常见的云配置错误
 客户和申请人的数据,这是历史上最大的一次泄露事件。有成千上万种潜在的云配置错误,例如CapitalOne的错误配置。但是,与许多事情一样,大多数错误配置错误都可以分为几类。以下是云计算配置发生错误的五个最常见区域。 错误1:存储访问 在存储桶方面,许多云计算用户认为“经过身份验证的用户”仅涵盖那些在其组织或相关应用程序中已通过身份验证的用户。不幸的是,情况并非如此。“经过身份验证的用户”是指具有AWS身份验证的任何人,实际上是任何AWS客户。由于这种误解以及由此导致的控件设置错误配置,存储对象最终可能完全暴露给公共访问。设置存储对象访问权限时,需要特别小心,以确保只有组织内需要访问权限的人员才能访问它。 错误2:“秘密”管理 此配置错误可能特别损害组织。确保诸如密码、API密钥、管理凭据和加密密钥之类的机密是至关重要的。人们已经看到它们在配置错误的云存储桶、受感染的服务器、开放的GitHub存储库甚至HTML代码中公开可用。这相当于将家门的钥匙放在门前。 解决方案是维护企业在云中使用的所有机密的清单,并定期检查以查看每个机密如何得到保护。否则,恶意行为者可以轻松访问企业的所有数据。更糟糕的是,他们可以控制企业的云资源以造成无法弥补的损失。同样重要的是使用秘密管理系统。AWS Secrets Manager、AWS Parameter Store、Azure Key Vault和Hashicorp Vault等服务是健壮且可扩展的秘密管理工具的一些示例。 错误3:禁用日志记录和监视 令人惊讶的是,有多少组织没有启用、配置甚至检查公共云提供的日志和遥测数据,在许多情况下,这些数据可能非常复杂。企业云团队中的某个人应该负责定期查看此数据并标记与安全相关的事件。 这个建议并不局限于基础设施即服务的公共云。存储即服务供应商通常提供类似的信息,这同样需要定期审查。更新公告或维护警报可能会对企业产生严重的安全影响,但如果没有人注意,则对企业没有任何好处。 错误4:对主机、容器和虚拟机的访问权限过大 企业是否将数据中心中的物理或虚拟服务器直接连接到Internet,而无需使用过滤器或防火墙来保护它?当然不是。但是人们几乎总是在云中完全做到这一点。人们最近看到的一些示例包括:
(编辑:广元站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
