一份新的調(diào)查報(bào)告表明，在云計(jì)算部署中，基礎(chǔ)設(shè)施即代碼(IaC)模板配置錯(cuò)誤的比例很高，這使它們?nèi)菀资艿焦簟?/p>

[[315896]]

在云計(jì)算時(shí)代，需要快速擴(kuò)展或部署基礎(chǔ)設(shè)施以滿(mǎn)足不斷變化的組織需求，新服務(wù)器和節(jié)點(diǎn)的配置是完全自動(dòng)化的。這是使用機(jī)器可讀的定義文件或模板完成的，這是基礎(chǔ)設(shè)施即代碼(IaC)或連續(xù)配置自動(dòng)化(CCA)的過(guò)程的一部分。

Palo Alto Networks公司的研究人員對(duì)從GitHub存儲(chǔ)庫(kù)和其他地方收集的基礎(chǔ)設(shè)施即代碼(IaC)模板進(jìn)行了一項(xiàng)新的分析，確定了近20萬(wàn)個(gè)包含不安全配置選項(xiàng)的此類(lèi)文件。使用這些模板可能會(huì)導(dǎo)致嚴(yán)重的漏洞，從而使基礎(chǔ)設(shè)施即代碼(IaC)部署的云計(jì)算基礎(chǔ)設(shè)施及其保存的數(shù)據(jù)面臨風(fēng)險(xiǎn)。

研究人員說(shuō)：“就像人們忘記鎖車(chē)或打開(kāi)窗戶(hù)一樣，網(wǎng)絡(luò)攻擊者可以使用這些錯(cuò)誤的配置來(lái)避開(kāi)防御措施。如此高的數(shù)字解釋了在以往的調(diào)查報(bào)告中發(fā)現(xiàn)65%的云計(jì)算安全事件是由于客戶(hù)配置錯(cuò)誤引起的。從一開(kāi)始就沒(méi)有安全的基礎(chǔ)設(shè)施即代碼(IaC)模板，云計(jì)算環(huán)境就容易受到攻擊。”

廣泛的IaC問(wèn)題

基礎(chǔ)設(shè)施即代碼(IaC)的框架和技術(shù)有多種，最常見(jiàn)的基于Palo Alto公司的收集工作是Kubernetes YAML(39%)、HashiCorp的Terraform(37%)和AWS CloudFormation(24%)。其中，42%的已識(shí)別CloudFormation模板、22%的Terraform模板和9%的Kubernetes YAML配置文件存在漏洞。

Palo Alto Networks公司的分析表明，使用AWS CloudFormation模板的基礎(chǔ)設(shè)施部署中有一半的配置是不安全的。調(diào)查報(bào)告進(jìn)一步按受到影響的AWS公司的云計(jì)算服務(wù)的類(lèi)型進(jìn)行了分類(lèi)：Amazon彈性計(jì)算云(Amazon EC2)、Amazon關(guān)系數(shù)據(jù)庫(kù)服務(wù)(RDS)、Amazon簡(jiǎn)單存儲(chǔ)服務(wù)(Amazon S3)或Amazon彈性容器服務(wù)(Amazon ECS)。

例如，模板中定義的S3存儲(chǔ)桶的10%以上是公開(kāi)的。過(guò)去，安全性不高的S3存儲(chǔ)桶是許多調(diào)查報(bào)告中的數(shù)據(jù)泄露的根源。

缺少數(shù)據(jù)庫(kù)加密和日志記錄對(duì)于保護(hù)數(shù)據(jù)和調(diào)查潛在的未經(jīng)授權(quán)的訪(fǎng)問(wèn)非常重要，這也是CloudFormation模板中常見(jiàn)的問(wèn)題。其中一半不啟用S3日志記錄，另一半不啟用S3服務(wù)器端加密。

亞馬遜公司的Redshift數(shù)據(jù)倉(cāng)庫(kù)服務(wù)也觀(guān)察到了類(lèi)似情況。11%的配置文件生成了公開(kāi)的Redshift實(shí)例，43%的用戶(hù)未啟用加密，45%的用戶(hù)未打開(kāi)日志記錄。

支持多種云計(jì)算提供商和技術(shù)的Terraform模板并沒(méi)有表現(xiàn)得更好。默認(rèn)情況下，大約有66%的Terraform配置的S3存儲(chǔ)桶未啟用日志記錄，26%的AWS EC2實(shí)例已將SSH(端口22)對(duì)外公開(kāi)，并且有17%的模板定義的AWS安全組默認(rèn)允許所有入站流量。

Terraform模板中發(fā)現(xiàn)的其他常見(jiàn)錯(cuò)誤配置包括：

• AWS身份和訪(fǎng)問(wèn)管理(IAM)密碼不符合行業(yè)最低標(biāo)準(zhǔn)(40%);
• 沒(méi)有CPU或內(nèi)存資源限制的容器(64%);
• 具有公開(kāi)的SSH的Azure網(wǎng)絡(luò)安全組(NSG)(51%);
• 未啟用日志記錄的谷歌云平臺(tái)存儲(chǔ)(58%);
• 未啟用安全傳輸?shù)腁zure存儲(chǔ)(97%)。

Kubernetes YAML文件中不安全配置的發(fā)生率最小，但確實(shí)如此。在發(fā)現(xiàn)的不安全的YAML文件中，有26%的Kubernetes配置以root用戶(hù)或特權(quán)帳戶(hù)運(yùn)行。

Palo Alto Networks公司研究人員說(shuō)：“以容器為根目標(biāo)的配置為網(wǎng)絡(luò)攻擊者提供了擁有該容器幾乎所有方面的機(jī)會(huì)。這也使執(zhí)行攻擊容器的過(guò)程更加容易，從而使主機(jī)系統(tǒng)面臨其他潛在威脅。安全和DevOps團(tuán)隊(duì)?wèi)?yīng)確保容器不使用root用戶(hù)或特權(quán)帳戶(hù)運(yùn)行。”

IaC配置錯(cuò)誤反映在實(shí)際部署中

基礎(chǔ)設(shè)施即代碼(IaC)模板配置錯(cuò)誤的類(lèi)型及其普遍性(缺少數(shù)據(jù)庫(kù)加密和日志記錄或公開(kāi)暴露的服務(wù))與Palo Alto Networks公司在過(guò)去的調(diào)查報(bào)告中涵蓋并在實(shí)際的云計(jì)算基礎(chǔ)設(shè)施部署中檢測(cè)到的問(wèn)題類(lèi)型一致：

• 76%的組織允許公共訪(fǎng)問(wèn)端口22(SSH);
• 69%的組織允許公共訪(fǎng)問(wèn)端口3389(RDP);
• 64%的人員無(wú)法為其數(shù)據(jù)存儲(chǔ)啟用日志記錄;
• 62%的用戶(hù)未對(duì)數(shù)據(jù)存儲(chǔ)啟用加密;
• 47%的組織未將跟蹤功能用于無(wú)服務(wù)器功能。

這表明在自動(dòng)化基礎(chǔ)設(shè)施部署過(guò)程中使用基礎(chǔ)設(shè)施即代碼(IaC)模板而不首先檢查它們是否存在不安全的配置或其他漏洞，這是導(dǎo)致在觀(guān)察到云計(jì)算弱點(diǎn)的一個(gè)重要因素。

網(wǎng)絡(luò)犯罪組織經(jīng)常將云計(jì)算基礎(chǔ)設(shè)施作為攻擊目標(biāo)，以部署利用受害者所支付的處理能力的加密惡意軟件。但是，一些組織中也正在冒險(xiǎn)進(jìn)行加密以外的活動(dòng)，并將被黑客入侵的云計(jì)算節(jié)點(diǎn)用于其他惡意目的。

Palo Alto Networks公司的研究人員說(shuō)，“很明顯，網(wǎng)絡(luò)攻擊者正在使用由較弱或不安全的基礎(chǔ)設(shè)施即代碼(IaC)配置模板實(shí)現(xiàn)的默認(rèn)配置錯(cuò)誤，將會(huì)繞過(guò)防火墻、安全組或VPC策略，并不必要地將組織的云計(jì)算環(huán)境暴露給網(wǎng)絡(luò)攻擊者。左移安全性是將安全性移至開(kāi)發(fā)過(guò)程中的最早點(diǎn)。在云計(jì)算部署中始終如一地實(shí)施左移實(shí)踐和過(guò)程的組織可以迅速超越競(jìng)爭(zhēng)對(duì)手。與DevOps團(tuán)隊(duì)合作，將其安全標(biāo)準(zhǔn)嵌入基礎(chǔ)設(shè)施即代碼(IaC)模板中。這對(duì)DevOps和安全來(lái)說(shuō)是雙贏(yíng)的措施。”