根據(jù)Accurics的最新報告，伴隨托管基礎(chǔ)設(shè)施的云服務(wù)快速增長，“云水坑攻擊”呈現(xiàn)爆發(fā)式增長。

所謂水坑攻擊就是黑客利用平臺弱點，預(yù)先“蹲點埋伏”，向使用平臺服務(wù)(例如網(wǎng)站等公共網(wǎng)絡(luò)資源)的最終用戶分發(fā)惡意軟件，未經(jīng)授權(quán)訪問其生產(chǎn)環(huán)境、數(shù)據(jù)或完全破壞目標(biāo)環(huán)境。

[[383711]]

根據(jù)報告，在已經(jīng)發(fā)現(xiàn)的所有“云水坑攻擊”事件中，有23%針對配置不當(dāng)?shù)耐泄芊?wù)產(chǎn)品，所謂的配置不當(dāng)，主要指使用默認(rèn)安全配置或提供過多權(quán)限的錯誤配置。

研究人員指出，在云環(huán)境中，水坑攻擊可造成更大的破壞，因為托管的云中開發(fā)流程暴露于互聯(lián)網(wǎng)中，而不是像內(nèi)部環(huán)境中的開發(fā)流程那樣被隱藏在組織內(nèi)部。

當(dāng)不法分子成功利用云端開發(fā)管道中的錯誤配置時，不僅會給公司造成災(zāi)難，還會給客戶造成災(zāi)難。為緩解此風(fēng)險，企業(yè)應(yīng)假定整個開發(fā)過程都易于被非法訪問，并遵循最小化權(quán)限原則，將訪問權(quán)限限制為僅向需要它的用戶開放。

開發(fā)上云已經(jīng)是不可逆轉(zhuǎn)的趨勢，越來越多的團(tuán)隊正在加速采用托管服務(wù)，這肯定會提高生產(chǎn)力并提升開發(fā)速度。但不幸的是，這些團(tuán)隊的安全意識和能力無法跟上相關(guān)的風(fēng)險——例如使用默認(rèn)的安全配置文件和過度授權(quán)。

報告指出：根據(jù)歷史經(jīng)驗，就像幾年前存儲桶業(yè)務(wù)所經(jīng)歷那樣，消息服務(wù)和FaaS也正進(jìn)入網(wǎng)絡(luò)安全問題集中爆發(fā)的危險階段，這些服務(wù)的不安全配置將導(dǎo)致更多的違規(guī)行為。

研究表明，在所有環(huán)境中，威脅緩解的平均時間(MTTR)為25天，這給潛在的攻擊者留出了極為寬松的時間窗口。MTTR對于云安全來說特別重要，因為它與偏離(drift)有關(guān)，當(dāng)運行時(runtime)的配置發(fā)生變更時，會導(dǎo)致云風(fēng)險狀況偏離已建立的安全基準(zhǔn)，而偏離安全基準(zhǔn)的MTTR約為8天。

甚至隨著時間的流逝，那些在配置基礎(chǔ)設(shè)施時已經(jīng)建立安全基準(zhǔn)的組織也會產(chǎn)生偏離，一個廣為人知的案例是亞馬遜AWS S3存儲桶。2015年AWS S3存儲桶被添加到云環(huán)境時的配置是正確的，但五個月后，為解決問題而進(jìn)行的配置更改在工作完成后并未正確重置，直到近五年后，這種偏離才被發(fā)現(xiàn)并得到解決。

云基礎(chǔ)架構(gòu)面臨的主要風(fēng)險：

• 嘗試部署基于角色的訪問控制(RBAC)的Kubernetes用戶往往未能以適當(dāng)?shù)牧６榷x角色。這增加了賬戶重用和濫用的機(jī)會。實際上，有35%的企業(yè)和機(jī)構(gòu)在這方面表現(xiàn)糟糕。
• 在Helm圖表中，有48%的問題是由不安全的默認(rèn)值引起的。最常見的錯誤是對默認(rèn)名稱空間的不正確使用(在其中運行系統(tǒng)組件)，這可能使攻擊者可以訪問系統(tǒng)組件或機(jī)密。
• 報告首次在生產(chǎn)環(huán)境中發(fā)現(xiàn)通過基礎(chǔ)結(jié)構(gòu)即代碼(IaC)定義的身份和訪問管理，并且此報告中檢測到的IAM偏離中有超過三分之一(35%)源自IaC。這表明IAM即代碼(IAM as Code)正在快速流行，但可能導(dǎo)致角色配置錯誤的風(fēng)險。
• 硬編碼的機(jī)密信息幾乎占違規(guī)行為的10%，其中23%是因為用戶錯誤配置了托管服務(wù)產(chǎn)品。
• 在接受調(diào)查的企業(yè)中，有10%實際上為從未啟用付費購買高級安全功能。
• 雖然修復(fù)基礎(chǔ)設(shè)施配置錯誤的平均時間約為25天，但基礎(chǔ)設(shè)施中最關(guān)鍵的部分通常需要花費最多的時間來修復(fù)。例如，負(fù)載平衡服務(wù)平均需要149天的時間才能修復(fù)。由于所有面向用戶的數(shù)據(jù)都需要流經(jīng)負(fù)載均衡服務(wù)，因此理想情況下，應(yīng)該優(yōu)先以最快的速度修復(fù)此類資產(chǎn)。

總結(jié)

保護(hù)云基礎(chǔ)架構(gòu)需要一種全新的方法，必須在開發(fā)生命周期的早期階段嵌入安全性，并始終保持安全狀態(tài)。企業(yè)需要持續(xù)監(jiān)控云基礎(chǔ)設(shè)施運行時段配置變更并評估風(fēng)險。

在配置變更帶來風(fēng)險時，必須根據(jù)安全基準(zhǔn)重新部署云基礎(chǔ)架構(gòu)，這樣可以確保意外或惡意進(jìn)行的任何更改都會被自動覆蓋。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文