由于 SQL 注入或跨站點腳本 (XSS) 等易受攻擊的代碼模式，應(yīng)用程序可能存在易受攻擊的內(nèi)在漏洞。但是，如果部署和配置不正確，即使沒有這些常見漏洞的應(yīng)用程序也可能容易受到攻擊。據(jù) OWASP 稱，大約 4.5% 的應(yīng)用程序的配置或部署方式使其容易受到攻擊。

雖然一般應(yīng)用程序都是如此，但基于云的應(yīng)用程序特別容易受到安全配置錯誤的影響。在最近的一項云安全調(diào)查中，超過四分之一 (27%) 的受訪者經(jīng)歷過公共云安全事件。其中，23% 是由錯誤配置引起的，遠(yuǎn)遠(yuǎn)超過其他常見的云安全問題。這也比上一年增加了 10%。

云安全配置錯誤預(yù)計將成為未來幾年的主要問題。據(jù) Gartner 稱，到 2025 年，99% 的云安全故障將是客戶的錯，而這些故障通常是由于安全配置錯誤造成的。快速預(yù)防、檢測和糾正安全錯誤配置的能力對于企業(yè)云安全策略至關(guān)重要。

云安全配置錯誤的常見原因

在云安全的共同責(zé)任模型下，云客戶負(fù)責(zé)保護(hù)他們自己的基于云的資源。然而，許多組織都在努力保護(hù)其基于云的基礎(chǔ)設(shè)施。

這些使公司面臨風(fēng)險的安全配置錯誤的一些常見原因包括：

• 多云復(fù)雜性：大多數(shù)組織都有跨多個云提供商的平臺的多云部署。由于這些平臺中的每一個都有自己的一系列安全設(shè)置，因此很難跨環(huán)境正確配置和監(jiān)視這些設(shè)置。此外，各種安全設(shè)置之間的任何不一致都會增加組織的風(fēng)險。
• 未更改的默認(rèn)值：在部署新應(yīng)用程序或擴展到新的云環(huán)境時，組織的新云基礎(chǔ)架構(gòu)會為其安全配置設(shè)置提供默認(rèn)值。如果默認(rèn)情況下這些設(shè)置不安全，則重新配置這些設(shè)置失敗可能會使組織容易受到攻擊。
• 不安全的 DevOps：敏捷性是云基礎(chǔ)架構(gòu)的主要賣點之一。為了快速部署新功能，管理員可能會在測試期間設(shè)置“臨時”安全配置。如果這些配置在發(fā)布后沒有更改，它們會使組織面臨風(fēng)險。
• 技能差距：許多組織最近才過渡到云，并采用了復(fù)雜的多云環(huán)境。保護(hù)這些環(huán)境需要對每個平臺的安全設(shè)置有深入的經(jīng)驗，由于現(xiàn)有的網(wǎng)絡(luò)安全技能差距，這可能很難獲得。
• 影子 IT：云平臺設(shè)計為用戶友好型，可以輕松啟動應(yīng)用程序、數(shù)據(jù)存儲和其他云服務(wù)。因此，員工可能會在未經(jīng)適當(dāng)授權(quán)和未正確配置安全控制的情況下部署云資產(chǎn)。

云安全配置錯誤示例

企業(yè)云環(huán)境中可能存在各種安全配置錯誤。云安全配置錯誤的一些最常見示例包括：

• 默認(rèn)帳戶和密碼：各種應(yīng)用程序和服務(wù)使用的默認(rèn)帳戶和密碼是眾所周知的。未能禁用默認(rèn)帳戶或更改其密碼可能會使云基礎(chǔ)設(shè)施容易受到撞庫攻擊。
• 可公開訪問的資產(chǎn)：許多云平臺允許使用可公開訪問的鏈接共享文件、文件夾等。此鏈接共享允許任何知道或猜到該鏈接的人訪問潛在敏感的公司數(shù)據(jù)。
• 過度訪問：用戶和應(yīng)用程序通常在云環(huán)境中被授予不必要的訪問權(quán)限。這種過度訪問會增加因憑據(jù)泄露、權(quán)限使用不當(dāng)或員工疏忽而導(dǎo)致安全事件的可能性和影響。
• 不必要的功能：云服務(wù)、基于云的應(yīng)用程序和云環(huán)境可能帶有不必要的功能。未能禁用組織不使用的功能會擴大數(shù)字攻擊面。
• 未加密存儲：云數(shù)據(jù)存儲正在增加，這意味著大量數(shù)據(jù)存儲在經(jīng)常與其他云客戶共享的第三方平臺上。如果此數(shù)據(jù)未加密存儲，未經(jīng)授權(quán)的用戶可能會訪問它。
• 缺少更新和補丁：在云提供商維護(hù)底層基礎(chǔ)設(shè)施的同時，云客戶負(fù)責(zé)將更新應(yīng)用到他們的應(yīng)用程序和底層軟件組件。如果不這樣做，可能會使應(yīng)用程序暴露于未修補漏洞的利用之下。