是的，與本地系統(tǒng)相比，云端具有許多安全優(yōu)勢，尤其是對于小型機構(gòu)而言，但前提是要避免在云端的配置、監(jiān)控和安裝補丁程序方面犯錯誤。

新聞中時常會充斥著這樣的內(nèi)容，即錯誤配置的云服務(wù)器受到攻擊，以及犯罪分子從云服務(wù)器中獲取泄露數(shù)據(jù)。我們可能會在云服務(wù)器投入使用時設(shè)置了比較寬松的(或沒有)憑證，以及忘記設(shè)置嚴謹?shù)膽{證?；蛘咴诎l(fā)現(xiàn)漏洞時，我們沒有及時更新軟件，或者沒有讓IT人員參與審核最終的應(yīng)用程序以確保其盡可能安全。

[[342125]]

這種情況太常見了。Accurics調(diào)研機構(gòu)和Orca Security云安全公司的研究發(fā)現(xiàn)，在各種云實踐中存在著一系列的基本配置錯誤。例如，Accurics機構(gòu)研究發(fā)現(xiàn)，有高達93%的受訪者存在存儲服務(wù)配置錯誤。

以下是十個最常見的錯誤：

1. 存儲容器不安全

在任何一周時間內(nèi)，安全研究人員都會在開放式云服務(wù)器上發(fā)現(xiàn)數(shù)據(jù)緩存。這些緩存可能包含有關(guān)客戶的各種機密信息。例如，今年夏初，在雅芳公司(Avon)和Ancestry.com公司都發(fā)現(xiàn)了開放的容器。情況變得如此糟糕，甚至安全服務(wù)經(jīng)銷商SSL247都將其文件放在了一個開放的AWS S3容器中。

UpGuard公司的克里斯·維克里(Chris Vickery)通過發(fā)現(xiàn)的這類問題而出名。 UpGuard公司的博客中列出了一長串的這類問題。開放的存儲容器之所以出現(xiàn)，是因為開發(fā)人員在創(chuàng)建容器時往往會疏忽大意，并且有時會疏于對它們進行管理。由于云端存儲是如此廉價且易于創(chuàng)建，因此在過去幾年里其數(shù)量已經(jīng)激增。

解決方法：使用Shodan.io或BinaryEdge.io等流行的發(fā)現(xiàn)工具來定期檢查自己的域。遵循計算機服務(wù)機構(gòu)(CSO)之前發(fā)布的有關(guān)提高容器安全性的一些建議，包括使用本地Docker工具，以及使用亞馬遜的云原生解決方法，例如Inspector、GuardDuty和CloudWatch。最后，使用諸如AWS Virtual Private Cloud或Azure Virtual Networks等工具對云服務(wù)器進行分割。

2. 缺乏對應(yīng)用程序的保護

網(wǎng)絡(luò)防火墻在監(jiān)視和保護Web服務(wù)器方面沒有幫助。根據(jù)Verizon公司發(fā)布的2020年數(shù)據(jù)泄露報告，對Web應(yīng)用程序的攻擊數(shù)量增加了一倍以上。普通的網(wǎng)站會運行數(shù)十種軟件工具，您的應(yīng)用程序可以由一系列不同的產(chǎn)品集合而成，這些產(chǎn)品會使用數(shù)十個服務(wù)器和服務(wù)。WordPress尤其容易受到攻擊，因為人們發(fā)現(xiàn)該應(yīng)用程序使將近一百萬個網(wǎng)站處于危險之中。

解決方法：如果您管理一個WordPress博客，請購買此處所說的一個工具。該篇文章還包含了可降低您信息泄露的一些技術(shù)，這些技術(shù)可以推廣到其他網(wǎng)站。對于常規(guī)應(yīng)用程序服務(wù)器，可考慮使用Web應(yīng)用程序防火墻。此外，如果您運行的是Azure或Office 365，可考慮使用微軟Defender Application Guard程序的公開預(yù)覽功能，該程序有助于您發(fā)現(xiàn)威脅并防止惡意軟件在您的基礎(chǔ)架構(gòu)中擴散。

3. 信任短信息的多因素身份驗證(MFA)功能可以保證賬戶的安全，或完全不使用多因素身份驗證

我們大多數(shù)人都知道，使用短信息文本作為額外身份驗證因素很容易被盜用。更常見的情況是，大多數(shù)云應(yīng)用程序都缺少任何多因素身份驗證(MFA)。Orca公司發(fā)現(xiàn)，有四分之一的受訪者沒有使用多因素身份驗證來保護其管理員帳戶。只需快速瀏覽一下帶有雙重因素身份驗證功能的網(wǎng)站，就會發(fā)現(xiàn)其中一半或更多的常見應(yīng)用程序(例如Viber、Yammer、Disqus和Crashplan)不支持任何額外的身份驗證方法。

解決方法：盡管對于那些不支持更好的(或任何)多因素身份驗證方法的商業(yè)應(yīng)用程序，您無能為力，但您可以使用谷歌或Authy公司的身份驗證應(yīng)用程序來盡可能多地保護SaaS應(yīng)用程序，特別是對于那些擁有更多權(quán)限的管理員帳戶。還可以監(jiān)視Azure AD全局管理員角色是否發(fā)生變化。

4. 不知道自己的訪問權(quán)限

說到訪問權(quán)限，在跟蹤哪些用戶可以訪問某一應(yīng)用程序方面存在兩個基本問題。首先，許多IT部門仍使用管理員權(quán)限來運行所有Windows終端。盡管這不只是云端的問題，基于云端的虛擬機和容器也可能有過多的管理員(或共享相同的管理員密碼)，因此最好將虛擬機或容器進行鎖定。其次，您的安全設(shè)備無法檢測到整個基礎(chǔ)架構(gòu)中發(fā)生的常見權(quán)限升級攻擊。

解決方法：使用BeyondTrust、Thycotic或Cyber​​Ark等公司的權(quán)限身份管理工具。然后定期審核您帳戶權(quán)限的變更情況。

5. 使端口處于開放狀態(tài)

您上次使用FTP訪問云服務(wù)器是什么時候?的確如此。這就是美國聯(lián)邦調(diào)查局(FBI)關(guān)于2017年使用FTP進行網(wǎng)絡(luò)入侵的警告。

解決方法：立即關(guān)閉那些不需要的和舊的端口，減少受攻擊范圍。

6. 不注意遠程訪問

大多數(shù)云服務(wù)器都具有多種遠程連接方式，例如RDP、SSH和Web控制臺。所有這些連接方式都可能因權(quán)限憑據(jù)、較弱的密碼設(shè)置或不受保護的端口而受到危害。

解決方法：監(jiān)視這些網(wǎng)絡(luò)流量，并適當(dāng)?shù)剡M行鎖定。

7. 沒有管理隱私信息

您在哪里保存加密密鑰、管理員密碼和API密鑰?如果您是在本地Word文件中或在便利貼上保存，則您需要獲得幫助。您需要更好地保護這些信息，并盡可能少地與授權(quán)開發(fā)人員共享這些信息。

解決方法：例如AWS Secrets Manager、AWS Parameter Store、Azure Key Vault和Hashicorp Vault等服務(wù)就是一些可靠且可擴展的隱私信息管理工具。

8. GitHub平臺的詛咒——信任供應(yīng)鏈

隨著開發(fā)人員使用更多的開源工具，他們就延長了軟件供應(yīng)鏈，這意味著您必須了解這一信任關(guān)系，并保護軟件在整個開發(fā)過程和生命周期中所經(jīng)歷的完整路徑。今年早些時候，GitHub平臺的IT人員在NetBeans集成開發(fā)環(huán)境中發(fā)現(xiàn)了26個不同的開源項目(一個Java開發(fā)平臺)，這些項目內(nèi)置了后門程序，并在主動地傳播惡意軟件。這些項目的負責(zé)人都沒有意識到他們的代碼已被盜用。該問題的一部分是，當(dāng)代碼中存在簡單的輸入錯誤和實際已創(chuàng)建了后門程序時，這兩種情況很難區(qū)分。

解決方法：使用上面第一條所提到的容器安全工具，并了解最常用項目中的監(jiān)管鏈。

9. 沒有正確地做日志

您上次查看日志是什么時候?如果您不記得，這可能就是個問題，尤其是對于云服務(wù)器而言，因為日志可能會激增，并且不再是最為重要的事項。這篇Dons Blog的博客文章敘述了由于存在不良的日志記錄操作而發(fā)生的攻擊。

解決方法：AWS CloudTrail服務(wù)將為您的云服務(wù)提供更好的實時可見性。另外，還可為賬戶配置、用戶創(chuàng)建、身份驗證失敗方面發(fā)生變化而打開事件日志記錄，這只是其中幾個例子。

10. 沒有為服務(wù)器安裝補丁程序

僅僅因為您擁有基于云的服務(wù)器，這并不意味著這些服務(wù)器會自動安裝補丁程序或自動將自身系統(tǒng)更新為最新版本。(盡管一些托管服務(wù)和云托管提供商確實提供這項服務(wù)。)上面所說的Orca公司研究發(fā)現(xiàn)，半數(shù)的受訪者至少正在運行一臺版本過時的服務(wù)器。由于服務(wù)器未打補丁而遭到攻擊的數(shù)量太多了，無法在此處一一列出。

解決方法：更多注意您的補丁程序管理工作，并與那些可及時通知您有重要程序更新的供應(yīng)商合作。