況下，這些數據可能非常復雜。企業云團隊中的某個人應該負責定期查看此數據并標記與安全相關的事件。

 

這個建議并不局限于基礎設施即服務的公共云。存儲即服務供應商通常提供類似的信息，這同樣需要定期審查。更新公告或維護警報可能會對企業產生嚴重的安全影響，但如果沒有人注意，則對企業沒有任何好處。

 

錯誤4：對主機、容器和虛擬機的訪問權限過大

 

企業是否將數據中心中的物理或虛擬服務器直接連接到Internet，而無需使用過濾器或防火墻來保護它?當然不是。但是人們幾乎總是在云中完全做到這一點。人們最近看到的一些示例包括：

 

· 暴露在公共互聯網上的Kubernetes集群的ETCD(端口2379)

 

· 傳統端口和協議(例如在云主機上啟用的FTP)

 

· 已虛擬化并遷移到云中的物理服務器中的傳統端口和協議，如rsh、rexec和telnet。

 

確保保護重要的端口并禁用(或至少鎖定)云中的舊的、不安全的協議，就像在本地數據中心中一樣。

 

錯誤5：缺乏驗證

 

最終的云計算錯誤是一個元問題：人們經常看到組織無法創建和實施系統來識別錯誤配置，因為它們會發生。無論是內部資源還是外部審核員，都必須負責定期驗證服務和權限是否已正確配置和應用。設置時間表以確保這種情況像發條一樣發生，因為隨著環境的變化，錯誤是不可避免的。企業還需要建立嚴格的流程來定期審核云配置。否則，可能會冒著安全漏洞的風險，惡意行為者可以利用這些漏洞。

 

僅當云計算客戶忠實于其雙重責任模型時，云計算才有可能成為數據和工作負載的安全場所。牢記這些常見錯誤，并建立一個可以盡快發現這些錯誤的系統，可以確保企業在云中的數字資產將是安全的。