關(guān)于云服務(wù)器安全性的最大誤解

去年夏天，美國首要資本投資集團 Capital One (美國第 5 大銀行)成為大規(guī)模數(shù)據(jù)泄露的受害者，該數(shù)據(jù)泄露涉及超過 1 億張信用卡申請和 14 萬個社會安全號碼。原因是：一名攻擊者發(fā)起服務(wù)端偽造請求或 SSRF，誘使服務(wù)器連接到本不應(yīng)該連接的服務(wù)器。這是一種新的網(wǎng)絡(luò)安全漏洞，它起源于云計算。

事實上，SSRF 已成為使用公共云服務(wù)器的企業(yè)所面臨的最嚴(yán)重的漏洞之一。SSRF 攻擊的潛在危害由于提供公共云服務(wù)器而變得更加嚴(yán)重。然而，在這次事件中，盡管遭到破壞的服務(wù)器和數(shù)據(jù)位于 AWS 的基礎(chǔ)設(shè)施上，但 Capital One 對此事件負(fù)有全部責(zé)任。和所有其他云服務(wù)器一樣，當(dāng)用戶使用云服務(wù)器時，服務(wù)商只負(fù)責(zé)保護基礎(chǔ)架構(gòu)，而用戶則負(fù)責(zé)保護其數(shù)據(jù)和應(yīng)用程序。

目前，關(guān)于云服務(wù)器大的誤解是，使用云服務(wù)器，意味著保護你的數(shù)據(jù)和應(yīng)用程序不受威脅。根據(jù)國際知名調(diào)查機構(gòu) EMA 最近一項調(diào)查發(fā)現(xiàn)，有 53%的人認(rèn)為云服務(wù)器供應(yīng)商應(yīng)對大多數(shù)或所有公共云服務(wù)器的安全負(fù)責(zé)。

　　一、 過分隨意的權(quán)限控制和操作是云服務(wù)器安全性的大漏洞

問題不在于云服務(wù)器本身?，F(xiàn)在，大多數(shù)安全專家都認(rèn)為，云基礎(chǔ)架構(gòu)至少與好企業(yè)數(shù)據(jù)中心一樣安全。相反，問題出在過于隨意的人為處理方式。

基本上，云服務(wù)器與本地部署的服務(wù)器沒多少不同。但是很多企業(yè)從未完善地控制使用云服務(wù)器的權(quán)限。

許多企業(yè)都將云服務(wù)器作為一種便捷的方式，來滿足其開發(fā)人員和最終用戶對快速調(diào)配和對他們的應(yīng)用程序的更好控制的需求。云提供商使那些僅具有中等技術(shù)技能的人可以輕松地安裝應(yīng)用程序和上傳數(shù)據(jù)。

但是易用性也會造成虛假的安全感。云服務(wù)器使管理方式變得更加友好的同時，也可能使你通過一鍵式操作造成嚴(yán)重災(zāi)難。目前的現(xiàn)狀是，很多企業(yè)在不具備確保安全使用的能力之前就已經(jīng)開始啟用云服務(wù)器，他們的安全運營團隊甚至不總是參與其中。缺乏安全性程序或簡單的粗心大意，甚至蒙蔽會使那些最精通網(wǎng)絡(luò)的企業(yè)。

這些數(shù)據(jù)泄露事件都不是大型云提供商的錯，它們都提供了世界的安全控制。但是，每個公司對產(chǎn)品的定義都有些不同，許多服務(wù)需要額外付費?？丶膊灰欢ㄒ子诶斫狻赡昵?，由于對嵌套和重疊權(quán)限的混淆，無數(shù)客戶無意中使機密數(shù)據(jù)公開暴露，從而使 Amazon 全面改革了其 S3 云存儲服務(wù)的安全控制。

諸如此類的事件凸顯了企業(yè)在使用云服務(wù)器時需要更好地了解其職責(zé)并開發(fā)保護用戶免受自身傷害的程序的需求。有關(guān)調(diào)查機構(gòu)預(yù)計，在未來六年中，云安全故障的 99%將是人為錯誤造成的，90%無法控制公共云服務(wù)器規(guī)范使用的企業(yè)將不恰當(dāng)?shù)毓蚕砻舾袛?shù)據(jù)。

　　二、內(nèi)部安全風(fēng)險與云服務(wù)配置錯誤

近年來，人們對云安全的認(rèn)識發(fā)生了明顯變化?？偟膩碚f，云服務(wù)器比大多數(shù)企業(yè)自身的數(shù)據(jù)中心更加安全。云服務(wù)器供應(yīng)商將資源投入網(wǎng)絡(luò)安全建設(shè)中，這使其相比絕大多數(shù)企業(yè)自身維護網(wǎng)絡(luò)安全來說更加專精和安全，例如，云服務(wù)器供應(yīng)商可以更好地應(yīng)對 “零日” 漏洞或迄今未發(fā)現(xiàn)的潛在威脅，因為它們可以監(jiān)控許多攻擊點。

現(xiàn)在，云安全性的質(zhì)量是如此之高，以至于很容易被認(rèn)為云服務(wù)器供應(yīng)商會處理所有事情。但是，正如 AWS 的 “共享責(zé)任模型” 所說明的那樣，有明確的界線。云服務(wù)器類似一棟公寓樓。房東保護建筑物周邊，但將單個公寓的安全性留給租戶。云服務(wù)器供應(yīng)商以類似的方式捍衛(wèi)他們的云計算平臺所在的基礎(chǔ)設(shè)施，但將系統(tǒng)軟件、應(yīng)用程序和數(shù)據(jù)的控制權(quán)留給客戶。

最常見的云服務(wù)器安全風(fēng)險與公司內(nèi)部部署服務(wù)器的風(fēng)險相同。但是，云服務(wù)器可以采取密碼保護措施。長期以來，弱密碼一直是企業(yè)要解決的最頑固的問題之一，但是，當(dāng)受保護的資產(chǎn)是云管理帳戶時，對企業(yè)的風(fēng)險可能會更大。如果我們可以進入云服務(wù)器的控制臺，則可以不受限制地訪問該帳戶上的所有服務(wù)器。多因素身份驗證，是所有云提供商都提供的相對簡單的補救措施，但默認(rèn)情況下沒有強加于人。

近年來，更大的問題是配置了錯誤的云服務(wù)，如 Capital One 漏洞根源。IBM 公司在 2019 年表示，由于配置錯誤而導(dǎo)致的云安全事件數(shù)量在 2018 年上升了 20%。McAfee 調(diào)查發(fā)現(xiàn)，用戶每月平均識別 37 次配置錯誤事件。但是研究人員還估計，大約有 99%的錯誤配置未被注意到。

　　三、怎樣提高云服務(wù)器的安全性?

所有這些因素并不能構(gòu)成反對使用公共云服務(wù)器的理由。云服務(wù)器提供商在加強服務(wù)方面已取得了長足的進步，其創(chuàng)新步伐將繼續(xù)超過大多數(shù)客戶。

“創(chuàng)新互聯(lián)” 建議用戶實施嚴(yán)格的訪問控制，對訪問權(quán)限進行微細(xì)分，始終對數(shù)據(jù)進行加密，并了解企業(yè)所控制的基礎(chǔ)架構(gòu)：任何使用公共云服務(wù)器的人員都應(yīng)熟悉 “責(zé)任共擔(dān)模型”，要強調(diào)云服務(wù)器的安全性是客戶與其云提供商之間的共同責(zé)任。

如果客戶沒有專精的技術(shù)團隊，建議不要輕易嘗試多云和混合云環(huán)境。管理多云和混合云環(huán)境的復(fù)雜性提高了資產(chǎn)管理的門檻。您需要知道您擁有什么硬件、服務(wù)和應(yīng)用程序，它們在哪里運行以及如何配置。

但是，即使是最細(xì)致的預(yù)防措施也無法滿足粗心的用戶的需求。盡管云計算巨頭已經(jīng)為保護其客戶而采取了所有措施，但大的威脅還是在于用戶錯誤或不謹(jǐn)慎的操作。

分享標(biāo)題：關(guān)于云服務(wù)器安全性的最大誤解
當(dāng)前URL：http://www.muchs.cn/news7/266307.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供建站公司、自適應(yīng)網(wǎng)站、品牌網(wǎng)站設(shè)計、小程序開發(fā)、云服務(wù)器、移動網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)