David Strom 陳琳華

據(jù)Accurics和Orca Security的研究顯示，云實(shí)踐中存在著大量的基礎(chǔ)性配置錯(cuò)誤，其中93%的受訪者存在著存儲(chǔ)服務(wù)配置錯(cuò)誤的問題。因配置錯(cuò)誤而導(dǎo)致云服務(wù)器受到攻擊以及不法分子從這些服務(wù)器上竊取數(shù)據(jù)的新聞并不少見。

我們每個(gè)人都不是完人，所以發(fā)生錯(cuò)誤是在所難免的。有時(shí)我們可能會(huì)為云服務(wù)器設(shè)置了寬松的憑證，有時(shí)甚至就沒有設(shè)置。有時(shí)我們沒能在發(fā)現(xiàn)漏洞后及時(shí)更新軟件，亦或是用于生產(chǎn)的應(yīng)用程序在設(shè)計(jì)完成后沒有及時(shí)讓IT部門進(jìn)行安全審查。這些情況在日常工作中都太常見了。以下是我們?nèi)粘９ぷ髦凶畛Ｒ姷氖箦e(cuò)誤。

1.未對(duì)秘密加以妥善管理

用戶在很多情況下沒有將密鑰、管理員密碼和API密鑰存儲(chǔ)在妥當(dāng)?shù)牡胤健⑦@些秘密都存儲(chǔ)在了本機(jī)的Word文件上或是便簽上的做法顯然是不妥的。除了應(yīng)當(dāng)妥善保管這些數(shù)據(jù)外，用戶還應(yīng)盡量控制知情范圍，不讓其他開發(fā)人員知道，即使是與授權(quán)的開發(fā)人員共享也可控制在最低限度之內(nèi)。解決方案：AWS Secrets Manager、AWS Parameter Store、Azure Key Vault和Hashicorp Vault等服務(wù)都是比較好的管理工具。

2.服務(wù)器的補(bǔ)丁程序安裝不及時(shí)

因服務(wù)器未能及時(shí)安裝補(bǔ)丁程序而受到攻擊的情況非常普遍。基于云端的服務(wù)器并不會(huì)自動(dòng)安裝補(bǔ)丁程序，或是自動(dòng)升級(jí)為最新版本。研究顯示，半數(shù)的受訪者至少有一臺(tái)服務(wù)器未能及時(shí)安裝補(bǔ)丁包或是及時(shí)升級(jí)。解決方案：加強(qiáng)補(bǔ)丁程序管理，及時(shí)關(guān)注提供商發(fā)布的重要更新通知。

3.對(duì)訪問權(quán)限放任不管

訪問權(quán)限方面主要存在兩個(gè)基本性問題。一是許多IT部門在運(yùn)行不同的Windows終端時(shí)使用的都是管理員權(quán)限。二是安全設(shè)備無(wú)法檢測(cè)到基礎(chǔ)設(shè)施當(dāng)中常見的權(quán)限升級(jí)攻擊。解決方案：使用權(quán)限身份管理工具并對(duì)賬戶的權(quán)限調(diào)整進(jìn)行定期審核。

4.忽視遠(yuǎn)程訪問

RDP、SSH和Web控制臺(tái)等大部分云服務(wù)器都有多種遠(yuǎn)程連接模式。憑證權(quán)限、弱密碼和不安全的端口都可能會(huì)讓云服務(wù)器處于風(fēng)險(xiǎn)當(dāng)中。解決方案：對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，并對(duì)其加以適當(dāng)?shù)南拗啤?h3>5.對(duì)日志疏于管理

日志需要被及時(shí)查看，對(duì)于云服務(wù)器而言尤為重要，因?yàn)槊刻於紩?huì)有大量的日志生成，時(shí)間長(zhǎng)了一些重要的信息會(huì)被湮沒。對(duì)日志疏于管理可能會(huì)導(dǎo)致無(wú)法及時(shí)發(fā)現(xiàn)攻擊行為。解決方案：用戶可以使用AWS CloudTrail等能夠?yàn)樵品?wù)提供實(shí)時(shí)可見性的工具。此外，用戶還應(yīng)勤查看有關(guān)賬戶配置、用戶創(chuàng)建、身份驗(yàn)證失敗等事件日志。

6.應(yīng)用程序缺乏保護(hù)

Verizon的數(shù)據(jù)泄露報(bào)告顯示，針對(duì)Web應(yīng)用程序的攻擊在2020年翻了一倍多。通常情況下，一個(gè)網(wǎng)站會(huì)運(yùn)行數(shù)十種軟件工具，而用戶的應(yīng)用程序可能集合多種不同的產(chǎn)品，這些產(chǎn)品又會(huì)涉及多個(gè)服務(wù)器和多種服務(wù)。解決方案：如果運(yùn)行的是普通的應(yīng)用程序服務(wù)器，那么用戶可以考慮使用Web應(yīng)用程序防火墻。如果運(yùn)行的是Azure或Office 365，那么用戶應(yīng)當(dāng)使用微軟Defender Application Guard的公開預(yù)覽版，以幫助發(fā)現(xiàn)威脅并阻止惡意軟件在基礎(chǔ)設(shè)施中傳播擴(kuò)散。

7.端口處于開放狀態(tài)

美國(guó)聯(lián)邦調(diào)查局曾經(jīng)針對(duì)2017年不法分子利用FTP發(fā)動(dòng)攻擊的情況發(fā)出過警告。解決方案：立即關(guān)閉那些不需要的端口，以減少攻擊面。

8.受信的供應(yīng)鏈存在后門

開發(fā)人員使用的開源工具正變得越來(lái)越多，這導(dǎo)致軟件供應(yīng)鏈出現(xiàn)了延長(zhǎng)，也意味著用戶必須要了解其中的信任關(guān)系，并在整個(gè)開發(fā)流程和生命周期中對(duì)軟件的整個(gè)路徑加以保護(hù)。這部分的工作難點(diǎn)在于很難識(shí)別已發(fā)現(xiàn)的風(fēng)險(xiǎn)到底是簡(jiǎn)單的輸入錯(cuò)誤，還是有意為之。解決方案：使用容器安全工具，同時(shí)對(duì)常用項(xiàng)目的一系列監(jiān)管鏈條展開深入了解。

9.不安全的存儲(chǔ)容器

安全人員每周都能夠在開放的云服務(wù)器上發(fā)現(xiàn)數(shù)據(jù)緩存。這些緩存中包含了客戶的各種機(jī)密信息。開放式存儲(chǔ)容器出現(xiàn)的根源在于開發(fā)人員創(chuàng)建它們時(shí)并不細(xì)心，有時(shí)甚至疏于管理。由于價(jià)格便宜且創(chuàng)建容易，因此云存儲(chǔ)近些年來(lái)被廣泛采用。解決方案：遵循首席安全官提出的有關(guān)提高容器安全性的建議，使用Shodan.io或BinaryEdge.io等檢測(cè)工具定期檢查自己的域，同時(shí)使用AWS Virtual Private Cloud或Azure Virtual Networks等工具對(duì)云服務(wù)器進(jìn)行分隔。

10.利用SMS MFA保護(hù)賬戶安全，亦或完全沒有MFA

盡管作為額外的身份驗(yàn)證因素的SMS（短信）文本并不安全，但是即便如此，大多數(shù)云應(yīng)用程序仍處于沒有設(shè)置任何多因素身份驗(yàn)證（MFA）措施的狀態(tài)。在Orca Security的調(diào)查中，1/4受訪者表示其管理員賬戶沒有設(shè)置MFA保護(hù)措施。解決方案：盡管我們拿那些不支持MFA的商業(yè)應(yīng)用程序沒有什么辦法，但是我們可以利用谷歌或Authy的身份驗(yàn)證器應(yīng)用程序來(lái)保護(hù)SaaS應(yīng)用程序和管理員賬戶。

本文作者David Strom長(zhǎng)期關(guān)注安全、網(wǎng)絡(luò)和通信等領(lǐng)域，并長(zhǎng)期為CSO Online、Network World、Computerworld和其他出版物供稿。

原文網(wǎng)址

https：//www.csoonline.com/article/3573267/10-common-cloud-security-mistakes-that-put-your-data-at-risk.html