為什么錯誤配置仍然是云安全的最大威脅
如今,幾乎每家企業都采用了云服務。云遷移的興起始于過去十年。在新冠疫情蔓延期間,遠程工作爆炸式增長擴大了對面向業務的云服務的需求。對于以往只采用單一云服務的企業,如今都轉向采用具有邊緣計算能力的多云和分布式環境。
云安全從一開始就是一個問題。雖然云服務提供商盡一切可能為他們的服務提供安全保護措施,但不幸的是,安全漏洞事件仍然經常發生。然而對這些事件的深入研究表明,許多漏洞不是來自云服務提供商,而是來自最終用戶對這些服務的錯誤配置。
以下探討用戶錯誤配置的普遍性,以及用戶可以采取哪些措施來更好地保護他們運行的云計算環境。
云服務的安全事件
有關云服務安全事件的統計數據令人震驚。根據調研機構在2021年對250多名IT專業人員的一項調查,超過一半的企業都經歷過與云服務相關的安全事件。而且這個統計結果可能低估了實際發生的安全事件數量。
許多都是備受矚目的安全事件,一些知名企業的聲譽和業務受到損害。例如,亞洲規模最大的云計算提供商遭遇數據泄露事件,導致與該公司購物平臺相關的超過11億條記錄對外泄露。
美國的云計算提供商也有很多的數據泄露行為。2021年初,微軟Azure云服務的一次錯誤配置泄露了十幾家提交與微軟合作提案的公司的機密信息(其中包括源代碼)。
2020年底發生的另一起安全事件導致超過50萬條記錄泄露,其中包含高度敏感的個人信息。雖然2021年的微軟Azure泄露事件是由于微軟公司自身的錯誤配置造成的,但大多數漏洞是由于客戶的安全措施不足造成的。
例如最近涉及亞馬遜S3云服務的一次數據泄露事件。為旅游業提供服務的Prestige Software公司錯誤地配置了其AmazonS3服務,導致Booking.com、Hotels.com和Expedia等熱門旅游網站的用戶累計十年的數據對外泄露。
然而,可能最廣為人知的一次數據泄露事件是2019年對亞馬遜AWS用戶CapitalOne公司的攻擊。此次事件導致1億多客戶的個人數據對外泄露,其中包括高度敏感的信息,例如社會安全號碼、信用卡號碼和信用評分。那么其問題的根源是什么?Capital One公司的防火墻配置錯誤。
這些只是近年來發生的主要數據泄露事件中的冰山一角。它們應該作為主要云計算提供商和云計算用戶的警示。雖然企業可以而且應該能夠依賴云計算提供商的安全措施,但僅靠這一點是不夠的。作為全面的內部網絡安全計劃的一部分,企業必須正確配置其云計算環境。
避免云服務的錯誤配置
防止錯誤配置需要在使用的所有階段進行協調一致的努力,從最初的簽署合同到持續的維護和更新。以下是企業應采取的幾個步驟,以最好地保護其云服務。
云服務配置的問題可能在實施過程中很早就出現,其原因很簡單,因為企業沒有充分理解他們的責任。云計算提供商和客戶之間的責任劃分通常取決于云計算提供商是IaaS還是SaaS提供商。
知道誰有什么責任
IaaS提供商(例如AWS、谷歌云、微軟Azure、阿里云等)通常具有共同責任模式。支付卡行業數據安全標準(PCI-DSS)是電子商務企業的主要數據安全協議之一,該標準特別強調了云計算提供商和用戶在確保云平臺中PCI合規性和保護消費者金融數據方面的共同責任。
IaaS客戶在使用這些服務時需要清楚地了解其責任的全部范圍。第一步是讓所有相關IT和網絡安全人員了解服務協議。了解云計算提供商為配置服務提供的工具和支持也很重要。
相比之下,SaaS提供商(例如Salesforce、Workday、Square)往往承擔大部分安全責任。盡管如此,IT和網絡安全專業人員仍然應該審查服務許可協議,以確保企業滿足任何必要的安全要求。
了解常見的配置和安全問題
在與云服務提供商達成協議之前,企業應了解其可能面臨的主要安全問題。所有云服務提供商都提供大量文檔(例如 AWS安全文檔),其中大部分在互聯網上是公開的,即使是那些不使用這些服務的企業也能看到,因此人們需要深入了解配置云服務的復雜性和潛在陷阱。
此外,簡單的互聯網搜索還可以幫助識別配置和使用云服務的挑戰。除了在線文檔之外,還可以訪問云服務提供商提供贊助的技術支持論壇,這些論壇專門討論任何給定云服務的特定問題,并包含有關遇到的問題和解決方案的有用信息。
創建配置模板
IT行業中有一個格言,那就是“如果它沒有壞,就不要修復它”,這個格言適用于云計算配置。一旦企業為現有的云服務創建有效且安全的配置,它們就可以成為其他服務的模板.
這并不意味著對于每個服務都可以簡單地應用現有配置。與其相反,每項新服務都值得特別關注。但這確實意味著企業可以通過從一些安全的設置開始來簡化配置過程。
但是,企業從內部部署系統過渡到云服務時,需要注意采用的模板。雖然可能存在相似之處,但它們仍然運行在不同的運營環境中。Hosting Canada公司網絡開發人員Gary Stevens表示,由于這個原因,云托管越來越受歡迎。
Stevens說,“云托管與虛擬專用服務器(vps)有一些相似之處,但關鍵的區別在于虛擬專用服務器(vps)分布在大量計算機上,而不是擁有其專用的物理地址。”
測試和更新
一旦企業擁有認為安全的配置,必須盡可能更頻繁和嚴格地對其進行測試。測試可以發現以前可能從未考慮過的問題。如果可以進行自動化系統測試,那就更好了。
企業還需要更新其配置以反映云服務的使用或變化。正如原有版本的軟件應用程序為黑客提供了訪問企業網絡和系統的攻擊機會一樣,過時的配置也會產生不必要的漏洞。
結語
云計算應用將會繼續增加,這有著充分理由。云計算技術為企業提供了更高的效率和更多的功能,可以幫助他們更好地運營業務。通過努力和關注,企業可以確保他們對云服務的使用對自己及其客戶來說都是一種安全的體驗。
