錯(cuò)誤配置仍然是云中數(shù)據(jù)泄露的第一大原因，因?yàn)樵谶@種環(huán)境中變更控制非常具有挑戰(zhàn)性。它通常在云安全聯(lián)盟的領(lǐng)導(dǎo)委員會(huì)中名列前茅，并且在2021 年云安全狀況報(bào)告中名列前茅，而“暴露的云配置風(fēng)險(xiǎn)”報(bào)告發(fā)現(xiàn)，90% 的組織由于云配置錯(cuò)誤而容易受到安全漏洞的影響。

這也是一個(gè)日益嚴(yán)重的問題。IBM 的一項(xiàng)研究發(fā)現(xiàn)，在 2019 年報(bào)告的超過 85 億條泄露記錄中，其中 70 億條或超過 85% 是由于云服務(wù)器和其他配置不當(dāng)?shù)南到y(tǒng)配置錯(cuò)誤，而 2018 年這些記錄占不到 50% .

什么是錯(cuò)誤配置？

錯(cuò)誤配置可以廣泛地解釋為未能對(duì)駐留在云中的服務(wù)或系統(tǒng)充分應(yīng)用限制。它發(fā)生在應(yīng)用程序啟動(dòng)到云中并激活新服務(wù)時(shí)，并且可能以各種方式發(fā)生。從第一天開始就可能無法配置，使系統(tǒng)保留默認(rèn)設(shè)置，或者無法應(yīng)用訪問限制并強(qiáng)制執(zhí)行最低權(quán)限。或者可能是在違反安全策略的情況下進(jìn)行了未經(jīng)批準(zhǔn)的更改。或者系統(tǒng)被公開暴露在互聯(lián)網(wǎng)上——對(duì)象存儲(chǔ)桶的常見故障。

錯(cuò)誤配置的可能性是巨大的——云安全狀況報(bào)告發(fā)現(xiàn) 49% 的團(tuán)隊(duì)每天經(jīng)歷超過 50 次錯(cuò)誤配置——但也存在熱點(diǎn)。由于云中身份的擴(kuò)散而導(dǎo)致的身份和權(quán)利訪問管理就是一個(gè)很好的例子，因?yàn)楸仨毚_定每個(gè)權(quán)限的每個(gè)權(quán)限。其他領(lǐng)域包括安全組/防火墻規(guī)則、日志記錄是否已禁用/啟用、靜態(tài)和傳輸中數(shù)據(jù)的加密控制。并且還有可能會(huì)在安全雷達(dá)下飛行的孤立資源。

當(dāng)前和未來的問題

錯(cuò)誤配置的后果可能是毀滅性的，任何數(shù)據(jù)泄露都可能為云環(huán)境提供立足點(diǎn)。這可能導(dǎo)致獲取憑據(jù)，然后將其泄露或出售并用于憑據(jù)填充攻擊，將用戶名/密碼對(duì)自動(dòng)注入網(wǎng)站登錄。或者可以為橫向攻擊鋪平道路，例如勒索軟件或加密劫持，從而劫持云資源并用于為加密操作提供動(dòng)力。

一個(gè)問題是，由于云的發(fā)展方式，這種情況會(huì)變得更糟。我們已經(jīng)看到在大流行期間快速遷移到云，但也看到擴(kuò)展導(dǎo)致混合和多云環(huán)境的更高采用率。使用多個(gè)不同的平臺(tái)可能難以保持可見性，并且由于服務(wù)提供商產(chǎn)品是特定于平臺(tái)的，并且很少有組織具有泛云安全性，因此可能會(huì)導(dǎo)致漏洞，從而使業(yè)務(wù)暴露。許多人也不具備管理和維護(hù)這些環(huán)境所需的內(nèi)部專業(yè)知識(shí)。

減輕配置錯(cuò)誤

掌握配置需要多方面的方法。優(yōu)先事項(xiàng)是保持云資產(chǎn)、實(shí)體和身份的可見性，為此，您需要考慮您的身份和訪問管理 (IAM) 是否適合目的，并且可以調(diào)整權(quán)限大小以確保分配適當(dāng)?shù)脑L問級(jí)別云服務(wù)。

您還需要考慮如何隨著云足跡的增長(zhǎng)保持統(tǒng)一的配置方法，并確保策略適用于不同的計(jì)算環(huán)境，即混合云和多云。這通常比聽起來更困難，因?yàn)榇_定誰負(fù)責(zé)配置可能很復(fù)雜，實(shí)施通常跨越多個(gè)團(tuán)隊(duì)，即 DevOps、安全/合規(guī)團(tuán)隊(duì)和外部顧問。

需要每天不斷地啟動(dòng)和更改服務(wù)，這意味著您還需要監(jiān)督所有 API 和接口，需要某種形式的云合規(guī)自動(dòng)化。策略即代碼 (PAC) 和基礎(chǔ)架構(gòu)即代碼 (IAC) 都可用于幫助監(jiān)控環(huán)境，而云安全狀態(tài)管理 (CSPM) 可幫助管理跨多云的合規(guī)性和監(jiān)控——盡管它無法執(zhí)行身份驗(yàn)證和權(quán)利管理——為此，您需要云基礎(chǔ)設(shè)施權(quán)利管理 (CIEM)。

然而，即使使用這些先進(jìn)的自動(dòng)化工具，您也需要密切關(guān)注來解決問題。擁有管理、解釋和適當(dāng)響應(yīng)的專業(yè)知識(shí)仍然是云團(tuán)隊(duì)真正關(guān)心的問題，在“云安全狀況”報(bào)告中接受調(diào)查的人中有 35%表示，他們需要更好的指導(dǎo)來修復(fù)云環(huán)境和 IAC 中的云錯(cuò)誤配置。

出于這個(gè)原因，許多組織定期使用第三方進(jìn)行云安全配置審查，以確定錯(cuò)誤配置的位置并獲得補(bǔ)救建議。這對(duì)所有云提供商平臺(tái)上的云資產(chǎn)進(jìn)行了清點(diǎn)，并突出了安全配置文件中的任何弱點(diǎn)，真實(shí)地表明了問題所在以及明確的解決方法。