是的,与本地系统相比,云具有许多安全优势,尤其是对于较小的组织,但前提是要避免在云中配置、监控和安装补丁中的错误。新闻中充斥着配置错误的云服务器遭到攻击以及犯罪分子从云服务器获取受损数据的故事。我们可能会在云服务器投入使用时设置更宽松(或没有)的凭证,而忘记设置严格的凭证。或者当发现漏洞时我们没有及时更新软件,或者我们没有让IT参与审查最终应用程序以确保它尽可能安全。这种情况太常见了。AccuricsResearch和OrcaSecurity的研究发现了各种云实践中的一系列基本错误配置。例如,Accurics的一项研究发现,多达93%的受访者存在存储服务配置错误。以下是十个最常见的错误:1.不安全的存储容器在任何给定的一周内,安全研究人员都会在开放的云服务器上找到数据缓存。这些缓存可能包含有关客户的各种机密信息。例如,今年夏天早些时候,雅芳和Ancestry.com都发现了打开的容器。事情变得如此糟糕,甚至安全服务经销商SSL247也将其文件放在一个开放的AWSS3容器中。UpGuard的ChrisVickery因发现这类问题而名声大噪。UpGuard博客有一长串这些问题。OpenStorageContainer之所以出现,是因为开发人员在创建容器时往往粗心大意,有时甚至忽视了对它们的管理。由于云存储非常便宜且易于创建,因此在过去几年中激增。解决方法:使用Shodan.io或BinaryEdge.io等流行的发现工具定期检查您的域。遵循计算机服务组织(CSO)之前发布的一些提高容器安全性的建议,包括使用原生Docker工具,以及使用Amazon的云原生解决方案,例如Inspector、GuardDuty和CloudWatch。最后,使用AWSVirtualPrivateCloud或AzureVirtualNetworks等工具对云服务器进行分段。2.缺乏对应用程序的保护网络防火墙无助于监控和保护网络服务器。根据Verizon发布的2020年数据泄露报告,针对Web应用程序的攻击数量增加了一倍多。一个典型的网站运行着数十种软件工具,您的应用程序可以是使用数十种服务器和服务的不同产品的集合。WordPress特别容易受到攻击,因为该应用程序被发现将近100万个网站置于风险之中。解决方法:如果您管理WordPress博客,请购买此处提到的工具之一。本文还包含一些减少您的信息泄露的技巧,这些技巧可以扩展到其他网站。对于常规应用程序服务器,请考虑使用Web应用程序防火墙。此外,如果您运行的是Azure或Office365,请考虑使用MicrosoftDefenderApplicationGuard程序的公共预览版,它可以帮助您发现威胁并防止恶意软件在您的基础设施中传播。3.相信SMS多因素身份验证(MFA)功能来保证帐户安全,或者根本不使用MFA我们大多数人都知道,使用SMS文本作为额外的身份验证因素很容易受到威胁。更常见的是,大多数云应用程序都缺少任何多因素身份验证(MFA)。Orca发现四分之一的受访者没有使用多重身份验证来保护他们的管理员帐户。只要快速浏览一下具有双因素身份验证的网站,就会发现这些常见应用程序(例如Viber、Yammer、Disqus和Crashplan)中有一半或更多不支持任何其他身份验证方法。解决方法:虽然对于不支持更好(或任何)多因素身份验证方法的商业应用程序您无能为力,但您可以通过使用来自Google或Authy等公司的身份验证应用程序来保护尽可能多的SaaS应用程序,尤其是对于具有更多权限的管理员帐户。您还可以监视AzureAD全局管理员角色的更改。4.不知道您的访问权限在访问权限方面,在跟踪哪些用户有权访问应用程序方面存在两个基本问题。首先,许多IT部门仍然以管理员权限运行所有Windows终端。虽然这不仅仅是云问题,但基于云的虚拟机和容器也可能有太多管理员(或共享相同的管理员密码),因此最好锁定虚拟机或容器。其次,您的安全设备无法检测到整个基础架构中发生的常见权限升级攻击。解决方法:使用来自BeyondTrust、Thycotic或Cyber??Ark等公司的许可身份管理工具。然后定期检查您的帐户权限的更改。5.保持端口开放你上次使用FTP访问云服务器是什么时候?确切地。这就是FBI在2017年就使用FTP进行网络入侵发出的警告。解决方案:立即关闭那些不需要的和旧的端口,以缩小攻击范围。6、不注意远程访问大多数云服务器有多种远程连接方式,如RDP、SSH和web控制台。所有这些连接方法都可能因特权凭据、弱密码设置或未受保护的端口而受到损害。解决方法:监控这些网络流量并适当锁定。7.不管理私人信息你在哪里保存你的加密密钥、管理员密码和API密钥?如果您将它们保存在本地Word文件或便利贴中,则需要帮助。您需要更好地保护这些信息,并尽可能少地与授权开发人员共享。解决方案:AWSSecretsManager、AWSParameterStore、AzureKeyVault和HashicorpVault等服务是一些可靠且可扩展的隐私信息管理工具。8.GitHub平台的魔咒——信任供应链随着开发者使用更多的开源工具,他们延伸了软件供应链,这意味着你必须了??解这种信任关系,并在整个开发过程和生命周期中保护软件走过的完整路径周期。今年早些时候,GitHub平台IT人员在Java开发平台NetBeansIDE中发现了26个不同的开源项目,这些项目内置后门并正在积极传播恶意软件。项目负责人都没有意识到他们的代码被盗了。部分问题是很难区分代码中的简单拼写错误和实际创建后门的时间。解决方案:使用上面#1中提到的容器安全工具,并了解最常见项目中的监管链。9.没有正确记录你最后一次查看日志是什么时候?如果您不记得了,这可能是个问题,尤其是对于云服务器,因为日志可能会激增并且不再是首要考虑因素。这篇DonsBlog博文描述了由于不良的日志记录做法而发生的攻击。解决方案:AWSCloudTrail服务将为您的云服务提供更好的实时可见性。此外,可以为帐户配置、用户创建、身份验证失败等方面的更改打开事件日志记录,仅举几例。10.未打补丁的服务器仅仅因为你有基于云的服务器,并不意味着这些服务器会自动打补丁或自动更新他们的系统到最新版本。(尽管一些主机托管和云托管提供商确实提供这项服务。)上述Orca研究发现,一半的受访者至少运行一台过时的服务器。由于未打补丁的服务器造成的攻击数量太多,无法在此一一列举。解决方案:更加注意您的补丁管理工作,并与可以让您了解重要程序更新的供应商合作。
