錯(cuò)誤配置仍然是云安全的最大威脅

錯(cuò)誤配置仍然是云安全的最大威脅

如今,幾乎每家企業(yè)都采用了云服務(wù)。云遷移的興起始于過(guò)去十年。在新冠疫情蔓延期間,遠(yuǎn)程工作爆炸式增長(zhǎng)擴(kuò)大了對(duì)面向業(yè)務(wù)的云服務(wù)的需求。對(duì)于以往只采用單一云服務(wù)的企業(yè),如今都轉(zhuǎn)向采用具有邊緣計(jì)算能力的多云和分布式環(huán)境。


云安全從一開(kāi)始就是一個(gè)問(wèn)題。雖然云服務(wù)提供商盡一切可能為他們的服務(wù)提供安全保護(hù)措施,但不幸的是,安全漏洞事件仍然經(jīng)常發(fā)生。然而對(duì)這些事件的深入研究表明,許多漏洞不是來(lái)自云服務(wù)提供商,而是來(lái)自最終用戶(hù)對(duì)這些服務(wù)的錯(cuò)誤配置。


以下探討用戶(hù)錯(cuò)誤配置的普遍性,以及用戶(hù)可以采取哪些措施來(lái)更好地保護(hù)他們運(yùn)行的云計(jì)算環(huán)境。


云服務(wù)的安全事件


有關(guān)云服務(wù)安全事件的統(tǒng)計(jì)數(shù)據(jù)令人震驚。根據(jù)調(diào)研機(jī)構(gòu)在2021年對(duì)250多名IT專(zhuān)業(yè)人員的一項(xiàng)調(diào)查,超過(guò)一半的企業(yè)都經(jīng)歷過(guò)與云服務(wù)相關(guān)的安全事件。而且這個(gè)統(tǒng)計(jì)結(jié)果可能低估了實(shí)際發(fā)生的安全事件數(shù)量


許多都是備受矚目的安全事件,一些知名企業(yè)的聲譽(yù)和業(yè)務(wù)受到損害。例如,亞洲規(guī)模最大的云計(jì)算提供商遭遇數(shù)據(jù)泄露事件,導(dǎo)致與該公司購(gòu)物平臺(tái)相關(guān)的超過(guò)11億條記錄對(duì)外泄露。


美國(guó)的云計(jì)算提供商也有很多的數(shù)據(jù)泄露行為。2021年初,微軟Azure云服務(wù)的一次錯(cuò)誤配置泄露了十幾家提交與微軟合作提案的公司的機(jī)密信息(其中包括源代碼)。


2020年底發(fā)生的另一起安全事件導(dǎo)致超過(guò)50萬(wàn)條記錄泄露,其中包含高度敏感的個(gè)人信息。雖然2021年的微軟Azure泄露事件是由于微軟公司自身的錯(cuò)誤配置造成的,但大多數(shù)漏洞是由于客戶(hù)的安全措施不足造成的。


例如最近涉及亞馬遜S3云服務(wù)的一次數(shù)據(jù)泄露事件。為旅游業(yè)提供服務(wù)的Prestige Software公司錯(cuò)誤地配置了其AmazonS3服務(wù),導(dǎo)致Booking.com、Hotels.com和Expedia等熱門(mén)旅游網(wǎng)站的用戶(hù)累計(jì)十年的數(shù)據(jù)對(duì)外泄露。


然而,可能最廣為人知的一次數(shù)據(jù)泄露事件是2019年對(duì)亞馬遜AWS用戶(hù)CapitalOne公司的攻擊。此次事件導(dǎo)致1億多客戶(hù)的個(gè)人數(shù)據(jù)對(duì)外泄露,其中包括高度敏感的信息,例如社會(huì)安全號(hào)碼、信用卡號(hào)碼和信用評(píng)分。那么其問(wèn)題的根源是什么?Capital One公司的防火墻配置錯(cuò)誤。


這些只是近年來(lái)發(fā)生的主要數(shù)據(jù)泄露事件中的冰山一角。它們應(yīng)該作為主要云計(jì)算提供商和云計(jì)算用戶(hù)的警示。雖然企業(yè)可以而且應(yīng)該能夠依賴(lài)云計(jì)算提供商的安全措施,但僅靠這一點(diǎn)是不夠的。作為全面的內(nèi)部網(wǎng)絡(luò)安全計(jì)劃的一部分,企業(yè)必須正確配置其云計(jì)算環(huán)境。

錯(cuò)誤配置仍然是云安全的最大威脅

避免云服務(wù)的錯(cuò)誤配置


防止錯(cuò)誤配置需要在使用的所有階段進(jìn)行協(xié)調(diào)一致的努力,從最初的簽署合同到持續(xù)的維護(hù)和更新。以下是企業(yè)應(yīng)采取的幾個(gè)步驟,以最好地保護(hù)其云服務(wù)。


云服務(wù)配置的問(wèn)題可能在實(shí)施過(guò)程中很早就出現(xiàn),其原因很簡(jiǎn)單,因?yàn)槠髽I(yè)沒(méi)有充分理解他們的責(zé)任。云計(jì)算提供商和客戶(hù)之間的責(zé)任劃分通常取決于云計(jì)算提供商是IaaS還是SaaS提供商。


知道誰(shuí)有什么責(zé)任


IaaS提供商(例如AWS、谷歌云、微軟Azure、阿里云等)通常具有共同責(zé)任模式。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)是電子商務(wù)企業(yè)的主要數(shù)據(jù)安全協(xié)議之一,該標(biāo)準(zhǔn)特別強(qiáng)調(diào)了云計(jì)算提供商和用戶(hù)在確保云平臺(tái)中PCI合規(guī)性和保護(hù)消費(fèi)者金融數(shù)據(jù)方面的共同責(zé)任。


IaaS客戶(hù)在使用這些服務(wù)時(shí)需要清楚地了解其責(zé)任的全部范圍。第一步是讓所有相關(guān)IT和網(wǎng)絡(luò)安全人員了解服務(wù)協(xié)議。了解云計(jì)算提供商為配置服務(wù)提供的工具和支持也很重要。


相比之下,SaaS提供商(例如Salesforce、Workday、Square)往往承擔(dān)大部分安全責(zé)任。盡管如此,IT和網(wǎng)絡(luò)安全專(zhuān)業(yè)人員仍然應(yīng)該審查服務(wù)許可協(xié)議,以確保企業(yè)滿(mǎn)足任何必要的安全要求。


了解常見(jiàn)的配置和安全問(wèn)題


在與云服務(wù)提供商達(dá)成協(xié)議之前,企業(yè)應(yīng)了解其可能面臨的主要安全問(wèn)題。所有云服務(wù)提供商都提供大量文檔(例如 AWS安全文檔),其中大部分在互聯(lián)網(wǎng)上是公開(kāi)的,即使是那些不使用這些服務(wù)的企業(yè)也能看到,因此人們需要深入了解配置云服務(wù)的復(fù)雜性和潛在陷阱。


此外,簡(jiǎn)單的互聯(lián)網(wǎng)搜索還可以幫助識(shí)別配置和使用云服務(wù)的挑戰(zhàn)。除了在線文檔之外,還可以訪問(wèn)云服務(wù)提供商提供贊助的技術(shù)支持論壇,這些論壇專(zhuān)門(mén)討論任何給定云服務(wù)的特定問(wèn)題,并包含有關(guān)遇到的問(wèn)題和解決方案的有用信息。


創(chuàng)建配置模板


IT行業(yè)中有一個(gè)格言,那就是“如果它沒(méi)有壞,就不要修復(fù)它”,這個(gè)格言適用于云計(jì)算配置。一旦企業(yè)為現(xiàn)有的云服務(wù)創(chuàng)建有效且安全的配置,它們就可以成為其他服務(wù)的模板.


這并不意味著對(duì)于每個(gè)服務(wù)都可以簡(jiǎn)單地應(yīng)用現(xiàn)有配置。與其相反,每項(xiàng)新服務(wù)都值得特別關(guān)注。但這確實(shí)意味著企業(yè)可以通過(guò)從一些安全的設(shè)置開(kāi)始來(lái)簡(jiǎn)化配置過(guò)程。


但是,企業(yè)從內(nèi)部部署系統(tǒng)過(guò)渡到云服務(wù)時(shí),需要注意采用的模板。雖然可能存在相似之處,但它們?nèi)匀贿\(yùn)行在不同的運(yùn)營(yíng)環(huán)境中。Hosting Canada公司網(wǎng)絡(luò)開(kāi)發(fā)人員Gary Stevens表示,由于這個(gè)原因,云托管越來(lái)越受歡迎。


Stevens說(shuō),“云托管與虛擬專(zhuān)用服務(wù)器(vps)有一些相似之處,但關(guān)鍵的區(qū)別在于虛擬專(zhuān)用服務(wù)器(vps)分布在大量計(jì)算機(jī)上,而不是擁有其專(zhuān)用的物理地址。”


測(cè)試和更新


一旦企業(yè)擁有認(rèn)為安全的配置,必須盡可能更頻繁和嚴(yán)格地對(duì)其進(jìn)行測(cè)試。測(cè)試可以發(fā)現(xiàn)以前可能從未考慮過(guò)的問(wèn)題。如果可以進(jìn)行自動(dòng)化系統(tǒng)測(cè)試,那就更好了。


企業(yè)還需要更新其配置以反映云服務(wù)的使用或變化。正如原有版本的軟件應(yīng)用程序為黑客提供了訪問(wèn)企業(yè)網(wǎng)絡(luò)和系統(tǒng)的攻擊機(jī)會(huì)一樣,過(guò)時(shí)的配置也會(huì)產(chǎn)生不必要的漏洞。


結(jié)語(yǔ)


云計(jì)算應(yīng)用將會(huì)繼續(xù)增加,這有著充分理由。云計(jì)算技術(shù)為企業(yè)提供了更高的效率和更多的功能,可以幫助他們更好地運(yùn)營(yíng)業(yè)務(wù)。通過(guò)努力和關(guān)注,企業(yè)可以確保他們對(duì)云服務(wù)的使用對(duì)自己及其客戶(hù)來(lái)說(shuō)都是一種安全的體驗(yàn)。