常見(jiàn)的云安全錯(cuò)誤認(rèn)知以及應(yīng)對(duì)方法！

隨著多云及混合云趨勢(shì)的發(fā)展，過(guò)去傳統(tǒng)的云安全策略顯然已不適應(yīng)新的云環(huán)境。盡管，很多企業(yè)一直非常重視云安全問(wèn)題，但其中很多風(fēng)險(xiǎn)點(diǎn)并沒(méi)有得到實(shí)際解決。大多數(shù)企業(yè)依然在采用過(guò)去本地環(huán)境下的云安全措施，導(dǎo)致企業(yè)出現(xiàn)云安全策略不一致，應(yīng)用風(fēng)險(xiǎn)和漏洞增加的狀況!最嚴(yán)重的問(wèn)題是，很多私有云部署環(huán)境下的安全問(wèn)題，并不需要黑客高手侵入，而是缺乏安全常識(shí)!

很多安全問(wèn)題都是防不勝防!即使在理想的環(huán)境下，還容易出現(xiàn)重大安全事故，更何況你系統(tǒng)本身就有問(wèn)題，那等于是在給攻擊者開(kāi)了一扇門(mén)。所以，為了確保云環(huán)境下的萬(wàn)無(wú)一失，我們除了在云安全措施上下功夫，還要在安全常識(shí)問(wèn)題上，提高警惕!

首先，不要忽略“僵尸負(fù)載”。

很多企業(yè)往往會(huì)忽略在系統(tǒng)架構(gòu)上運(yùn)行著的僵尸負(fù)載。尤其是在企業(yè)應(yīng)用峰值期，一旦遇到嚴(yán)重的安全問(wèn)題，會(huì)首先把“僵尸負(fù)載”排除在外，不予理會(huì)。

實(shí)際上，很多別有用心的人就是利用僵尸資源來(lái)竊取密碼。盡管僵尸工作負(fù)載并不重要，但是它構(gòu)建于企業(yè)整體基礎(chǔ)設(shè)施之上，一旦疏于管理，會(huì)更容易遭遇入侵。SkyBoxSecurity 2018年的一份報(bào)告顯示，密碼劫持是主要的一種網(wǎng)絡(luò)攻擊手段。DevOps團(tuán)隊(duì)要像托管加密貨幣一樣，要確保應(yīng)用資源不受威脅，并采用有效的安全防范手段，來(lái)阻止一切惡意行為。

其次，對(duì)AWS S3 Buckets的泄露問(wèn)題，要足夠重視。

AWS云服務(wù)，尤其是 S3 Buckets是年頭最長(zhǎng)的云本地服務(wù)之一，還保持著過(guò)去的安全防護(hù)方式和規(guī)則，因此成為勒索軟件攻擊的主要目標(biāo)。有統(tǒng)計(jì)數(shù)據(jù)顯示，7%的 Amazon S3 bucket 都未做公開(kāi)訪(fǎng)問(wèn)的限制，35%的 bucket 都未做加密，這意味著整個(gè) Amazon S3 服務(wù)器中都普遍存在這樣的問(wèn)題。

惡意參與者不僅可以通過(guò)S3 bucket訪(fǎng)問(wèn)企業(yè)的敏感客戶(hù)數(shù)據(jù)，而且還可以訪(fǎng)問(wèn)云憑據(jù)。很多具有災(zāi)難性的數(shù)據(jù)泄漏，都是由于訪(fǎng)問(wèn)了不受限制的S3 bucket造成的，因此要定期檢查AWS平臺(tái)上的公有云存儲(chǔ)字段是非常重要的一項(xiàng)工作。

其三，系統(tǒng)更新最好不要繞過(guò)CI/CD管道。

每個(gè)DevSecOps團(tuán)隊(duì)都有一個(gè)慣性思維，認(rèn)為系統(tǒng)程序更新時(shí)要通過(guò)CI/CD管道傳遞，這樣的系統(tǒng)部署才更加安全，但這并不意味著每次運(yùn)行都要強(qiáng)制執(zhí)行這一策略。加快部署速度，避免出現(xiàn)安全問(wèn)題，開(kāi)放人員往往通過(guò)使用開(kāi)放源碼庫(kù)的形式繞過(guò)CI/CD管道。

雖然這種方式為開(kāi)發(fā)人員節(jié)省了系統(tǒng)發(fā)布和更新時(shí)間，但卻給安全團(tuán)隊(duì)帶來(lái)了更大的負(fù)擔(dān)，他們必須對(duì)異常工作負(fù)載進(jìn)行額外掃描。長(zhǎng)期下去，開(kāi)發(fā)團(tuán)隊(duì)會(huì)認(rèn)為安全團(tuán)隊(duì)沒(méi)有辦法阻止未授權(quán)的工作負(fù)載，只是簡(jiǎn)單地接受和執(zhí)行。最終，系統(tǒng)的安全狀況會(huì)逐漸惡化，以至于惡意入侵者可以在不引起注意的情況下運(yùn)行有害的工作負(fù)載，但是到那時(shí)才發(fā)現(xiàn)，一切為時(shí)已晚。

其四，網(wǎng)絡(luò)訪(fǎng)問(wèn)要設(shè)限。

許多DevOps團(tuán)隊(duì)并沒(méi)有花費(fèi)大量的時(shí)間，用在分段和單獨(dú)的訪(fǎng)問(wèn)權(quán)限上，而是依賴(lài)于一套完整的網(wǎng)絡(luò)配置，同時(shí)這些配置遠(yuǎn)遠(yuǎn)不能滿(mǎn)足必要的訪(fǎng)問(wèn)限制，他們通常將所有的工作負(fù)載都放在一個(gè)單獨(dú)的VPC中，這樣就可以通過(guò)第三方流程訪(fǎng)問(wèn)。

沒(méi)有對(duì)公網(wǎng)訪(fǎng)問(wèn)設(shè)限，安全團(tuán)隊(duì)要想識(shí)別和隔離惡意行為，要花很長(zhǎng)時(shí)間。即使在短時(shí)間內(nèi)，DevSecOps團(tuán)隊(duì)發(fā)現(xiàn)了一些嚴(yán)重的漏洞，也無(wú)法在安全配置文件中及時(shí)處理安全漏洞!

其五，使用微服務(wù)時(shí)，規(guī)則設(shè)置要正確

當(dāng)DevOps團(tuán)隊(duì)在容器中使用微服務(wù)時(shí)，會(huì)面臨更大挑戰(zhàn)，分得越細(xì)，意味著你就越有可能出現(xiàn)錯(cuò)誤的規(guī)則設(shè)置。

即使是最熟悉的規(guī)則和集群，也會(huì)因疏忽產(chǎn)生大量漏洞。例如，如果允許開(kāi)發(fā)人員使用特定的IP通過(guò)SSH遠(yuǎn)程連接到生產(chǎn)環(huán)境時(shí)，就可能會(huì)在不知情的情況下，允許敏感區(qū)域接入無(wú)限制公網(wǎng)訪(fǎng)問(wèn)。有時(shí)，這些錯(cuò)誤的規(guī)則配置會(huì)被忽略長(zhǎng)達(dá)數(shù)月之久。為了避免錯(cuò)誤規(guī)則支持，使用Amazon Inspector的Agentless進(jìn)行監(jiān)控，或則采用其他網(wǎng)絡(luò)評(píng)估工具，進(jìn)行定期審計(jì)，非常必要。