五個(gè)常見的云配置錯(cuò)誤
2019/10/14 9:36:14
保證數(shù)據(jù)在云中安全是企業(yè)與云計(jì)算供應(yīng)產(chǎn)商共同的責(zé)任。而云計(jì)算安全措施是云計(jì)算客戶必須采取的措施��。
毫無疑問�,云計(jì)算可以改善安全性的某些方面�����。畢竟����,云計(jì)算具有巨大的規(guī)模經(jīng)濟(jì),可為客戶提供專用的安全團(tuán)隊(duì)和技術(shù)��,而這對于絕大多數(shù)組織而言都是不可行的。當(dāng)客戶沒有在云計(jì)算環(huán)境中正確配置和保護(hù)自己的工作負(fù)載和存儲桶時(shí)�����,就會發(fā)生壞消息���。
以最近發(fā)生的CapitalOne公司數(shù)據(jù)泄露事件為例�����,在該事件中���,黑客利用配置錯(cuò)誤的云防火墻來訪問1億張信用卡客戶和申請人的數(shù)據(jù),這是歷史上最大的一次泄露事件��。有成千上萬種潛在的云配置錯(cuò)誤����,例如CapitalOne的錯(cuò)誤配置。但是����,與許多事情一樣����,大多數(shù)錯(cuò)誤配置錯(cuò)誤都可以分為幾類����。以下是云計(jì)算配置發(fā)生錯(cuò)誤的五個(gè)最常見區(qū)域�����。
錯(cuò)誤1:存儲訪問
在存儲桶方面����,許多云計(jì)算用戶認(rèn)為“經(jīng)過身份驗(yàn)證的用戶”僅涵蓋那些在其組織或相關(guān)應(yīng)用程序中已通過身份驗(yàn)證的用戶。不幸的是���,情況并非如此���。“經(jīng)過身份驗(yàn)證的用戶”是指具有AWS身份驗(yàn)證的任何人,實(shí)際上是任何AWS客戶�����。由于這種誤解以及由此導(dǎo)致的控件設(shè)置錯(cuò)誤配置���,存儲對象最終可能完全暴露給公共訪問����。設(shè)置存儲對象訪問權(quán)限時(shí),需要特別小心���,以確保只有組織內(nèi)需要訪問權(quán)限的人員才能訪問它�。
錯(cuò)誤2:“秘密”管理
此配置錯(cuò)誤可能特別損害組織�。確保諸如密碼、API密鑰��、管理憑據(jù)和加密密鑰之類的機(jī)密是至關(guān)重要的��。人們已經(jīng)看到它們在配置錯(cuò)誤的云存儲桶�����、受感染的服務(wù)器���、開放的GitHub存儲庫甚至HTML代碼中公開可用����。這相當(dāng)于將家門的鑰匙放在門前���。
解決方案是維護(hù)企業(yè)在云中使用的所有機(jī)密的清單���,并定期檢查以查看每個(gè)機(jī)密如何得到保護(hù)。否則���,惡意行為者可以輕松訪問企業(yè)的所有數(shù)據(jù)����。更糟糕的是����,他們可以控制企業(yè)的云資源以造成無法彌補(bǔ)的損失。同樣重要的是使用秘密管理系統(tǒng)���。AWS Secrets Manager��、AWS Parameter Store���、Azure Key Vault和Hashicorp Vault等服務(wù)是健壯且可擴(kuò)展的秘密管理工具的一些示例。
錯(cuò)誤3:禁用日志記錄和監(jiān)視
令人驚訝的是�,有多少組織沒有啟用、配置甚至檢查公共云提供的日志和遙測數(shù)據(jù)�����,在許多情況下,這些數(shù)據(jù)可能非常復(fù)雜���。企業(yè)云團(tuán)隊(duì)中的某個(gè)人應(yīng)該負(fù)責(zé)定期查看此數(shù)據(jù)并標(biāo)記與安全相關(guān)的事件���。
這個(gè)建議并不局限于基礎(chǔ)設(shè)施即服務(wù)的公共云。存儲即服務(wù)供應(yīng)商通常提供類似的信息�����,這同樣需要定期審查���。更新公告或維護(hù)警報(bào)可能會對企業(yè)產(chǎn)生嚴(yán)重的安全影響��,但如果沒有人注意��,則對企業(yè)沒有任何好處��。
錯(cuò)誤4:對主機(jī)���、容器和虛擬機(jī)的訪問權(quán)限過大
企業(yè)是否將數(shù)據(jù)中心中的物理或虛擬服務(wù)器直接連接到Internet,而無需使用過濾器或防火墻來保護(hù)它�����?當(dāng)然不是。但是人們幾乎總是在云中完全做到這一點(diǎn)����。人們最近看到的一些示例包括:
•暴露在公共互聯(lián)網(wǎng)上的Kubernetes集群的ETCD(端口2379)
•傳統(tǒng)端口和協(xié)議(例如在云主機(jī)上啟用的FTP)
•已虛擬化并遷移到云中的物理服務(wù)器中的傳統(tǒng)端口和協(xié)議�����,如rsh�、rexec和telnet。
確保保護(hù)重要的端口并禁用(或至少鎖定)云中的舊的��、不安全的協(xié)議�,就像在本地?cái)?shù)據(jù)中心中一樣。
錯(cuò)誤5:缺乏驗(yàn)證
最終的云計(jì)算錯(cuò)誤是一個(gè)元問題:人們經(jīng)?���?吹浇M織無法創(chuàng)建和實(shí)施系統(tǒng)來識別錯(cuò)誤配置,因?yàn)樗鼈儠l(fā)生��。無論是內(nèi)部資源還是外部審核員����,都必須負(fù)責(zé)定期驗(yàn)證服務(wù)和權(quán)限是否已正確配置和應(yīng)用��。設(shè)置時(shí)間表以確保這種情況像發(fā)條一樣發(fā)生���,因?yàn)殡S著環(huán)境的變化,錯(cuò)誤是不可避免的�����。企業(yè)還需要建立嚴(yán)格的流
下一頁
返回列表
返回首頁
©2025 智能硬件世界----智能硬件產(chǎn)業(yè)門戶網(wǎng)站 電腦版
Powered by iwms
镇平县|
海伦市|
保康县|
惠安县|
隆德县|
长顺县|
藁城市|
南乐县|
葵青区|
长泰县|
泸水县|
石柱|
芜湖市|
西林县|
临夏县|
板桥市|
涡阳县|
成武县|
宣城市|
丽水市|
定安县|
麦盖提县|
绥棱县|
方正县|
惠来县|
万荣县|
沙坪坝区|
台湾省|
乐亭县|
河北区|
鄂伦春自治旗|
芜湖县|
岳西县|
高安市|
井冈山市|
大安市|
如皋市|
元氏县|
巴林右旗|
乡宁县|
定边县|