云網(wǎng)絡(luò)始終開啟且始終可用。雖然方便，但這也意味著黑客可以隨時(shí)訪問它們。因此，這些網(wǎng)絡(luò)中的任何漏洞(例如云配置錯(cuò)誤)都可能使企業(yè)面臨安全威脅。

在本文中，我們將研究不同類型的云配置錯(cuò)誤以及它們發(fā)生的原因。然后，我們將探討企業(yè)團(tuán)隊(duì)可以采取哪些措施來防止配置錯(cuò)誤并確保企業(yè)的數(shù)據(jù)和商業(yè)利益的安全。

1、什么是云配置錯(cuò)誤

根據(jù)美國(guó)國(guó)家安全局的說法，錯(cuò)誤配置是最常見的云安全漏洞。云配置錯(cuò)誤通常發(fā)生在未正確構(gòu)建云資源時(shí)，使企業(yè)的系統(tǒng)容易受到攻擊。

云環(huán)境配置錯(cuò)誤可能導(dǎo)致系統(tǒng)中斷、意外停機(jī)或安全風(fēng)險(xiǎn)。原因可能包括過于復(fù)雜的環(huán)境、安全實(shí)踐知識(shí)不足以及手動(dòng)過程導(dǎo)致的人為錯(cuò)誤。

2、云配置錯(cuò)誤的類型

云環(huán)境和資源的錯(cuò)誤配置可能包含廣泛的安全問題。

以下為兩種最常見的錯(cuò)誤配置類型：訪問控制不足和網(wǎng)絡(luò)訪問許可。

1)資源訪問控制不足

云上的默認(rèn)權(quán)限通常以最小的障礙開始。這意味著在開發(fā)人員或系統(tǒng)管理員實(shí)施訪問控制之前，每個(gè)人都可以訪問所有內(nèi)容。因此，務(wù)必記住立即設(shè)置這些控件。

另一種情況是當(dāng)開發(fā)人員決定在配置應(yīng)用程序時(shí)將所有內(nèi)容設(shè)置為開放訪問。雖然這讓他們?cè)诖诉^程中的工作更輕松，但如果他們不去重新實(shí)施訪問控制，企業(yè)的系統(tǒng)將面臨更高的數(shù)據(jù)泄露風(fēng)險(xiǎn)。

2)許可網(wǎng)絡(luò)訪問

與訪問控制類似，當(dāng)團(tuán)隊(duì)成員建立網(wǎng)絡(luò)或新服務(wù)器時(shí)，他們可能會(huì)在配置應(yīng)用程序時(shí)應(yīng)用相對(duì)寬松的端口訪問和路由。

關(guān)鍵是確保只公開預(yù)期的面向外部的端口，從而減少資源之間的通信選項(xiàng)。這消除了惡意方可以使用的許多攻擊載體。

3、與云配置錯(cuò)誤相關(guān)的風(fēng)險(xiǎn)

云配置錯(cuò)誤可能會(huì)給企業(yè)的安全性和為客戶服務(wù)的能力帶來各種風(fēng)險(xiǎn)。根據(jù)錯(cuò)誤配置的類型，這種風(fēng)險(xiǎn)可能從性能或可靠性問題到重大安全風(fēng)險(xiǎn)。

兩個(gè)最常見的風(fēng)險(xiǎn)是敏感數(shù)據(jù)泄露和服務(wù)中斷。

1)敏感數(shù)據(jù)泄露

許多訪問控制錯(cuò)誤配置可能會(huì)暴露敏感數(shù)據(jù)或使有價(jià)值的文件面臨被盜的風(fēng)險(xiǎn)。允許攻擊者從企業(yè)的數(shù)據(jù)庫(kù)中讀取數(shù)據(jù)或從云存儲(chǔ)中檢索文件會(huì)使企業(yè)面臨間諜活動(dòng)的風(fēng)險(xiǎn)，暴露用戶的個(gè)人信息并使惡意行為者能夠刪除關(guān)鍵數(shù)據(jù)。

2)服務(wù)中斷

如果攻擊者訪問企業(yè)的網(wǎng)絡(luò)或服務(wù)器，他們可能會(huì)破壞企業(yè)的服務(wù)。

這種中斷可能包括勒索軟件攻擊。黑客可以加密企業(yè)的文件或服務(wù)器，刪除資源，甚至使用企業(yè)的服務(wù)器發(fā)送垃圾郵件或非法挖掘比特幣。

此外，錯(cuò)誤配置的服務(wù)器、網(wǎng)絡(luò)或容器可能會(huì)阻止在負(fù)載下正確擴(kuò)展或阻礙站點(diǎn)災(zāi)難恢復(fù)。這可能會(huì)導(dǎo)致企業(yè)用戶中斷，并迫使企業(yè)為環(huán)境支付更多費(fèi)用。

4、云配置錯(cuò)誤是如何發(fā)生的

作為 IT 專業(yè)人員，我們不會(huì)故意錯(cuò)誤地配置資源或設(shè)置環(huán)境，以免以后出現(xiàn)問題。大多數(shù)錯(cuò)誤配置是由于人為錯(cuò)誤造成的，主要是由于基礎(chǔ)設(shè)施過于復(fù)雜或?qū)Π踩珜?shí)踐了解不足等因素。

1)過于復(fù)雜的基礎(chǔ)設(shè)施

當(dāng)環(huán)境的復(fù)雜性超出我們的習(xí)慣時(shí)，通常會(huì)發(fā)生人為錯(cuò)誤。在可擴(kuò)展的架構(gòu)中快速創(chuàng)建資源、添加組件或新容器以及更改配置——這些都是常見的錯(cuò)誤來源。

雖然企業(yè)需要采取這些措施來發(fā)展業(yè)務(wù)，但實(shí)施一套安全檢查表也很重要。因?yàn)樵谄髽I(yè)的環(huán)境中沒有某種形式的標(biāo)準(zhǔn)化，企業(yè)可能很難確保所有組件都正確配置和保護(hù)。

2)對(duì)安全的理解不足

大多數(shù)開發(fā)人員和 DevOps 團(tuán)隊(duì)在開發(fā)和使用應(yīng)用程序和基礎(chǔ)架構(gòu)時(shí)不會(huì)優(yōu)先考慮安全性。這些團(tuán)隊(duì)主要專注于確保服務(wù)正常工作并提供功能。

因此，企業(yè)在開發(fā)團(tuán)隊(duì)開始工作時(shí)，牢記安全性是關(guān)鍵。確保他們了解重要概念，例如靜態(tài)加密、最小特權(quán)原則和應(yīng)用程序強(qiáng)化。

開始密切關(guān)注云配置可能看起來很乏味，但從長(zhǎng)遠(yuǎn)來看是值得的。

5、減少錯(cuò)誤配置的提示

我們可以實(shí)施許多解決方案和流程來降低配置錯(cuò)誤的風(fēng)險(xiǎn)并顯著降低它們發(fā)生的可能性。

以下是企業(yè)的 IT 團(tuán)隊(duì)可以部署的一些工具和技術(shù)示例，具體取決于其環(huán)境和組織的性質(zhì)。

1)采用變更管理實(shí)踐

變更管理實(shí)踐，例如定期變更節(jié)奏和變更審查小組，可以顯著減少錯(cuò)誤配置的機(jī)會(huì)。

在沒有額外工具的情況下，以標(biāo)準(zhǔn)化方式調(diào)度、審查和實(shí)施變更可以顯著降低配置錯(cuò)誤的風(fēng)險(xiǎn)。

2)簡(jiǎn)化自身環(huán)境

與其為環(huán)境中部署的每個(gè)組件都定制基礎(chǔ)架構(gòu)，不如標(biāo)準(zhǔn)化一些組件并使用模板進(jìn)行部署。

這種標(biāo)準(zhǔn)化允許團(tuán)隊(duì)成員快速發(fā)現(xiàn)不同的組件配置，并使整個(gè)環(huán)境的管理更加簡(jiǎn)單。

3)進(jìn)行記錄

企業(yè)應(yīng)確保團(tuán)隊(duì)像任何其他關(guān)鍵數(shù)據(jù)集一樣維護(hù)和備份環(huán)境文檔和配置，以將當(dāng)前環(huán)境與預(yù)期環(huán)境進(jìn)行比較。

記錄配置和環(huán)境一開始可能看起來很乏味，但從長(zhǎng)遠(yuǎn)來看，額外的工作將變得有益。這些文檔將幫助企業(yè)團(tuán)隊(duì)跟蹤問題、排除故障并幫助管理者確定未來要做什么以發(fā)揮關(guān)鍵作用。

4)采用基礎(chǔ)設(shè)施即代碼實(shí)踐

基于變更管理實(shí)踐的理念，建議采用工具和流程來構(gòu)建基礎(chǔ)設(shè)施即代碼。當(dāng)企業(yè)將基礎(chǔ)架構(gòu)定義為代碼并定期查看時(shí)，會(huì)很難出現(xiàn)配置錯(cuò)誤。

如果企業(yè)采用持續(xù)交付工具來保持配置常青，那么防止配置漂移和回滾意外更改也容易得多。

5)掃描漏洞

建議企業(yè)定期掃描自身環(huán)境以查找所有漏洞。這種掃描包括從靜態(tài)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試到掃描網(wǎng)絡(luò)和防火墻的所有內(nèi)容，以確保端口和路由保持鎖定狀態(tài)。

各種配置代碼掃描器，如 Bridgecrew 和 Snyk，使企業(yè)團(tuán)隊(duì)能夠在基礎(chǔ)架構(gòu)即代碼框架中查找和修復(fù)常見配置錯(cuò)誤。

6)執(zhí)行滲透測(cè)試

除了定期的漏洞掃描，對(duì)自身環(huán)境和應(yīng)用程序運(yùn)行實(shí)際滲透測(cè)試可以幫助發(fā)現(xiàn)和修復(fù)架構(gòu)中的潛在弱點(diǎn)。

滲透測(cè)試作為一項(xiàng)專業(yè)服務(wù)可能非常昂貴，但是進(jìn)行某種形式的定期滲透測(cè)試可確保企業(yè)應(yīng)用程序盡可能強(qiáng)大。

7)采用 DevSecOps 文化

長(zhǎng)期以來，在開發(fā)和部署過程中，安全性都是事后才考慮的問題。開發(fā)、安全和運(yùn)營(yíng) ( DevSecOps ) 文化通過將安全集成為應(yīng)用程序設(shè)計(jì)和開發(fā)的一個(gè)方面來解決這個(gè)問題。

在應(yīng)用程序設(shè)計(jì)和開發(fā)團(tuán)隊(duì)中擁有豐富的安全資源有助于將安全性融入應(yīng)用程序的基礎(chǔ)。通過防止問題的出現(xiàn)，可以為企業(yè)避免之后解決問題的麻煩。

即使在現(xiàn)在的技術(shù)領(lǐng)域，配置錯(cuò)誤仍然是云環(huán)境中的常見現(xiàn)象，導(dǎo)致各種規(guī)模的公司出現(xiàn)系統(tǒng)中斷和數(shù)據(jù)泄露。

企業(yè)可以使用更明確、更標(biāo)準(zhǔn)化的安全方法來解決各種錯(cuò)誤配置，并將這種方法融入開發(fā)流程和工具中。通過將開發(fā)實(shí)踐擴(kuò)展到基礎(chǔ)架構(gòu)管理并添加安全重點(diǎn)，企業(yè)可以大大減少錯(cuò)誤配置的影響和發(fā)生率。