最近的調查表明，配置不當的公共云實例將給企業的敏感數據帶來安全挑戰。當數據和應用程序從內部部署環境遷移到云端時，并不總是遵循正確的訪問控制。因此，云計算配置仍然是一個主要問題。

在線工作網站Ladders泄露了它在亞馬遜網絡服務云平臺上托管的1300多萬條用戶記錄。其原因是什么?AWS ElasticSearch服務實例的訪問控制配置錯誤。

今年5月，UpGuard公司安全研究人員的調查報告表明，5億多個Facebook用戶的數據被第三方泄露，第三方將這些信息存儲在未受保護的AmazonS3存儲桶中。營銷服務商Chtrbox公司證實了這一泄露事件，但表示其影響范圍沒有報道的那么大。

根據SANS研究所上個月發布的一份報告，31%的受訪者表示，外部人員未經授權訪問云計算環境或云計算資產，而2017年這一比例為19%。雖然這些攻擊的主要原因是憑證劫持，但云計算配置不佳是第二個主要原因。

這些糟糕的配置不只是面向公眾訪問的數據庫。例如容器管理平臺等其他云計算系統，也是網絡攻擊者主要的目標。

Palo Alto網絡公司最近發現了4萬多個使用默認配置的容器托管服務，其中包括在Kubernetes和Docker這兩個最流行的容器平臺上，每個都在2萬個以上，其配置問題可能使組織容易受到攻擊。

例如，Docker公司在今年4月承認黑客侵入了一個Docker Hub數據庫，并且可能從19萬個帳戶竊取了數據。根據Palo Alto網絡威脅研究員Nathaniel Quist的說法，黑客利用了密鑰和令牌存儲的弱安全配置。

Quist表示，最近的Ladders漏洞是一個基本的容器錯誤配置的例子，這種錯誤配置會產生重大后果。

他在一份報告中寫道：“人們應該從Ladders漏洞中吸取的教訓是，所有部署容器服務的組織需要加強安全配置。”

Malwarebytes實驗室主管Adam Kujawa表示，網絡攻擊者會在云中搜索開放端口或特定的命名約定。隨后他們進入云計算管理平臺的登錄頁面，而其憑證是設備廠商的默認密碼，或者根本沒有設置密碼。

根據Attivo公司去年年底進行的一項針對安全專業人士的調查，對云計算的攻擊是企業面臨的最大安全威脅。今年早些時候，堪薩斯州安全廠商Firemon公司發布的一項調查顯示，60%的受訪者表示，他們的云部署已經超過了保護云平臺的能力。

Firemon公司技術聯盟副總裁Tim Woods說，問題在于云計算的蔓延。例如，業務用戶通常會在沒有IT團隊監管的情況下獲得云計算功能。

他指出，黑客正在不間斷地掃描公共互聯網，尋找他們可以輕松訪問和攻擊的系統。他說，“這些黑客不需要破解密碼，只是在尋找那些沒有配置不當的東西。”

Woods表示，大型企業需要確保他們在所有云計算部署中都具有可見性，并且有人對所有遷移到云中的數據負責。云計算供應商的安全措施也需要加強。

他說，“我認為云計算供應商做得還不夠，因為變化很快。當今的云計算供應商處于加速開發模式。去年我參加AWS Reinvent會議時，該公司推出了238多種不同的新安全功能，其中很多數據都是無意中對外泄露的。”

AWS公司引入的一項新功能是阻止公共訪問功能，該功能已經對意外泄露的S3存儲桶的數量產生了重大影響。根據Digital Shadows公司日前發布的一份報告，S3存儲桶泄露的文件數量從2018年10月的1600萬個下降到今天的2000個。

但這只是一家云計算提供商的云配置挑戰的一個具體示例。

Woods說，“大型企業通常采用多個云計算提供商的服務。每個云計算供應商都有不同的安全方法，而在安全方面，他們需要分清哪些是自己的責任，哪些是客戶的責任。”

他說：“僅僅因為理解云計算提供商的責任，并不意味著它們都是一樣的。”

總部位于弗吉尼亞州阿靈頓的云計算安全供應商DivvyCloud公司聯合創始人兼首席技術官Chris DeRamus表示，問題在于企業很難掌握所有可能出現的配置錯誤。

他說：“越來越多的企業由于配置錯誤而遭受數據泄露，人們幾乎每天都在新聞中看到這些新聞。事實上，組織缺乏適當的工具來識別和修復不安全的軟件配置和部署。”

他說，企業需要尋找能夠實時檢測錯誤配置的自動化解決方案，并提醒安全管理人員注意這些問題，甚至自動解決。