FCon7折倒计时最后一周:日程已上线70%!查看详情>>> 了解详情
写点什么

5 种常见的云环境配置错误和对策

  • 2019-09-19
  • 本文字数:1990 字

    阅读完需:约 7 分钟

5种常见的云环境配置错误和对策

云计算出现以来,很多企业借助云计算实现了更好发展。但要注意的是,很多企业在云计算配置上存在错误,这可能会导致一些风险。据调查显示,大多数企业都容易受到云计算配置错误(包括数据泄露和系统停机事件)导致的安全事件的影响,云配置错误意味着公有云服务器实例(例如存储和计算)的配置方式使其容易受到攻击。Peter Smith 为我们总结了五种常见的云配置错误并给出了相应的解决方案。



保证云中数据的安全是我们的共同责任。本文列出了云客户必须做的事情,以让他们能够坚守承诺。


毫无疑问,云计算可以提高安全性的某些方面。毕竟,它有着巨大的规模经济,可以为客户提供专门的安全团队和技术,而这些是绝大多数组织所不具备的。这不啻为一个好消息。但当客户在云环境中没有正确配置和保护自己的工作负载和存储桶时,就会发生坏消息。


想一想最近发生的 Capital One 数据泄露事件吧,骇客利用错误配置的云防火墙,窃取了多达 1 亿信用卡客户和申请人的数据,这是历史上最大的数据泄露事件之一。有成千上万潜在云配置的错误,比如导致 Capital One 公司倒闭的那个差错。但是,与许多事情一样,大多数错误配置都可以归为几个不同类别。以下是发生云错误配置攻击的五个最常见类别。

错误 1:存储访问

当谈到存储桶时,许多云用户认为,“经过身份验证的用户”只包含那些在其组织或相关应用程序内已经经过身份验证的用户。


然而不幸的是,情况并非如此,“经过身份验证的用户”指的是拥有 Amazon Web Services(AWS)认证的人,也就是说,实际上是任何 AWS 用户。


由于这种误解,以及由此导致的控件设置的错误配置,存储对象最终可能完全暴露给公众访问。在设置存储对象访问权限时,要特别小心,确保只有组织内部需要访问权限的人才能访问。

错误 2:“密码”管理

这种配置错误对组织造成的损害尤其严重。


确保密码、API 密钥、管理凭据和加密密钥等是至关重要的。我见过它们在配置糟糕的云存储桶、受攻击的服务器、开放的 GitHub 存储库中公开可用,甚至在 HTML 代码中也是如此。这就像,把你家大门钥匙用胶布贴在大门上。


解决方案是维护你在云计算中使用的所有密码清单,并定期检查每个密码是如何保护的。否则,骇客可以轻松地访问到你所有的数据。


更糟的是,他们可能还会控制你的云资源,造成无法挽回的损失。同样重要的是使用密码管理系统的使用。像 AWS Secrets ManagerAWS Parameter StoreAzure Key VaultHashicorp Vault 这样的服务就是一些健壮的、可扩展的密码管理工具的例子。

错误 3:禁用日志记录和监控

令人惊讶的是,许多组织没有启用、配置甚至也不审查公有云提供的日志和数据,而这些数据在许多情况下可能非常复杂。企业云团队中应该有专人专门负责定期检查这些数据,并标记与安全相关的事件。


这一建议并不仅局限于基础设施即服务(infrastructure-as-a-service,IaaS)的公有云。存储即服务(Storage-as-a-service,SaaS)供应商经常会提供类似的信息,这同样也需定期审查。更新公告或维护警报可能会对组织产生严重的安全影响,但如果没有人注意到,那么它对你就没有任何好处。

错误 4:主机、容器和虚拟机的访问权限过于宽松

你是否会将数据中心的物理或虚拟机服务器直接连接到互联网,而不使用网络过滤器或防火墙来保护?你当然不会这么做。但在现实中,人们在云环境中几乎就是一直这样做的。我们最近看到了一些例子,如下:


  • 用于向公共互联网公开的 Kubernetes 集群的 Etcd(端口 2379)

  • 在云主机上启用的传统端口和协议,如 FTP

  • 已虚拟化并迁移到云端的物理服务器中的传统端口和协议,如 rsh、rexec 和 telnet


务必要确保重要端口的安全,并禁用(或至少锁定)云端中较旧的、不安全的协议,就像在本地数据中心所做的那样。

错误 5:缺乏验证

最后一个云配置错误是一个元问题:我们经常看到,在错误配置发生时,组织却无法创建和识别错误配置的系统。无论是内部资源还是外部审计人员,必须有专人负责定期检查服务和权限的配置与应用是否正确无误。


制定一张时间表,确保这一切措施定时进行,因为随着环境的变化,错误是不可避免。另外,还需要建立一个严格的流程来定期审核云配置。否则,你可能会留下安全漏洞,而骇客则可以利用这些漏洞进行入侵、破坏。


云计算有潜力成为数据和工作负载的安全场所,但前提是云客户必须遵守其双重责任模式。通过牢记这些常见的云配置错误,并构建一个系统来及时发现这些错误,你就可以确保云端中的数字资产是安全的。


作者介绍:


Peter Smith,Edgewise Networks 创始人兼首席执行官。Peter 将安全从业者的视角带到 Edgewise,他拥有超过十年的专业经验,为哈佛大学、Endeca Technologies(Oracle)、American Express、Fidelity UK、Bank of America 和 Nike 担任数据中心和客户托管环境的基础架构和安全架构师。最近,Peter 加入了 Infinio System 的创始团队,负责产品和技术战略。


原文链接:


Five Common Cloud Configuration Mistakes


2019-09-19 14:051330
用户头像

发布了 363 篇内容, 共 161.5 次阅读, 收获喜欢 929 次。

关注

评论

发布
暂无评论
发现更多内容

给自己的新年指南

boshi

七日更 新年

【LeetCode】数据流中的第 K 大元素Java题解

Albert

算法 LeetCode 2月春节不断更

产品经理训练营第四次作业

庞玉坤

【STM32】1.44寸TFT液晶屏显示字符、汉字和图片

AXYZdong

硬件 stm32 2月春节不断更

香,聊聊TiDB的分布式事务模型

君哥聊技术

分布式数据库 TiDB Percolator

香烟缭绕的岁末

ITCamel

日记 2021年2月11日(周四)

Changing Lin

2月春节不断更

程序员成长第七篇:面试中需要注意的事项

石云升

面试 招聘 2月春节不断更

倒排索引 Inverted Indexes

escray

elastic 七日更 死磕Elasticsearch 60天通过Elastic认证考试 2月春节不断更

牛年到 春节快乐

小马哥

2021年展望

机器学习·笔记之:

Nydia

前端冲刺必备指南-执行上下文/作用域链/闭包/一等公民

我是哪吒

面试 大前端 编程语言 2月春节不断更 二月春节不断更

LeetCode题解:297. 二叉树的序列化与反序列化,BFS,JavaScript,详细注释

Lee Chen

算法 大前端 LeetCode

第四次作业及总结

青葵

学习

从文字中找回年味儿

熊斌

2月春节不断更

产品经理训练营第四周作业

产品经理训练营

6. Python 元组,不可变的列表,滚雪球学 Python

梦想橡皮擦

Python 2月春节不断更 python入门

CNCF 2021年展望:外围有亮点,核心还有硬仗

杨明越

前端冲刺必备指南-HTTP/HTTPS/HTTP2/DNS/TCP/经典题

我是哪吒

学习 程序员 面试 大前端 2月春节不断更

过节 劝你少喝酒(一)

三号无名指

产品经理训练营 Week4 作业(待完善)

Mai

产品经理训练营-第四周作业

羽室

Java反射--2021面试题系列教程(附答案解析)--大白话解读--JavaPub版本

JavaPub

Java 面试 反射 java反射 javapub

机器学习·笔记之:inverse and transpose

Nydia

鼠年最后一天

IT蜗壳-Tango

七日更 2月春节不断更

一个人的春节,也要过得开心

程序员架构进阶

个人感悟 七日更 2月春节不断更

程序员成长第六篇:如何选择公司?

石云升

职业发展 2月春节不断更 选择公司

产品训练营-第四次作业

Geek_娴子

Electron 多进程方案

将儒

Electron 多进程

业务中台建设 - C端用户中心

孝鹏

中台架构 用户

编写优雅Javascript代码的最佳实践

devpoint

js 纯函数

  • 扫码添加小助手
    领取最新资料包
5种常见的云环境配置错误和对策_安全_Peter Smith_InfoQ精选文章