随着多云、混合云趋势的发展,过去传统的云安全策略显然不适合新的云环境。尽管很多企业一直非常重视云安全问题,但其中很多风险点并没有得到真正的解决。大部分企业还在采用过去本地环境的云安全措施,导致云安全策略不一致,增加了应用风险和漏洞!最严重的问题是,私有云部署环境中的很多安全问题并不需要黑客高手入侵,而是缺乏安全常识!很多安全问题是防不胜防的!即使在理想的环境中,也容易发生重大安全事件,更何况你的系统本身出现了问题,无异于给攻击者开了一个洞。门。因此,要保证云环境的安全,除了要在云安全措施上下功夫外,还要警惕安全常识问题!首先,不要忽视“僵尸负载”。许多企业往往会忽略系统架构上运行的僵尸负载。尤其是在企业应用的高峰期,一旦遇到严重的安全问题,“僵尸负载”就会先被排除,被忽略。事实上,很多别有用心的人利用僵尸资源窃取密码。僵尸工作负载虽然并不关键,但它是建立在企业整体基础设施之上的,如果不加以管理,将更容易受到入侵。SkyBoxSecurity2018年的一份报告显示,加密劫持是一种主要的网络攻击媒介。DevOps团队必须确保应用程序资源不受威胁,并采取有效的安全措施来防止所有恶意行为,就像托管加密货币一样。其次,我们必须对AWSS3Buckets的泄漏问题给予足够的重视。AWS云服务,尤其是S3Buckets,是运行时间最长的云原生服务之一,至今仍保持着以往的安全保护方式和规则,因此成为勒索软件攻击的主要目标。统计数据显示,7%的AmazonS3bucket未限制公开访问,35%的bucket未加密,这意味着此类问题在整个AmazonS3服务器中普遍存在。恶意行为者不仅可以通过S3存储桶访问企业的敏感客户数据,还可以访问云凭证。许多灾难性的数据泄露都是由于访问不受限制的S3存储桶造成的,因此定期检查AWS平台上的公共云存储字段非常重要。第三,系统更新最好不要绕过CI/CD管道。每个DevSecOps团队都有一种惯性思维,认为系统程序更新必须通过CI/CD管道进行交付,这样系统部署才更安全,但这并不意味着每次运行时都必须强制执行此策略。为了加速部署并避免安全问题,开发人员通常使用开源库来绕过CI/CD管道。虽然这种方法为开发人员节省了系统推出和更新的时间,但它给必须对异常工作负载执行额外扫描的安全团队带来了更大的负担。从长远来看,开发团队会认为安全团队没有办法阻止未经授权的工作负载,只能简单地接受并执行。最终,系统的安全状况将逐渐恶化到恶意入侵者可以在不被发现的情况下运行有害工作负载的程度,但到那时,为时已晚。第四,应限制网络访问。许多DevOps团队并没有花大量时间在分段和分离访问权限上,而是依赖于一套完整的网络配置,这远远不能满足必要的访问限制。工作负载都放在一个单独的VPC中,以便可以通过第三方进程访问它们。如果不限制公共网络访问,安全团队将需要很长时间才能识别和隔离恶意行为。即使在很短的时间内,DevSecOps团队发现了一些严重的漏洞,也无法及时处理安全配置文件中的安全漏洞!第五,在使用微服务时,一定要设置正确的规则当DevOps团队在容器中使用微服务时,你会面临更大的挑战,而且划分得越细,就越有可能出现错误的规则设置。即使是最熟悉的规则和集群也会因疏忽而造成无数漏洞。例如,如果允许开发人员使用特定IP通过SSH远程连接到生产环境,他们可能会在不知不觉中允许敏感区域访问不受限制的公共网络访问。有时,这些不正确的规则配置几个月都没有引起注意。为了避免不正确的规则支持,需要使用AmazonInspector的Agentless进行监控,或者使用其他网络评估工具进行定期审计。
