是的,与本地系统相比,云具有许多安全优势,特别是对于小型机构,但前提是避免在云配置、监控和安装补丁程序方面出现错误。
新闻中经常充斥着这样的内容,即错误配置的云服务器受到攻击,罪犯从云服务器中获取泄露数据。当云服务器投入使用时,我们可能会设置相对宽松的(或没有)凭证,忘记设置严格的凭证。或者当我们发现漏洞时,我们没有及时更新软件,或者没有让步IT人员参与审核最终的应用程序以确保其尽可能安全。
这种情况太常见了。Accurics调研机构和Orca Security云安全公司的研究发现,各种云实践中存在一系列基本配置错误。Accurics机构研究发现,93%的受访者存在存储服务配置错误。
以下是十个最常见的错误:
1. 存储容器不安全
在任何一周内,安全研究人员都会在开放式云服务器上找到数据缓存。这些缓存可能包含各种关于客户的秘密信息。例如,今年夏初,雅芳(Avon)和Ancestry.com公司发现了开放容器。情况变得如此糟糕,甚至安全服务经销商SSL247他们都把文件放在一个开放的文件里AWS S3容器中。
UpGuard公司的克里斯·维克里(Chris Vickery)以发现的问题而闻名。UpGuard该公司的博客列出了一长串这样的问题。开放式存储容器之所以出现,是因为开发人员在创建容器时往往会疏忽大意,有时会疏忽管理它们。由于云存储如此便宜和容易创建,它的数量在过去几年激增。
解决方法:使用Shodan.io或BinaryEdge.io定期检查流行的发现工具。遵循计算机服务机构(CSO)一些关于提高容器安全性的建议,包括使用Docker使用亚马逊云原生解决方案的工具,如Inspector、GuardDuty和CloudWatch。最后,用例如AWS Virtual Private Cloud或Azure Virtual Networks等待工具分割云服务器。
2. 对应用程序缺乏保护
监控和保护网络防火墙Web根据服务器没有帮助。Verizon公司发布的2020年数据泄露报告是对的Web应用程序的攻击量增加了一倍多。普通网站将运行数十个软件工具,您的应用程序可以由一系列不同的产品组成,使用数十个服务器和服务。WordPress由于人们发现这个应用程序使近百万个网站处于危险之中,特别容易受到攻击。
如果你管理一个解决方案:WordPress博客,请购买这里提到的工具。本文还包含了一些可以减少信息泄露的技术,可以推广到其他网站。对于常规应用程序服务器,可以考虑使用Web防火墙的应用。另外,如果你操作的话Azure或Office 365可考虑使用微软Defender Application Guard该程序的公开预览功能可以帮助您找到威胁,防止恶意软件在您的基础设施中传播。
3. 信任短信息的多因素身份验证(MFA)功能可以保证账户的安全,或者完全不使用多因素身份验证
我们大多数人都知道,使用短信文本作为额外的身份验证因素很容易被盗。更常见的是,大多数云应用程序缺乏任何多因素的身份验证(MFA)。Orca该公司发现,四分之一的受访者没有使用多因素身份验证来保护其管理员账户。只要快速浏览具有双因素身份验证功能的网站,你就会发现一半或更多的常见应用程序(例如Viber、Yammer、Disqus和Crashplan)不支持任何额外的身份验证方法。
解决方案:虽然你无法支持那些不支持更好(或任何)多因素身份验证方法的商业应用程序,但你可以使用谷歌或Authy公司能多地保护公司的身份验证应用程序SaaS应用程序,尤其是那些拥有更多权限的管理员账户。也可以监控Azure AD管理员的角色是否发生了变化。
4. 不知道自己的访问权限
说到访问权限,跟踪哪些用户可以访问某个应用程序有两个基本问题。首先,很多IT部门仍然使用管理员的权限来运行所有Windows终端。虽然这不仅仅是云的问题,基于云的虚拟机和容器可能有太多的管理员(或共享相同的管理员密码),所以最好锁定虚拟机或容器。其次,您的安全设备无法检测到整个基础设施中常见的权限升级攻击。
解决方案:使用BeyondTrust、Thycotic或CyberArk等待公司的权限身份管理工具。然后定期审查您账户权限的变更。
5. 使端口处于开放状态
您上次使用FTP什么时候访问云服务器?这是真的。这是美国联邦调查局。(FBI)关于2017年使用FTP警告网络入侵。
解决方案:立即关闭不必要和旧的端口,以减少攻击范围。
6. 不注意远程访问
大多数云服务器都有多种远程连接方式,例如RDP、SSH和Web控制台。所有这些连接方式都可能受到权限凭证、弱密码设置或无保护端口的伤害。
解决方案:监控这些网络流量并适当锁定。
7. 隐私信息没有管理
保存加密钥、管理员密码和API如果你在本地Word您需要帮助文件或保存在便利贴上。您需要更好地保护这些信息,并尽可能少地与授权开发人员共享。
解决方案:例如AWS Secrets Manager、AWS Parameter Store、Azure Key Vault和Hashicorp Vault其他服务是一些可靠和可扩展的隐私信息管理工具。
8. GitHub平台的诅咒——信任供应链
随着开发人员使用更多的开源工具,他们延长了软件供应链,这意味着你必须了解这种信任,并保护软件在整个开发过程和生命周期中经历的完整路径。今年早些时候,GitHub平台的IT人员在NetBeans在综合开发环境中发现了26个不同的开源项目(一个Java开发平台),这些项目内置后门程序,并积极传播恶意软件。这些项目的负责人没有意识到他们的代码被盗。部分问题是,当代码中有简单的输入错误和实际的后门程序时,很难区分这两种情况。
解决方案:使用上述第一条提到的容器安全工具,了解最常用项目中的监管链。
9. 没有正确的日志
您上次查看日志是什么时候?如果您不记得,这可能就是个问题,尤其是对于云服务器而言,因为日志可能会激增,并且不再是最为重要的事项。这篇Dons Blog博客文章描述了日志记录操作不良造成的攻击。
解决方法:AWS CloudTrail服务将为您的云服务提供更好的实时可见性。此外,事件日志记录也可以打开,以便帐户配置、用户创建和身份验证失败。这只是几个例子。
10. 没有为服务器安装补丁程序
仅仅因为你有基于云的服务器,这并不意味着这些服务器会自动安装补丁程序或将自己的系统更新为最新版本。(虽然有些托管服务和云托管提供商确实提供这项服务。)上面提到的Orca该公司的研究发现,一半的受访者至少在运行一个过时的服务器。由于服务器没有补丁,攻击的数量太多,无法在这里逐一列出。
解决方案:更加关注您的补丁程序管理,并与能够及时通知您重要程序更新的供应商合作。