最近的調(diào)查表明，配置不當(dāng)?shù)墓苍茖?shí)例將給企業(yè)的敏感數(shù)據(jù)帶來(lái)安全挑戰(zhàn)。當(dāng)數(shù)據(jù)和應(yīng)用程序從內(nèi)部部署環(huán)境遷移到云端時(shí)，并不總是遵循正確的訪問(wèn)控制。因此，云計(jì)算配置仍然是一個(gè)主要問(wèn)題。

在線工作網(wǎng)站Ladders泄露了它在亞馬遜網(wǎng)絡(luò)服務(wù)云平臺(tái)上托管的1300多萬(wàn)條用戶記錄。其原因是什么?AWS ElasticSearch服務(wù)實(shí)例的訪問(wèn)控制配置錯(cuò)誤。

今年5月，UpGuard公司安全研究人員的調(diào)查報(bào)告表明，5億多個(gè)Facebook用戶的數(shù)據(jù)被第三方泄露，第三方將這些信息存儲(chǔ)在未受保護(hù)的AmazonS3存儲(chǔ)桶中。營(yíng)銷(xiāo)服務(wù)商Chtrbox公司證實(shí)了這一泄露事件，但表示其影響范圍沒(méi)有報(bào)道的那么大。

根據(jù)SANS研究所上個(gè)月發(fā)布的一份報(bào)告，31%的受訪者表示，外部人員未經(jīng)授權(quán)訪問(wèn)云計(jì)算環(huán)境或云計(jì)算資產(chǎn)，而2017年這一比例為19%。雖然這些攻擊的主要原因是憑證劫持，但云計(jì)算配置不佳是第二個(gè)主要原因。

這些糟糕的配置不只是面向公眾訪問(wèn)的數(shù)據(jù)庫(kù)。例如容器管理平臺(tái)等其他云計(jì)算系統(tǒng)，也是網(wǎng)絡(luò)攻擊者主要的目標(biāo)。

Palo Alto網(wǎng)絡(luò)公司最近發(fā)現(xiàn)了4萬(wàn)多個(gè)使用默認(rèn)配置的容器托管服務(wù)，其中包括在Kubernetes和Docker這兩個(gè)最流行的容器平臺(tái)上，每個(gè)都在2萬(wàn)個(gè)以上，其配置問(wèn)題可能使組織容易受到攻擊。

例如，Docker公司在今年4月承認(rèn)黑客侵入了一個(gè)Docker Hub數(shù)據(jù)庫(kù)，并且可能從19萬(wàn)個(gè)帳戶竊取了數(shù)據(jù)。根據(jù)Palo Alto網(wǎng)絡(luò)威脅研究員Nathaniel Quist的說(shuō)法，黑客利用了密鑰和令牌存儲(chǔ)的弱安全配置。

Quist表示，最近的Ladders漏洞是一個(gè)基本的容器錯(cuò)誤配置的例子，這種錯(cuò)誤配置會(huì)產(chǎn)生重大后果。

他在一份報(bào)告中寫(xiě)道：“人們應(yīng)該從Ladders漏洞中吸取的教訓(xùn)是，所有部署容器服務(wù)的組織需要加強(qiáng)安全配置。”

Malwarebytes實(shí)驗(yàn)室主管Adam Kujawa表示，網(wǎng)絡(luò)攻擊者會(huì)在云中搜索開(kāi)放端口或特定的命名約定。隨后他們進(jìn)入云計(jì)算管理平臺(tái)的登錄頁(yè)面，而其憑證是設(shè)備廠商的默認(rèn)密碼，或者根本沒(méi)有設(shè)置密碼。

根據(jù)Attivo公司去年年底進(jìn)行的一項(xiàng)針對(duì)安全專(zhuān)業(yè)人士的調(diào)查，對(duì)云計(jì)算的攻擊是企業(yè)面臨的最大安全威脅。今年早些時(shí)候，堪薩斯州安全廠商Firemon公司發(fā)布的一項(xiàng)調(diào)查顯示，60%的受訪者表示，他們的云部署已經(jīng)超過(guò)了保護(hù)云平臺(tái)的能力。

Firemon公司技術(shù)聯(lián)盟副總裁Tim Woods說(shuō)，問(wèn)題在于云計(jì)算的蔓延。例如，業(yè)務(wù)用戶通常會(huì)在沒(méi)有IT團(tuán)隊(duì)監(jiān)管的情況下獲得云計(jì)算功能。

他指出，黑客正在不間斷地掃描公共互聯(lián)網(wǎng)，尋找他們可以輕松訪問(wèn)和攻擊的系統(tǒng)。他說(shuō)，“這些黑客不需要破解密碼，只是在尋找那些沒(méi)有配置不當(dāng)?shù)臇|西。”

Woods表示，大型企業(yè)需要確保他們?cè)谒性朴?jì)算部署中都具有可見(jiàn)性，并且有人對(duì)所有遷移到云中的數(shù)據(jù)負(fù)責(zé)。云計(jì)算供應(yīng)商的安全措施也需要加強(qiáng)。

他說(shuō)，“我認(rèn)為云計(jì)算供應(yīng)商做得還不夠，因?yàn)樽兓芸?。?dāng)今的云計(jì)算供應(yīng)商處于加速開(kāi)發(fā)模式。去年我參加AWS Reinvent會(huì)議時(shí)，該公司推出了238多種不同的新安全功能，其中很多數(shù)據(jù)都是無(wú)意中對(duì)外泄露的。”

AWS公司引入的一項(xiàng)新功能是阻止公共訪問(wèn)功能，該功能已經(jīng)對(duì)意外泄露的S3存儲(chǔ)桶的數(shù)量產(chǎn)生了重大影響。根據(jù)Digital Shadows公司日前發(fā)布的一份報(bào)告，S3存儲(chǔ)桶泄露的文件數(shù)量從2018年10月的1600萬(wàn)個(gè)下降到今天的2000個(gè)。

但這只是一家云計(jì)算提供商的云配置挑戰(zhàn)的一個(gè)具體示例。

Woods說(shuō)，“大型企業(yè)通常采用多個(gè)云計(jì)算提供商的服務(wù)。每個(gè)云計(jì)算供應(yīng)商都有不同的安全方法，而在安全方面，他們需要分清哪些是自己的責(zé)任，哪些是客戶的責(zé)任。”

他說(shuō)：“僅僅因?yàn)槔斫庠朴?jì)算提供商的責(zé)任，并不意味著它們都是一樣的。”

總部位于弗吉尼亞州阿靈頓的云計(jì)算安全供應(yīng)商DivvyCloud公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Chris DeRamus表示，問(wèn)題在于企業(yè)很難掌握所有可能出現(xiàn)的配置錯(cuò)誤。

他說(shuō)：“越來(lái)越多的企業(yè)由于配置錯(cuò)誤而遭受數(shù)據(jù)泄露，人們幾乎每天都在新聞中看到這些新聞。事實(shí)上，組織缺乏適當(dāng)?shù)墓ぞ邅?lái)識(shí)別和修復(fù)不安全的軟件配置和部署。”

他說(shuō)，企業(yè)需要尋找能夠?qū)崟r(shí)檢測(cè)錯(cuò)誤配置的自動(dòng)化解決方案，并提醒安全管理人員注意這些問(wèn)題，甚至自動(dòng)解決。