十大最常見云安全錯誤

David Strom 陳琳華

據Accurics和Orca Security的研究顯示，云實踐中存在著大量的基礎性配置錯誤，其中93%的受訪者存在著存儲服務配置錯誤的問題。因配置錯誤而導致云服務器受到攻擊以及不法分子從這些服務器上竊取數據的新聞并不少見。

我們每個人都不是完人，所以發生錯誤是在所難免的。有時我們可能會為云服務器設置了寬松的憑證，有時甚至就沒有設置。有時我們沒能在發現漏洞后及時更新軟件，亦或是用于生產的應用程序在設計完成后沒有及時讓IT部門進行安全審查。這些情況在日常工作中都太常見了。以下是我們日常工作中最常見的十大錯誤。

1.未對秘密加以妥善管理

用戶在很多情況下沒有將密鑰、管理員密碼和API密鑰存儲在妥當的地方。將這些秘密都存儲在了本機的Word文件上或是便簽上的做法顯然是不妥的。除了應當妥善保管這些數據外，用戶還應盡量控制知情范圍，不讓其他開發人員知道，即使是與授權的開發人員共享也可控制在最低限度之內。解決方案：AWS Secrets Manager、AWS Parameter Store、Azure Key Vault和Hashicorp Vault等服務都是比較好的管理工具。

2.服務器的補丁程序安裝不及時

因服務器未能及時安裝補丁程序而受到攻擊的情況非常普遍。基于云端的服務器并不會自動安裝補丁程序，或是自動升級為最新版本。研究顯示，半數的受訪者至少有一臺服務器未能及時安裝補丁包或是及時升級。解決方案：加強補丁程序管理，及時關注提供商發布的重要更新通知。

3.對訪問權限放任不管

訪問權限方面主要存在兩個基本性問題。一是許多IT部門在運行不同的Windows終端時使用的都是管理員權限。二是安全設備無法檢測到基礎設施當中常見的權限升級攻擊。解決方案：使用權限身份管理工具并對賬戶的權限調整進行定期審核。

4.忽視遠程訪問

RDP、SSH和Web控制臺等大部分云服務器都有多種遠程連接模式。憑證權限、弱密碼和不安全的端口都可能會讓云服務器處于風險當中。解決方案：對網絡流量進行監控，并對其加以適當的限制。

5.對日志疏于管理

日志需要被及時查看，對于云服務器而言尤為重要，因為每天都會有大量的日志生成，時間長了一些重要的信息會被湮沒。對日志疏于管理可能會導致無法及時發現攻擊行為。解決方案：用戶可以使用AWS CloudTrail等能夠為云服務提供實時可見性的工具。此外，用戶還應勤查看有關賬戶配置、用戶創建、身份驗證失敗等事件日志。

6.應用程序缺乏保護

Verizon的數據泄露報告顯示，針對Web應用程序的攻擊在2020年翻了一倍多。通常情況下，一個網站會運行數十種軟件工具，而用戶的應用程序可能集合多種不同的產品，這些產品又會涉及多個服務器和多種服務。解決方案：如果運行的是普通的應用程序服務器，那么用戶可以考慮使用Web應用程序防火墻。如果運行的是Azure或Office 365，那么用戶應當使用微軟Defender Application Guard的公開預覽版，以幫助發現威脅并阻止惡意軟件在基礎設施中傳播擴散。

7.端口處于開放狀態

美國聯邦調查局曾經針對2017年不法分子利用FTP發動攻擊的情況發出過警告。解決方案：立即關閉那些不需要的端口，以減少攻擊面。

8.受信的供應鏈存在后門

開發人員使用的開源工具正變得越來越多，這導致軟件供應鏈出現了延長，也意味著用戶必須要了解其中的信任關系，并在整個開發流程和生命周期中對軟件的整個路徑加以保護。這部分的工作難點在于很難識別已發現的風險到底是簡單的輸入錯誤，還是有意為之。解決方案：使用容器安全工具，同時對常用項目的一系列監管鏈條展開深入了解。

9.不安全的存儲容器

安全人員每周都能夠在開放的云服務器上發現數據緩存。這些緩存中包含了客戶的各種機密信息。開放式存儲容器出現的根源在于開發人員創建它們時并不細心，有時甚至疏于管理。由于價格便宜且創建容易，因此云存儲近些年來被廣泛采用。解決方案：遵循首席安全官提出的有關提高容器安全性的建議，使用Shodan.io或BinaryEdge.io等檢測工具定期檢查自己的域，同時使用AWS Virtual Private Cloud或Azure Virtual Networks等工具對云服務器進行分隔。

10.利用SMS MFA保護賬戶安全，亦或完全沒有MFA

盡管作為額外的身份驗證因素的SMS（短信）文本并不安全，但是即便如此，大多數云應用程序仍處于沒有設置任何多因素身份驗證（MFA）措施的狀態。在Orca Security的調查中，1/4受訪者表示其管理員賬戶沒有設置MFA保護措施。解決方案：盡管我們拿那些不支持MFA的商業應用程序沒有什么辦法，但是我們可以利用谷歌或Authy的身份驗證器應用程序來保護SaaS應用程序和管理員賬戶。

本文作者David Strom長期關注安全、網絡和通信等領域，并長期為CSO Online、Network World、Computerworld和其他出版物供稿。

原文網址

https：//www.csoonline.com/article/3573267/10-common-cloud-security-mistakes-that-put-your-data-at-risk.html