云計算如今已經成為一個擁有眾多子行業的廣闊市場,但是當客戶沒有在云計算環境中正確配置和保護自己的工作負載和存儲桶時,就會產生巨大的安全隱患。現在小編為大家介紹一下云計算配置容易發生錯誤的五個常見誤區及解決方案,希望能對大家有所幫助。
錯誤一:存儲訪問
在存儲桶方面,許多云計算用戶認為“經過身份驗證的用戶”僅涵蓋那些在其組織或相關應用程序中已通過身份驗證的用戶。不幸的是,情況并非如此。“經過身份驗證的用戶”是指具有AWS身份驗證的任何人,實際上是任何AWS客戶。由于這種誤解以及由此導致的控件設置錯誤配置,存儲對象最終可能完全暴露給公共訪問。設置存儲對象訪問權限時,需要特別小心,以確保只有組織內需要訪問權限的人員才能訪問它。
錯誤二:“秘密”管理
此配置錯誤可能特別損害組織。確保諸如密碼、API密鑰、管理憑據和加密密鑰之類的機密是至關重要的。人們已經看到它們在配置錯誤的云存儲桶、受感染的服務器、開放的GitHub存儲庫甚至html代碼中公開可用。這相當于將家門的鑰匙放在門前。
解決方案是維護企業在云中使用的所有機密的清單,并定期檢查以查看每個機密如何得到保護。否則,惡意行為者可以輕松訪問企業的所有數據。更糟糕的是,他們可以控制企業的云資源以造成無法彌補的損失。同樣重要的是使用秘密管理系統。AWS Secrets Manager、AWS Parameter Store、Azure Key Vault和Hashicorp Vault等服務是健壯且可擴展的秘密管理工具的一些示例。
錯誤三:禁用日志記錄和監視
令人驚訝的是,有多少組織沒有啟用、配置甚至檢查公共云提供的日志和遙測數據,在許多情況下,這些數據可能非常復雜。企業云團隊中的某個人應該負責定期查看此數據并標記與安全相關的事件。這個建議并不局限于基礎設施即服務的公共云。存儲即服務供應商通常提供類似的信息,這同樣需要定期審查。
錯誤四:對主機、容器和虛擬機的訪問權限過大
要注意的是,企業除了將數據中心中的物理或虛擬服務器直接連接到Internet,還需要使用過濾器或防火墻來保護它。對此需要注意的有:
•暴露在公共互聯網上的Kubernetes集群的ETCD(端口2379)
•傳統端口和協議(例如在云主機上啟用的FTP)
•已虛擬化并遷移到云中的物理服務器中的傳統端口和協議,如rsh、rexec和telnet。
確保保護重要的端口并禁用(或至少鎖定)云中的舊的、不安全的協議,就像在本地數據中心中一樣。
錯誤五:缺乏驗證
最終的云計算錯誤是一個元問題:人們經常無法創建和實施系統來識別錯誤配置。因此無論是內部資源還是外部審核員,都必須負責定期驗證服務和權限是否已正確配置和應用。設置時間表以確保這種情況像發條一樣發生,因為隨著環境的變化,錯誤是不可避免的。企業還需要建立嚴格的流程來定期審核云配置。否則,可能會冒著安全漏洞的風險,惡意行為者可以利用這些漏洞。
要想讓云計算成為數據和工作負載的安全場所,最好牢記這些云配置的常見錯誤,并建立一個能夠盡快發現這些錯誤的系統,確保企業在云中的數字資產安全。
