5种常见的云环境配置错误和对策
极客时间编辑部
讲述:丁婵大小:2.07M时长:04:31
云计算出现以来,很多企业借助它实现了更好的发展。但需要注意的是,很多企业在云计算配置上存在错误,这很可能会导致一些安全风险。为避免这些风险的发生,Edgewise Networks 创始人兼首席执行官彼得·史密斯(Peter Smith)总结了五种常见的云配置错误并给出了相应的解决方案。
错误 1:存储访问
当谈到存储桶时,许多云用户认为,“经过身份验证的用户”只包含那些在其组织或相关应用程序内已经经过身份验证的用户。
然而不幸的是,情况并非如此,“经过身份验证的用户”指的是拥有 AWS 认证的人,也就是说,实际上是任何 AWS 用户。
由于这种误解,以及由此导致的控件设置的错误配置,存储对象最终可能完全暴露给公众访问。在设置存储对象访问权限时,要特别小心,确保只有组织内部需要访问权限的人才能访问。
错误 2:“密码”管理
这种配置错误对组织造成的损害尤其严重。
确保密码、API 密钥、管理凭据和加密密钥等是至关重要的。我见过它们在配置糟糕的云存储桶、受攻击的服务器、开放的 GitHub 存储库中公开可用,甚至在 HTML 代码中也是如此。
解决方案是维护你在云计算中使用的所有密码清单,并定期检查每个密码是如何保护的。否则,骇客可以轻松地访问到你所有的数据。更糟的是,他们可能还会控制你的云资源,造成无法挽回的损失。
同样重要的是密码管理系统的使用。像 AWS Secrets Manager 、 AWS Parameter Store 、 Azure Key Vault 和 Hashicorp Vault 这样的服务就是一些健壮的、可扩展的密码管理工具的例子。
错误 3:禁用日志记录和监控
令人惊讶的是,许多组织没有启用、配置甚至也不审查公有云提供的日志和数据,而这些数据在许多情况下可能非常复杂。企业云团队中应该有专人专门负责定期检查这些数据,并标记与安全相关的事件。
这一建议并不仅局限于基础设施即服务的公有云,存储即服务供应商经常会提供类似的信息,这同样也需定期审查。更新公告或维护警报可能会对组织产生严重的安全影响,但如果没有人注意到,那么它对你就没有任何好处。
错误 4:主机、容器和虚拟机的访问权限过于宽松
你是否会将数据中心的物理或虚拟机服务器直接连接到互联网,而不使用网络过滤器或防火墙来保护?你当然不会这么做。但在现实中,人们在云环境中几乎就是一直这样做的。比如用于向公共互联网公开的 Kubernetes 集群的 Etcd、在云主机上启用类似 FTP 的传统端口和协议等。
解决方案是,务必要确保重要端口的安全,并禁用或至少锁定云端中较旧的、不安全的协议,就像在本地数据中心所做的那样。
错误 5:缺乏验证
最后的云配置错误是一个元问题:人们经常看到,在错误配置发生时,组织却无法创建和识别错误配置的系统。无论是内部资源还是外部审计人员,必须有专人负责定期检查服务和权限的配置是否正确。
其次,制定一张时间表,可以确保这一切措施的定时进行,因为随着环境的变化,错误是不可避免的。另外,还需要建立一个严格的流程来定期审核云配置。否则,你可能会留下安全漏洞,而骇客则可以利用这些漏洞进行入侵、破坏。
云计算有潜力成为数据和工作负载的安全场所,但前提是云客户必须遵守其双重责任模式。通过牢记这些常见的云配置错误,并构建一个系统来及时发现这些错误,你就可以确保云端中数字资产的安全。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论