当前位置:主页 > 技术文章 >

技术文章

Technical articles

别让“设置错误”毁了你的云宁静!送你7个宁静锦囊

时间:2021-10-15 00:43 点击次数:
  本文摘要:由于治理员忘记打开基本的宁静控制功效,导致人为错误,是云端数据泄露的主要原因之一。无论你使用的是亚马逊网络服务、微软Azure还是谷歌云平台,请记着本文先容的这些规则以掩护企业的云事情负载。某一天,由于基于云的系统设置错误,又发生了一起数据泄露事件。今年夏天,污名昭著的Capital One泄露事件就是最突出的一个例子。 该泄露事件是由一个设置错误的开源Web应用防火墙(WAF)造成的,这家金融服务公司在其托管在亚马逊网络服务(AWS)上的业务中使用了WAF。

亚美体育

由于治理员忘记打开基本的宁静控制功效,导致人为错误,是云端数据泄露的主要原因之一。无论你使用的是亚马逊网络服务、微软Azure还是谷歌云平台,请记着本文先容的这些规则以掩护企业的云事情负载。某一天,由于基于云的系统设置错误,又发生了一起数据泄露事件。今年夏天,污名昭著的Capital One泄露事件就是最突出的一个例子。

该泄露事件是由一个设置错误的开源Web应用防火墙(WAF)造成的,这家金融服务公司在其托管在亚马逊网络服务(AWS)上的业务中使用了WAF。设置错误的WAF显然被允许列出所有AWS数据存储桶中的所有文件,并允许读取每个文件的内容。据宁静博客Krebs称,这一错误的设置使得入侵者能够欺骗防火墙,把请求转发到AWS上的一个关键后端资源上。博文解释说,该资源“卖力向云服务器分发暂时信息,包罗从宁静服务发送的当前证书,用于会见该服务器可以会见的云中的任何资源”。

此次泄露事件影响了约莫1亿美国公民,约莫14万个社会保险号码和8万个银行账户号码被盗,最终可能导致Capital One损失高达1.5亿美元。让我们来看看为什么错误设置仍然是云服务的常见挑战,然后先容用来降低风险的7种云宁静控制举措。错误设置很严重,而且可能会越来越糟那么,云系统设置错误的问题有多严重呢?Gartner曾经做过预计:到2022年,至少95%的云宁静故障都是由客户造成的,原因是错误设置和治理不善。Gartner称:“挑战不在于云自己的宁静性,而在于宁静方面的政策和技术,以及对技术的控制。

在险些所有情况下,是用户而不是云提供商未能治理好用于掩护企业数据的控件,首席信息官的问题不应该是‘云是否宁静?’,而是‘我是否宁静地在使用云?’”有许多因素导致并加剧了设置错误的问题。●误解和假设。

人们经常认为是由云服务供应商卖力云情况的宁静,不完全是这样。亚马逊、微软和谷歌等基础设施即服务(IaaS)提供商卖力其物理数据中心和运行虚拟机的服务器硬件的宁静。客户则卖力掩护其虚拟机和应用法式的宁静。

云供应商提供了宁静服务和工具来保证客户事情负载的宁静,而实际是由客户的治理员去实施须要的防护措施。如果客户不能掩护他们自己的网络、用户和应用法式,云供应商提供再多的宁静防御措施也是徒劳。●知识与现实的脱节。2019年9月,McAfee公司对11个国家1000家企业举行的观察发现,在IaaS情况中发生了许多泄露事件,这些事件差别于人们熟悉的“恶意软件渗透”方法。

在大多数情况下,这类泄露事件“是对云情况设置错误所留下的数据举行的时机性攻击。”在观察的同时,McAfee还检查了数百万云用户和数十亿事件中客户匿名的、汇总的事件数据。数据显示,使用IaaS情况的企业意识到了有错误设置,但更多的是那些没有引起他们注意的错误设置,这之间存在着庞大差距。观察工具表现,他们平均每月能发现37起错误设置事件,但McAfee的客户数据显示,这些企业每月实际发生约莫3500起错误设置事件,每年同比增长54%。

换句话说,凭据McAfee的数据,企业IaaS情况中99%的错误设置都没有被发现。●有许多工具能够发现并使用设置错误的云服务。

据赛门铁克2019年的《互联网威胁陈诉》,2018年,AWS S3存储桶成为许多企业的致命弱点,7000多万条记载因设置不妥而被盗或者泄露。潜在的攻击者可以使用大量的工具,发现互联网上设置错误的云资源。

除非企业接纳措施来适当地掩护他们的云资源,好比根据亚马逊的建议来掩护S3存储桶,否则他们将很容易受到攻击。●越来越庞大的企业IT情况。

McAfee指出,企业越来越多地接纳多云情况,再加上对企业所有正在使用的云服务缺乏全面的认识,这加剧了设置错误的问题。在最近的研究中,76%的企业陈诉称接纳了多云情况,但一项对客户数据的检查发现,实际上这些情况中有92%是多云的,每年同比增长18%。●虽然多云情况具有优势,但在羁系、治理和控制方面很是庞大。

McAfee的产物营销总监Dan Flaherty评论说:“卖力IaaS平台数据宁静的宁静从业人员一直很是忙碌,他们没有一种自动化的方法来监视并自动纠正所有云服务中的错误设置。”此外,在不停增长的IaaS市场上,猛烈的竞争促使亚马逊、微软和谷歌都在各自的产物中添加了新功效。

云宁静同盟全球研究副总裁John Yeoh指出:“仅AWS今年就增加了约莫1800项功效,而其推出的第一年只有约莫28项功效。”因此,对于宁静从业人员来说,跟上新特性和功效的快速生长是很大的挑战,而这反过来又会导致错误的设置。Yeoh说:“在庞大的多云情况中,所使用的每一个平台或者服务都应该有相应的专家,以确保接纳了适当的宁静措施。

”CloudKnox宁静公司首席执行官Balaji Parimi指出,此外,云技术最近不停进步,例如,无服务器应用法式和架构、K8s容器化的事情负载和服务,以及越来越多地使用毗连种种云服务的应用法式编程接口(API),等等,如果不接纳预防措施,也没有连续监视和调整会见权限,那么,错误设置的可能性会很是高。他增补道,“人们还只是刚刚开始相识这些新的云技术和趋势很是危险的一面。

他们往往凭据静态角色和有关会见权限的假设,将数十年前的宁静方法应用于这些新技术。”Yeoh指出,关键是:越来越庞大的IT情况使得在整个情况中很难实现简朴的宁静控制措施,而这些措施有助于发现并防止错误设置问题。

以下先容的是企业应接纳的7种云宁静控制举措。1.明晰你要卖力什么所有云服务都不尽相同,要负的责任也有所差别。

软件即服务(SaaS)供应商会确保他们的应用法式受到掩护,数据被宁静地传输和存储,而IaaS情况并非总是如此。例如,企业应完全卖力其AWS弹性盘算云(EC2)、亚马逊EBS和亚马逊虚拟私有云(VPC)实例,包罗设置操作系统、治理应用法式、掩护数据等。相反,亚马逊维护S3的操作系统和应用法式,而企业卖力治理数据、会见控制和身份识别计谋。

亚马逊提供了为S3数据加密的工具,但这取决于企业在进入和脱离服务器时是否启用了掩护功效。应与IaaS供应商仔细核实谁卖力每一项云宁静控制措施。

亚美体育app下载

2.控制谁有权会见企业应控制好谁可以使用他们的云服务。例如,凭据Redlock云宁静情报(CSI)部门2018年5月的研究,凌驾一半(51%)的企业意外地袒露了至少一项云存储服务,例如,AWS S3存储驱动器。

只管亚马逊和其他云提供商都警告说,应制止任何有互联网毗连的人会见存储驱动器内容。一般而言,只有负载平衡器和防护主性能够直接泛起在互联网上。

许多治理员在公共子网中使用0.0.0.0/0,错误地启用了服务器的全局权限。毗连完全放开了,每台盘算机都能够举行毗连。另一个常见的错误是,允许从互联网直接举行宁静Shell(SSH)毗连,这意味着任何能找到服务器地址的人都可以绕过防火墙,直接会见数据。

2019年,Palo Alto网络公司42威胁研究部在公有云中搜索袒露的服务。在发现的袒露主机和服务中,有32%提供了开放的SSH服务。陈诉指出:“只管SSH是最宁静的一种协议,但将这项强大的服务袒露给整个互联网还是太危险了。

任何错误设置或者存在毛病/泄漏的证书都可能导致主机被攻破。”主要云供应商都市提供身份识别和会见控制工具,请使用它们,应知道谁在何时会见了哪些数据。在建立身份识别和会见控制计谋时,把最高权限限制在最小规模内,只在需要时暂时授予分外权限。

尽可能把宁静组设置为最窄宁静权限,并在可能的情况下使用参考宁静组ID。思量使用CloudKnox之类的工具,这些工具支持企业凭据用户运动数据设置会见控制权限。

3.掩护数据另一常见的错误是数据没有经由加密便放在了云上。选民信息和敏感的五角大楼文件之所以被泄露,是因为数据没有被加密,未授权方也能够会见服务器。把敏感数据存储在云中而没有对服务器的会见举行适当控制,以便掩护数据,这样做是不卖力任的,也是危险的。尽可能控制好加密密钥。

虽然可以让云服务供应商提供会见密钥,但掩护数据的责任在于企业。纵然云供应商提供了加密工具和治理服务,许多企业实际上并没有使用。加密是一种宁静保障措施——纵然宁静设置失败,数据落入未授权方的手中,他们也不能使用数据。

4.掩护证书正如2017年OneLogin泄露事件所展示的,AWS会见密钥被泄露的情况并不少见。这些密钥会泛起在公共网站、源代码库、未受掩护的K8s仪表板,以及其他一些论坛上。

把AWS会见密钥视为最敏感的名贵资产,教育开发人员制止在公共论坛中泄露此类密钥。为每一个外部服务建立唯一的密钥,并遵循最小特权原则限制对其会见,确保密钥没有太多的会见权限。

密钥如果落在犯罪分子手中,可以用来会见敏感资源和数据。建立IAM角色来分配特殊特权,例如举行API挪用。务肯定期轮换密钥,以制止攻击者有时间截获被攻破的密钥,冒充特权用户渗透到云情况中。不要使用root用户账户,纵然是要用于治理任务。

使用root用户来建立具有指定权限的新用户。锁定root账户(可以通过添加多重身份验证来实现),仅用于详细的账户和服务治理任务。对于其他的账户,为用户提供适当的权限。

检查用户账户,查找那些未被使用的账户,并禁用它们。如果没有人使用这些账户,何须给攻击者留下攻击的后门呢。5.保证情况宁静仍然很重要对于云情况防护,深层防御尤其重要,因为纵然一项控制措施失败了,也会有其他宁静措施保持应用法式、网络和数据的宁静。MFA在用户名和密码的基础上提供了分外的掩护层,使得攻击者很难攻入。

应启用MFA,限制对治理控制台、仪表板和特权帐户的会见。6.深度监视主要云供应商都提供某种级此外日志记载工具,因此一定要启用宁静日志记载和监视功效,看看是否有未经授权的会见和其他问题。例如,亚马逊为审查AWS情况提供了CloudTrail,但许多企业并没有使用该服务。当启用后,CloudTrail会记载所有AWS API挪用的历史,包罗API挪用者的身份、挪用的时间、挪用者的源IP地址、请求参数,以及AWS服务返回的响应数据。

它还可以用于变换跟踪、资源治理、宁静性分析和合规审查等。7.接纳前移方法以保证宁静前移方法提倡在开发历程中尽早思量宁静因素,而不是在开发的最后阶段增加宁静措施。

McAfee的Flaherty说:“企业不仅应该监控IaaS平台上的工具,还应该在平台上线前检查所有进入平台的代码。接纳前移方法,能够在潜在的错误设置生长为问题之前举行审核并解决问题。

”寻找能够与Jenkins、K8s等其他工具相集成的宁静工具,自动审核并更正历程。不外,Threat Stack公司的首席宁静官Sam Bisbee指出,仅有前移方法还不够。Bisbee说:“应该在运行前扫描代码并执行设置检查,但人们往往忘记检查事情负载在投入运行后是否切合要求。

如果凭据我其时知道的情况,举行了扫描,然后部署我的代码,这样是可以的。可是事情负载会连续运行数月甚至数年,会发现新的毛病,而且随着时间的推移,代码中的风险也会增加。

如果不连续监控,就不会受到掩护。”相识企业的基础设施Bisbee建议,不要像受过培训的许多网络宁静专业人员那样,总是去寻找已知的威胁,而是应该努力相识企业完整的基础设施,以及在其上运行的内容。诚然,在当今日益庞大的多云情况中,这可能是很大的挑战。

“可是,要知道某个工具应该是怎样体现的,然后视察它什么时候发生变化,这要比不停地和入侵者举行‘打地鼠游戏’容易得多。如果你很是相识自己的情况,而且知道预期会发生什么,那就能够更有效地检测堕落误设置等威胁,并主动调停风险。归根结底,宁静在于深度监视,而不是控制。”。


本文关键词:别让,“,设置错误,”,毁了,亚美体育app下载,你的,云,宁静,送你

本文来源:亚美体育-www.feilong999.com

Copyright © 2009-2021 www.feilong999.com. 亚美体育科技 版权所有 备案号:ICP备90369050号-8

在线客服 联系方式 二维码

服务热线

0831-71077653

扫一扫,关注我们