随着企业迁移到云端,他们正迫使CIO改变他们对安全的看法。由于保护基础设施安全的大部分责任现在外包给了云提供商,首席信息官需要更多地关注云技术,以确保它们的配置正确并且数据不会无意中泄露。当CIO评估他们的企业运营是否易受攻击时,三个因素可能会增加无意中打开基础架构大门的可能性:(1)推出新代码和功能CIO对开发人员施加多大压力来交付新代码?当过于关注获取功能和代码时,开发人员可能会无意中导致配置漂移。例如,如果开发人员不断创建新的虚拟机(VM)来测试新代码并手动配置,他们就会创造更多出错的机会。定期对生产代码进行小改动(例如为新的应用程序功能打开额外的通信端口)的开发人员通常会采用变通方法来避免在需要进行调整时耗时的获取管理员权限的过程。(2)增加应用程序的互连性企业与第三方或应用程序组件之间的连接越多,错误配置的可能性就越大。常见的API错误包括对象级别、用户级别和功能级别的授权中断。在公司的API中公开过多的信息也可能为黑客提供破解其代码的线索。云原生容器化应用程序也可能构成威胁,因为单个容器中的无意漏洞可能会让黑客访问企业的整个软件堆栈。(3)云计算基础设施的复杂性云计算架构的复杂性对误配置风险有显着影响。单租户云环境的风险有限,因为没有其他人在同一台机器上存储代码。所有企业都需要关注的是确保他们的机器配置正确。在多租户云环境中,风险也会增加,因为IT人员需要进行配置以确保黑客不会在同一台机器上的虚拟机上运行代码。当代码和数据在各种不同的地方存储和处理时,多云或混合云架构中的风险呈指数级增长。为了让这些部分协同工作,它们需要在整个网络中创建一个复杂连接的网络,从而为代价高昂的错误提供更多机会。管理风险为了最大限度地降低错误配置的风险,组织需要确保持续审查配置并识别错误。这可以通过多种方式完成:在云计算架构更简单且新功能压力较小的不太复杂的系统中,定期手动检查的方法可能就足够了。随着堆栈变得越来越紧凑,复杂的手动流程无法扩展,开发人员可以构建自动化脚本来检查常见和已知的配置问题。虽然这适用于复杂性和连接性有限的情况,但如果意外创建漏洞,黑客可以在运行漏洞扫描工具之前利用它。在一个非常复杂且错误配置风险很高的企业中,持续监控云配置可能是谨慎的做法。许多迁移到云的企业现在都在寻求云安全态势管理(CSPM)解决方案来提高安全性。虽然许多供应商现在提供的平台将持续监控自己的云平台是否存在配置错误问题,但这些解决方案通常不适合多云或混合云架构。由于每个云的实现方式不同并使用自己的术语,因此设计用于监控多个云的第三方解决方案可能是更可行的选择。无论企业选择如何保护自己免受云安全漏洞的侵害,拥有现代基础设施和更敏捷的应用程序开发流程的企业都需要建立更现代的安全态势。
