保证数据在云中安全是企业与云计算供应产商共同的责任。而云计算安全措施是云计算客户必须采取的措施。

毫无疑问,云计算可以改善安全性的某些方面。毕竟,云计算具有巨大的规模经济,可为客户提供专用的安全团队和技术,而这对于绝大多数组织而言都是不可行的。当客户没有在云计算环境中正确配置和保护自己的工作负载和存储桶时,就会发生坏消息。

以最近发生的CapitalOne公司数据泄露事件为例,在该事件中,黑客利用配置错误的云防火墙来访问1亿张信用卡客户和申请人的数据,这是历史上大的一次泄露事件。有成千上万种潜在的云配置错误,例如CapitalOne的错误配置。但是,与许多事情一样,大多数错误配置错误都可以分为几类。以下是云计算配置发生错误的五个最常见区域。

错误1:存储访问

在存储桶方面,许多云计算用户认为“经过身份验证的用户”仅涵盖那些在其组织或相关应用程序中已通过身份验证的用户。不幸的是,情况并非如此。“经过身份验证的用户”是指具有AWS身份验证的任何人,实际上是任何AWS客户。由于这种误解以及由此导致的控件设置错误配置,存储对象最终可能完全暴露给公共访问。设置存储对象访问权限时,需要特别小心,以确保只有组织内需要访问权限的人员才能访问它。

错误2:“秘密”管理

此配置错误可能特别损害组织。确保诸如密码、API密钥、管理凭据和加密密钥之类的机密是至关重要的。人们已经看到它们在配置错误的云存储桶、受感染的服务器、开放的GitHub存储库甚至HTML代码中公开可用。这相当于将家门的钥匙放在门前。

解决方案是维护企业在云中使用的所有机密的清单,并定期检查以查看每个机密如何得到保护。否则,恶意行为者可以轻松访问企业的所有数据。更糟糕的是,他们可以控制企业的云资源以造成无法弥补的损失。同样重要的是使用秘密管理系统。AWS Secrets Manager、AWS Parameter Store、Azure Key Vault和Hashicorp Vault等服务是健壮且可扩展的秘密管理工具的一些示例。

错误3:禁用日志记录和监视

令人惊讶的是,有多少组织没有启用、配置甚至检查公共云提供的日志和遥测数据,在许多情况下,这些数据可能非常复杂。企业云团队中的某个人应该负责定期查看此数据并标记与安全相关的事件。

这个建议并不局限于基础设施即服务的公共云。存储即服务供应商通常提供类似的信息,这同样需要定期审查。更新公告或维护警报可能会对企业产生严重的安全影响,但如果没有人注意,则对企业没有任何好处。

错误4:对主机、容器和虚拟机的访问权限过大

企业是否将数据中心中的物理或虚拟服务器直接连接到Internet,而无需使用过滤器或防火墙来保护它?当然不是。但是人们几乎总是在云中完全做到这一点。人们最近看到的一些示例包括:

暴露在公共互联网上的Kubernetes集群的ETCD(端口2379)

传统端口和协议(例如在云主机上启用的FTP) 已虚拟化并迁移到云中的物理服务器中的传统端口和协议,如rsh、rexec和telnet。

确保保护重要的端口并禁用(或至少锁定)云中的旧的、不安全的协议,就像在本地数据中心中一样。

错误5:缺乏验证

最终的云计算错误是一个元问题:人们经常看到组织无法创建和实施系统来识别错误配置,因为它们会发生。无论是内部资源还是外部审核员,都必须负责定期验证服务和权限是否已正确配置和应用。设置时间表以确保这种情况像发条一样发生,因为随着环境的变化,错误是不可避免的。企业还需要建立严格的流程来定期审核云配置。否则,可能会冒着安全漏洞的风险,恶意行为者可以利用这些漏洞。

仅当云计算客户忠实于其双重责任模型时,云计算才有可能成为数据和工作负载的安全场所。牢记这些常见错误,并建立一个可以尽快发现这些错误的系统,可以确保企业在云中的数字资产将是安全的。

【凡本网注明来源非中国IDC圈的作品,均转载自其它媒体,目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。】

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2023-08-11 18:23:36
云资讯 阿里巴巴发布2024 Q1业绩,阿里云收入251.23亿元
阿里云收入增长4%至251.23亿元,经调整EBITA利润增长106%至3.87亿元。 <详情>
2023-08-02 08:44:58
云资讯 国家发改委:支持民营企业牵头承担云计算、人工智能、工业互联网等攻关任务
值得一提的是,《通知》指出,支持民营企业参与重大科技攻关,牵头承担工业软件、云计算、人工智能、工业互联网、基因和细胞医疗、新型储能等领域的攻关任务。 <详情>
2023-07-31 09:45:08
云资讯 云计算产业发展趋势及对运营商云业务的发展启示
随着新一轮科技革命与产业变革的蓬勃发展,经济社会数字化转型进程深入推进,作为数字化转型关键信息基础设施的云计算业务迎来广阔增长空间。 <详情>
2023-07-28 08:52:05
云资讯 《云计算白皮书(2023年)》:我国云计算市场处于快速发展期
7月25日,中国信通院发布《云计算白皮书(2023年)》(以下简称《白皮书》),《白皮书》聚焦过去一年多来云计算产业的新发展新变化,总结梳理国内外云计算政策、市场、技 <详情>
2023-07-25 15:25:54
云资讯 中国电信与国家信息中心共同发布国信政务云
下一步,双方将从科技支撑、智慧化应用创新和敏捷专业贴身服务全方位建设并运营好“国信政务云”。 <详情>