让数据面临风险的十大常见云安全错误

是的,与本地系统相比,云端具有许多安全优势,尤其是对于小型机构而言,但前提是要避免在云端的配置、监控和安装补丁程序方面犯错误。

新闻中时常会充斥着这样的内容,即错误配置的云服务器受到攻击,以及犯罪分子从云服务器中获取泄露数据。我们可能会在云服务器投入使用时设置了比较宽松的(或没有)凭证,以及忘记设置严谨的凭证。或者在发现漏洞时,我们没有及时更新软件,或者没有让IT人员参与审核最终的应用程序以确保其尽可能安全。

让数据面临风险的十大常见云安全错误

这种情况太常见了。Accurics调研机构和Orca Security云安全公司的研究发现,在各种云实践中存在着一系列的基本配置错误。例如,Accurics机构研究发现,有高达93%的受访者存在存储服务配置错误。

以下是十个最常见的错误:

1. 存储容器不安全

在任何一周时间内,安全研究人员都会在开放式云服务器上发现数据缓存。这些缓存可能包含有关客户的各种机密信息。例如,今年夏初,在雅芳公司(Avon)和Ancestry.com公司都发现了开放的容器。情况变得如此糟糕,甚至安全服务经销商SSL247都将其文件放在了一个开放的AWS S3容器中。

UpGuard公司的克里斯·维克里(Chris Vickery)通过发现的这类问题而出名。 UpGuard公司的博客中列出了一长串的这类问题。开放的存储容器之所以出现,是因为开发人员在创建容器时往往会疏忽大意,并且有时会疏于对它们进行管理。由于云端存储是如此廉价且易于创建,因此在过去几年里其数量已经激增。

解决方法:使用Shodan.io或BinaryEdge.io等流行的发现工具来定期检查自己的域。遵循计算机服务机构(CSO)之前发布的有关提高容器安全性的一些建议,包括使用本地Docker工具,以及使用亚马逊的云原生解决方法,例如Inspector、GuardDuty和CloudWatch。最后,使用诸如AWS Virtual Private Cloud或Azure Virtual Networks等工具对云服务器进行分割。

2. 缺乏对应用程序的保护

网络防火墙在监视和保护Web服务器方面没有帮助。根据Verizon公司发布的2020年数据泄露报告,对Web应用程序的攻击数量增加了一倍以上。普通的网站会运行数十种软件工具,您的应用程序可以由一系列不同的产品集合而成,这些产品会使用数十个服务器和服务。WordPress尤其容易受到攻击,因为人们发现该应用程序使将近一百万个网站处于危险之中。

解决方法:如果您管理一个WordPress博客,请购买此处所说的一个工具。该篇文章还包含了可降低您信息泄露的一些技术,这些技术可以推广到其他网站。对于常规应用程序服务器,可考虑使用Web应用程序防火墙。此外,如果您运行的是Azure或Office 365,可考虑使用微软Defender Application Guard程序的公开预览功能,该程序有助于您发现威胁并防止恶意软件在您的基础架构中扩散。

3. 信任短信息的多因素身份验证(MFA)功能可以保证账户的安全,或完全不使用多因素身份验证

我们大多数人都知道,使用短信息文本作为额外身份验证因素很容易被盗用。更常见的情况是,大多数云应用程序都缺少任何多因素身份验证(MFA)。Orca公司发现,有四分之一的受访者没有使用多因素身份验证来保护其管理员帐户。只需快速浏览一下带有双重因素身份验证功能的网站,就会发现其中一半或更多的常见应用程序(例如Viber、Yammer、Disqus和Crashplan)不支持任何额外的身份验证方法。

解决方法:尽管对于那些不支持更好的(或任何)多因素身份验证方法的商业应用程序,您无能为力,但您可以使用谷歌或Authy公司的身份验证应用程序来尽可能多地保护SaaS应用程序,特别是对于那些拥有更多权限的管理员帐户。还可以监视Azure AD全局管理员角色是否发生变化。

4. 不知道自己的访问权限

说到访问权限,在跟踪哪些用户可以访问某一应用程序方面存在两个基本问题。首先,许多IT部门仍使用管理员权限来运行所有Windows终端。尽管这不只是云端的问题,基于云端的虚拟机和容器也可能有过多的管理员(或共享相同的管理员密码),因此最好将虚拟机或容器进行锁定。其次,您的安全设备无法检测到整个基础架构中发生的常见权限升级攻击。

解决方法:使用BeyondTrust、Thycotic或Cyber​​Ark等公司的权限身份管理工具。然后定期审核您帐户权限的变更情况。

5. 使端口处于开放状态

您上次使用FTP访问云服务器是什么时候?的确如此。这就是美国联邦调查局(FBI)关于2017年使用FTP进行网络入侵的警告。

解决方法:立即关闭那些不需要的和旧的端口,减少受攻击范围。

6. 不注意远程访问

大多数云服务器都具有多种远程连接方式,例如RDP、SSH和Web控制台。所有这些连接方式都可能因权限凭据、较弱的密码设置或不受保护的端口而受到危害。

解决方法:监视这些网络流量,并适当地进行锁定。

7. 没有管理隐私信息

您在哪里保存加密密钥、管理员密码和API密钥?如果您是在本地Word文件中或在便利贴上保存,则您需要获得帮助。您需要更好地保护这些信息,并尽可能少地与授权开发人员共享这些信息。

解决方法:例如AWS Secrets Manager、AWS Parameter Store、Azure Key Vault和Hashicorp Vault等服务就是一些可靠且可扩展的隐私信息管理工具。

8. GitHub平台的诅咒——信任供应链

随着开发人员使用更多的开源工具,他们就延长了软件供应链,这意味着您必须了解这一信任关系,并保护软件在整个开发过程和生命周期中所经历的完整路径。今年早些时候,GitHub平台的IT人员在NetBeans集成开发环境中发现了26个不同的开源项目(一个Java开发平台),这些项目内置了后门程序,并在主动地传播恶意软件。这些项目的负责人都没有意识到他们的代码已被盗用。该问题的一部分是,当代码中存在简单的输入错误和实际已创建了后门程序时,这两种情况很难区分。

解决方法:使用上面第一条所提到的容器安全工具,并了解最常用项目中的监管链。

9. 没有正确地做日志

您上次查看日志是什么时候?如果您不记得,这可能就是个问题,尤其是对于云服务器而言,因为日志可能会激增,并且不再是最为重要的事项。这篇Dons Blog的博客文章叙述了由于存在不良的日志记录操作而发生的攻击。

解决方法:AWS CloudTrail服务将为您的云服务提供更好的实时可见性。另外,还可为账户配置、用户创建、身份验证失败方面发生变化而打开事件日志记录,这只是其中几个例子。

10. 没有为服务器安装补丁程序