爲什(shén)麽錯誤配置仍然是雲安全的最大(dà)威脅

如今，幾乎每家企業都采用(yòng)了(le)雲服務。雲遷移的興起始于過去十年。在新冠疫情蔓延期間，遠程工(gōng)作(zuò)爆炸式增長擴大(dà)了(le)對(duì)面向業務的雲服務的需求。對(duì)于以往隻采用(yòng)單一雲服務的企業，如今都轉向采用(yòng)具有邊緣計(jì)算(suàn)能(néng)力的多雲和(hé)分布式環境。 雲安全從(cóng)一開(kāi)始就是一個問題。雖然雲服務提供商盡一切可能(néng)爲他(tā)們的服務提供安全保護措施，但(dàn)不幸的是，安全漏洞事(shì)件仍然經常發生。然而對(duì)這(zhè)些(xiē)事(shì)件的深入研究表明(míng)，許多漏洞不是來(lái)自(zì)雲服務提供商，而是來(lái)自(zì)最終用(yòng)戶對(duì)這(zhè)些(xiē)服務的錯誤配置。 以下(xià)探讨用(yòng)戶錯誤配置的普遍性，以及用(yòng)戶可以采取哪些(xiē)措施來(lái)更好(hǎo)地保護他(tā)們運行的雲計(jì)算(suàn)環境。 雲服務的安全事(shì)件 有關雲服務安全事(shì)件的統計(jì)數據令人震驚。根據調研機構在2021年對(duì)250多名IT專業人員的一項調查，超過一半的企業都經曆過與雲服務相關的安全事(shì)件。而且這(zhè)個統計(jì)結果可能(néng)低(dī)估了(le)實際發生的安全事(shì)件數量。 許多都是備受矚目的安全事(shì)件，一些(xiē)知(zhī)名企業的聲譽和(hé)業務受到(dào)損害。例如，亞洲規模最大(dà)的雲計(jì)算(suàn)提供商遭遇數據洩露事(shì)件，導緻與該公司購物平台相關的超過11億條記錄對(duì)外(wài)洩露。 美(měi)國的雲計(jì)算(suàn)提供商也(yě)有很(hěn)多的數據洩露行爲。2021年初，微軟Azure雲服務的一次錯誤配置洩露了(le)十幾家提交與微軟合作(zuò)提案的公司的機密信息(其中包括源代碼)。 2020年底發生的另一起安全事(shì)件導緻超過50萬條記錄洩露，其中包含高(gāo)度敏感的個人信息。雖然2021年的微軟Azure洩露事(shì)件是由于微軟公司自(zì)身的錯誤配置造成的，但(dàn)大(dà)多數漏洞是由于客戶的安全措施不足造成的。 例如最近涉及亞馬遜S3雲服務的一次數據洩露事(shì)件。爲旅遊業提供服務的Prestige Software公司錯誤地配置了(le)其AmazonS3服務，導緻Booking.com、Hotels.com和(hé)Expedia等熱門(mén)旅遊網站(zhàn)的用(yòng)戶累計(jì)十年的數據對(duì)外(wài)洩露。 然而，可能(néng)最廣爲人知(zhī)的一次數據洩露事(shì)件是2019年對(duì)亞馬遜AWS用(yòng)戶CapitalOne公司的攻擊。此次事(shì)件導緻1億多客戶的個人數據對(duì)外(wài)洩露，其中包括高(gāo)度敏感的信息，例如社會(huì)安全号碼、信用(yòng)卡号碼和(hé)信用(yòng)評分。那麽其問題的根源是什(shén)麽?Capital One公司的防火牆配置錯誤。 這(zhè)些(xiē)隻是近年來(lái)發生的主要數據洩露事(shì)件中的冰山一角。它們應該作(zuò)爲主要雲計(jì)算(suàn)提供商和(hé)雲計(jì)算(suàn)用(yòng)戶的警示。雖然企業可以而且應該能(néng)夠依賴雲計(jì)算(suàn)提供商的安全措施，但(dàn)僅靠這(zhè)一點是不夠的。作(zuò)爲全面的内部網絡安全計(jì)劃的一部分，企業必須正确配置其雲計(jì)算(suàn)環境。 避免雲服務的錯誤配置 防止錯誤配置需要在使用(yòng)的所有階段進行協調一緻的努力，從(cóng)最初的簽署合同到(dào)持續的維護和(hé)更新。以下(xià)是企業應采取的幾個步驟，以最好(hǎo)地保護其雲服務。 雲服務配置的問題可能(néng)在實施過程中很(hěn)早就出現(xiàn)，其原因很(hěn)簡單，因爲企業沒有充分理(lǐ)解他(tā)們的責任。雲計(jì)算(suàn)提供商和(hé)客戶之間的責任劃分通常取決于雲計(jì)算(suàn)提供商是IaaS還是SaaS提供商。 知(zhī)道(dào)誰有什(shén)麽責任 IaaS提供商(例如AWS、谷歌雲、微軟Azure、阿裏雲等)通常具有共同責任模式。支付卡行業數據安全标準(PCI-DSS)是電子商務企業的主要數據安全協議(yì)之一，該标準特别強調了(le)雲計(jì)算(suàn)提供商和(hé)用(yòng)戶在确保雲平台中PCI合規性和(hé)保護消費者金(jīn)融數據方面的共同責任。 IaaS客戶在使用(yòng)這(zhè)些(xiē)服務時(shí)需要清楚地了(le)解其責任的全部範圍。第一步是讓所有相關IT和(hé)網絡安全人員了(le)解服務協議(yì)。了(le)解雲計(jì)算(suàn)提供商爲配置服務提供的工(gōng)具和(hé)支持也(yě)很(hěn)重要。 相比之下(xià)，SaaS提供商(例如Salesforce、Workday、Square)往往承擔大(dà)部分安全責任。盡管如此，IT和(hé)網絡安全專業人員仍然應該審查服務許可協議(yì)，以确保企業滿足任何必要的安全要求。 了(le)解常見的配置和(hé)安全問題 在與雲服務提供商達成協議(yì)之前，企業應了(le)解其可能(néng)面臨的主要安全問題。所有雲服務提供商都提供大(dà)量文(wén)檔(例如 AWS安全文(wén)檔)，其中大(dà)部分在互聯網上(shàng)是公開(kāi)的，即使是那些(xiē)不使用(yòng)這(zhè)些(xiē)服務的企業也(yě)能(néng)看(kàn)到(dào)，因此人們需要深入了(le)解配置雲服務的複雜(zá)性和(hé)潛在陷阱。 此外(wài)，簡單的互聯網搜索還可以幫助識别配置和(hé)使用(yòng)雲服務的挑戰。除了(le)在線文(wén)檔之外(wài)，還可以訪問雲服務提供商提供贊助的技術支持論壇，這(zhè)些(xiē)論壇專門(mén)讨論任何給定雲服務的特定問題，并包含有關遇到(dào)的問題和(hé)解決方案的有用(yòng)信息。 創建配置模闆 IT行業中有一個格言，那就是“如果它沒有壞，就不要修複它”，這(zhè)個格言适用(yòng)于雲計(jì)算(suàn)配置。一旦企業爲現(xiàn)有的雲服務創建有效且安全的配置，它們就可以成爲其他(tā)服務的模闆. 這(zhè)并不意味着對(duì)于每個服務都可以簡單地應用(yòng)現(xiàn)有配置。與其相反，每項新服務都值得特别關注。但(dàn)這(zhè)确實意味着企業可以通過從(cóng)一些(xiē)安全的設置開(kāi)始來(lái)簡化配置過程。 但(dàn)是，企業從(cóng)内部部署系統過渡到(dào)雲服務時(shí)，需要注意采用(yòng)的模闆。雖然可能(néng)存在相似之處，但(dàn)它們仍然運行在不同的運營環境中。Hosting Canada公司網絡開(kāi)發人員Gary Stevens表示，由于這(zhè)個原因，雲托管越來(lái)越受歡迎。 Stevens說，“雲托管與虛拟專用(yòng)服務器(vps)有一些(xiē)相似之處，但(dàn)關鍵的區(qū)别在于虛拟專用(yòng)服務器(VPS)分布在大(dà)量計(jì)算(suàn)機上(shàng)，而不是擁有其專用(yòng)的物理(lǐ)地址。” 測試和(hé)更新 一旦企業擁有認爲安全的配置，必須盡可能(néng)更頻繁和(hé)嚴格地對(duì)其進行測試。測試可以發現(xiàn)以前可能(néng)從(cóng)未考慮過的問題。如果可以進行自(zì)動化系統測試，那就更好(hǎo)了(le)。 企業還需要更新其配置以反映雲服務的使用(yòng)或變化。正如原有版本的軟件應用(yòng)程序爲黑客提供了(le)訪問企業網絡和(hé)系統的攻擊機會(huì)一樣，過時(shí)的配置也(yě)會(huì)産生不必要的漏洞。 結語 雲計(jì)算(suàn)應用(yòng)将會(huì)繼續增加，這(zhè)有着充分理(lǐ)由。雲計(jì)算(suàn)技術爲企業提供了(le)更高(gāo)的效率和(hé)更多的功能(néng)，可以幫助他(tā)們更好(hǎo)地運營業務。通過努力和(hé)關注，企業可以确保他(tā)們對(duì)雲服務的使用(yòng)對(duì)自(zì)己及其客戶來(lái)說都是一種安全的體驗。