云计算如今已经成为一个拥有众多子行业的广阔市场,但是当客户没有在云计算环境中正确配置和保护自己的工作负载和存储桶时,就会产生巨大的安全隐患。现在小编为大家介绍一下云计算配置容易发生错误的五个常见误区及解决方案,希望能对大家有所帮助。
错误一:存储访问
在存储桶方面,许多云计算用户认为“经过身份验证的用户”仅涵盖那些在其组织或相关应用程序中已通过身份验证的用户。不幸的是,情况并非如此。“经过身份验证的用户”是指具有AWS身份验证的任何人,实际上是任何AWS客户。由于这种误解以及由此导致的控件设置错误配置,存储对象最终可能完全暴露给公共访问。设置存储对象访问权限时,需要特别小心,以确保只有组织内需要访问权限的人员才能访问它。
错误二:“秘密”管理
此配置错误可能特别损害组织。确保诸如密码、API密钥、管理凭据和加密密钥之类的机密是至关重要的。人们已经看到它们在配置错误的云存储桶、受感染的服务器、开放的GitHub存储库甚至html代码中公开可用。这相当于将家门的钥匙放在门前。
解决方案是维护企业在云中使用的所有机密的清单,并定期检查以查看每个机密如何得到保护。否则,恶意行为者可以轻松访问企业的所有数据。更糟糕的是,他们可以控制企业的云资源以造成无法弥补的损失。同样重要的是使用秘密管理系统。AWS Secrets Manager、AWS Parameter Store、Azure Key Vault和Hashicorp Vault等服务是健壮且可扩展的秘密管理工具的一些示例。
错误三:禁用日志记录和监视
令人惊讶的是,有多少组织没有启用、配置甚至检查公共云提供的日志和遥测数据,在许多情况下,这些数据可能非常复杂。企业云团队中的某个人应该负责定期查看此数据并标记与安全相关的事件。这个建议并不局限于基础设施即服务的公共云。存储即服务供应商通常提供类似的信息,这同样需要定期审查。
错误四:对主机、容器和虚拟机的访问权限过大
要注意的是,企业除了将数据中心中的物理或虚拟服务器直接连接到Internet,还需要使用过滤器或防火墙来保护它。对此需要注意的有:
•暴露在公共互联网上的Kubernetes集群的ETCD(端口2379)
•传统端口和协议(例如在云主机上启用的FTP)
•已虚拟化并迁移到云中的物理服务器中的传统端口和协议,如rsh、rexec和telnet。
确保保护重要的端口并禁用(或至少锁定)云中的旧的、不安全的协议,就像在本地数据中心中一样。
错误五:缺乏验证
最终的云计算错误是一个元问题:人们经常无法创建和实施系统来识别错误配置。因此无论是内部资源还是外部审核员,都必须负责定期验证服务和权限是否已正确配置和应用。设置时间表以确保这种情况像发条一样发生,因为随着环境的变化,错误是不可避免的。企业还需要建立严格的流程来定期审核云配置。否则,可能会冒着安全漏洞的风险,恶意行为者可以利用这些漏洞。
要想让云计算成为数据和工作负载的安全场所,最好牢记这些云配置的常见错误,并建立一个能够尽快发现这些错误的系统,确保企业在云中的数字资产安全。