十大最常见云安全错误

2020-10-15 01:07:30 计算机世界 2020年38期

David Strom 陈琳华

据Accurics和Orca Security的研究显示,云实践中存在着大量的基础性配置错误,其中93%的受访者存在着存储服务配置错误的问题。因配置错误而导致云服务器受到攻击以及不法分子从这些服务器上窃取数据的新闻并不少见。

我们每个人都不是完人,所以发生错误是在所难免的。有时我们可能会为云服务器设置了宽松的凭证,有时甚至就没有设置。有时我们没能在发现漏洞后及时更新软件,亦或是用于生产的应用程序在设计完成后没有及时让IT部门进行安全审查。这些情况在日常工作中都太常见了。以下是我们日常工作中最常见的十大错误。

1.未对秘密加以妥善管理

用户在很多情况下没有将密钥、管理员密码和API密钥存储在妥当的地方。将这些秘密都存储在了本机的Word文件上或是便簽上的做法显然是不妥的。除了应当妥善保管这些数据外,用户还应尽量控制知情范围,不让其他开发人员知道,即使是与授权的开发人员共享也可控制在最低限度之内。解决方案:AWS Secrets Manager、AWS Parameter Store、Azure Key Vault和Hashicorp Vault等服务都是比较好的管理工具。

2.服务器的补丁程序安装不及时

因服务器未能及时安装补丁程序而受到攻击的情况非常普遍。基于云端的服务器并不会自动安装补丁程序,或是自动升级为最新版本。研究显示,半数的受访者至少有一台服务器未能及时安装补丁包或是及时升级。解决方案:加强补丁程序管理,及时关注提供商发布的重要更新通知。

3.对访问权限放任不管

访问权限方面主要存在两个基本性问题。一是许多IT部门在运行不同的Windows终端时使用的都是管理员权限。二是安全设备无法检测到基础设施当中常见的权限升级攻击。解决方案:使用权限身份管理工具并对账户的权限调整进行定期审核。

4.忽视远程访问

RDP、SSH和Web控制台等大部分云服务器都有多种远程连接模式。凭证权限、弱密码和不安全的端口都可能会让云服务器处于风险当中。解决方案:对网络流量进行监控,并对其加以适当的限制。

5.对日志疏于管理

日志需要被及时查看,对于云服务器而言尤为重要,因为每天都会有大量的日志生成,时间长了一些重要的信息会被湮没。对日志疏于管理可能会导致无法及时发现攻击行为。解决方案:用户可以使用AWS CloudTrail等能够为云服务提供实时可见性的工具。此外,用户还应勤查看有关账户配置、用户创建、身份验证失败等事件日志。

6.应用程序缺乏保护

Verizon的数据泄露报告显示,针对Web应用程序的攻击在2020年翻了一倍多。通常情况下,一个网站会运行数十种软件工具,而用户的应用程序可能集合多种不同的产品,这些产品又会涉及多个服务器和多种服务。解决方案:如果运行的是普通的应用程序服务器,那么用户可以考虑使用Web应用程序防火墙。如果运行的是Azure或Office 365,那么用户应当使用微软Defender Application Guard的公开预览版,以帮助发现威胁并阻止恶意软件在基础设施中传播扩散。

7.端口处于开放状态

美国联邦调查局曾经针对2017年不法分子利用FTP发动攻击的情况发出过警告。解决方案:立即关闭那些不需要的端口,以减少攻击面。

8.受信的供应链存在后门

开发人员使用的开源工具正变得越来越多,这导致软件供应链出现了延长,也意味着用户必须要了解其中的信任关系,并在整个开发流程和生命周期中对软件的整个路径加以保护。这部分的工作难点在于很难识别已发现的风险到底是简单的输入错误,还是有意为之。解决方案:使用容器安全工具,同时对常用项目的一系列监管链条展开深入了解。

9.不安全的存储容器

安全人员每周都能够在开放的云服务器上发现数据缓存。这些缓存中包含了客户的各种机密信息。开放式存储容器出现的根源在于开发人员创建它们时并不细心,有时甚至疏于管理。由于价格便宜且创建容易,因此云存储近些年来被广泛采用。解决方案:遵循首席安全官提出的有关提高容器安全性的建议,使用Shodan.io或BinaryEdge.io等检测工具定期检查自己的域,同时使用AWS Virtual Private Cloud或Azure Virtual Networks等工具对云服务器进行分隔。

10.利用SMS MFA保护账户安全,亦或完全没有MFA

尽管作为额外的身份验证因素的SMS(短信)文本并不安全,但是即便如此,大多数云应用程序仍处于没有设置任何多因素身份验证(MFA)措施的状态。在Orca Security的调查中,1/4受访者表示其管理员账户没有设置MFA保护措施。解决方案:尽管我们拿那些不支持MFA的商业应用程序没有什么办法,但是我们可以利用谷歌或Authy的身份验证器应用程序来保护SaaS应用程序和管理员账户。

本文作者David Strom长期关注安全、网络和通信等领域,并长期为CSO Online、Network World、Computerworld和其他出版物供稿。

原文网址

https://www.csoonline.com/article/3573267/10-common-cloud-security-mistakes-that-put-your-data-at-risk.html