一份新的調查報告表明，在云計算部署中，基礎設施即代碼(IaC)模板配置錯誤的比例很高，這使它們容易受到攻擊。

在云計算時代，需要快速擴展或部署基礎設施以滿足不斷變化的組織需求，新服務器和節點的配置是完全自動化的。這是使用機器可讀的定義文件或模板完成的，這是基礎設施即代碼(IaC)或連續配置自動化(CCA)的過程的一部分。

Palo Alto Networks公司的研究人員對從GitHub存儲庫和其他地方收集的基礎設施即代碼(IaC)模板進行了一項新的分析，云主機租用，確定了近20萬個包含不安全配置選項的此類文件。使用這些模板可能會導致嚴重的漏洞，從而使基礎設施即代碼(IaC)部署的云計算基礎設施及其保存的數據面臨風險。

研究人員說：“就像人們忘記鎖車或打開窗戶一樣，網絡攻擊者可以使用這些錯誤的配置來避開防御措施。如此高的數字解釋了在以往的調查報告中發現65%的云計算安全事件是由于客戶配置錯誤引起的。從一開始就沒有安全的基礎設施即代碼(IaC)模板，云計算環境就容易受到攻擊。”

廣泛的IaC問題

基礎設施即代碼(IaC)的框架和技術有多種，最常見的基于Palo Alto公司的收集工作是Kubernetes YAML(39%)、HashiCorp的Terraform(37%)和AWS CloudFormation(24%)。其中，42%的已識別CloudFormation模板、22%的Terraform模板和9%的Kubernetes YAML配置文件存在漏洞。

Palo Alto Networks公司的分析表明，使用AWS CloudFormation模板的基礎設施部署中有一半的配置是不安全的。調查報告進一步按受到影響的AWS公司的云計算服務的類型進行了分類：Amazon彈性計算云(Amazon EC2)、Amazon關系數據庫服務(RDS)、Amazon簡單存儲服務(Amazon S3)或Amazon彈性容器服務(Amazon ECS)。

例如，模板中定義的S3存儲桶的10%以上是公開的。過去，安全性不高的S3存儲桶是許多調查報告中的數據泄露的根源。

缺少數據庫加密和日志記錄對于保護數據和調查潛在的未經授權的訪問非常重要，這也是CloudFormation模板中常見的問題。其中一半不啟用S3日志記錄，另一半不啟用S3服務器端加密。

亞馬遜公司的Redshift數據倉庫服務也觀察到了類似情況。11%的配置文件生成了公開的Redshift實例，43%的用戶未啟用加密，45%的用戶未打開日志記錄。

支持多種云計算提供商和技術的Terraform模板并沒有表現得更好。默認情況下，大約有66%的Terraform配置的S3存儲桶未啟用日志記錄，26%的AWS EC2實例已將SSH(端口22)對外公開，并且有17%的模板定義的AWS安全組默認允許所有入站流量。

Terraform模板中發現的其他常見錯誤配置包括：

AWS身份和訪問管理(IAM)密碼不符合行業最低標準(40%);

沒有CPU或內存資源限制的容器(64%);

具有公開的SSH的Azure網絡安全組(NSG)(51%);

未啟用日志記錄的谷歌云平臺存儲(58%);

未啟用安全傳輸的Azure存儲(97%)。

Kubernetes YAML文件中不安全配置的發生率最小，但確實如此。在發現的不安全的YAML文件中，有26%的Kubernetes配置以root用戶或特權帳戶運行。

Palo Alto Networks公司研究人員說：“以容器為根目標的配置為網絡攻擊者提供了擁有該容器幾乎所有方面的機會。這也使執行攻擊容器的過程更加容易，從而使主機系統面臨其他潛在威脅。安全和DevOps團隊應確保容器不使用root用戶或特權帳戶運行。”

IaC配置錯誤反映在實際部署中

基礎設施即代碼(IaC)模板配置錯誤的類型及其普遍性(缺少數據庫加密和日志記錄或公開暴露的服務)與Palo Alto Networks公司在過去的調查報告中涵蓋并在實際的云計算基礎設施部署中檢測到的問題類型一致：

76%的組織允許公共訪問端口22(SSH);

69%的組織允許公共訪問端口3389(RDP);

64%的人員無法為其數據存儲啟用日志記錄;

62%的用戶未對數據存儲啟用加密;

47%的組織未將跟蹤功能用于無服務器功能。

這表明在自動化基礎設施部署過程中使用基礎設施即代碼(IaC)模板而不首先檢查它們是否存在不安全的配置或其他漏洞，這是導致在觀察到云計算弱點的一個重要因素。

網絡犯罪組織經常將云計算基礎設施作為攻擊目標，以部署利用受害者所支付的處理能力的加密惡意軟件。但是，一些組織中也正在冒險進行加密以外的活動，并將被黑客入侵的云計算節點用于其他惡意目的。

Palo Alto Networks公司的研究人員說，香港服務器，“很明顯，網絡攻擊者正在使用由較弱或不安全的基礎設施即代碼(IaC)配置模板實現的默認配置錯誤，將會繞過防火墻、安全組或VPC策略，并不必要地將組織的云計算環境暴露給網絡攻擊者。左移安全性是將安全性移至開發過程中的最早點。在云計算部署中始終如一地實施左移實踐和過程的組織可以迅速超越競爭對手。與DevOps團隊合作，將其安全標準嵌入基礎設施即代碼(IaC)模板中。這對DevOps和安全來說是雙贏的措施。”

【凡本網注明來源非中國IDC圈的作品，均轉載自其它媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點和對其真實性負責。】