应对4种主要云漏洞的实用指南(上)
极客时间编辑部
讲述:丁婵大小:7.43M时长:05:25
你好,欢迎收听极客视点。
配置错误
尽管 CSP 也就是云服务提供商经常提供帮助管理云配置的工具,云资源的错误配置仍然是最普遍的云漏洞,它可以被用来访问云数据和进行服务。错误配置通常由云服务策略误解共享责任引起,其影响从拒绝服务到帐户妥协不等。CSP 的快速创新创造了新的功能,但也增加了安全地配置组织的云资源的复杂性。
为便于组织对最低权限的强制实施,管理员应该做到以下几点:
通过云服务策略,防止用户在未进行任务认证的情况下公开共享数据;
使用云或者第三方工具检测云服务策略中的错误配置;
在零信任模式状态下,限制对云资源的直接或间接访问;
使用云服务策略确保资源默认为私有资源;
使用自动工具审核访问日志,以识别过度曝光的数据;
限制敏感数据并将其置入待批准存储,使用数据丢失防护方案实施这些限制。
此外,为了实施纵深防御,管理员应当:
确保为创建或修改云服务策略的个人提供适当的 CSP 专业培训;
使用有力的加密方法,并正确配置、管理和监控密钥管理系统,在静态和传输过程中实施数据加密;
遵守适用的标准(如 CSP 指南、互联网安全基准中心、DoD CCSRG);
在云系统中配置软件以自动更新;
控制虚拟机映像的选择以获得强化后的基线,并启用可预测的网络防御;
控制和审核云服务策略和 IdAM 更改;
确保所有级别日志记录的启用(例如,用户平台活动、网络流日志,SaaS/PaaS 活动),以掌握现实环境,特别是临时资源,并确保日志的不可移动存储;
尽可能将传统安全实践应用于云;
利用 CSP 中新出现的安全功能来检测来自特殊位置的威胁;
遵循最佳做法来防止特权账户的溢用(例如职责分离、双人控制);
建立配置更改和安全事件的自动连续监视;
关联来自混合或多云环境的日志;
建立能够满足组织对于冗余、可用性、性能、数据所有权 / 主权、物理安全、事件处理和云基础架构透明度需求的合同;
控制和审核云服务策略和 IdAM 更改;
识别和铲除不破坏组织控制的 Shadow IT。
最后,为了实现对云应用的有序过渡,管理员应该:
实现 CSP 服务的现代化并充分利用非对遗留系统的“升级和转移”;
确保过渡期有合适的定义、资助、审查,并在正确的领导下进行;
改进体系结构和流程,以整合新功能,了解风险变化;
了解你的数据及其在整个系统中的流动方式;
评估传统 IT 操作或基础设施可以合并到云部署中的领域;
使用 CSP 工具或技术(如以基础结构为代码)来降低配置错误的风险。
访问控制不善
当云资源使用弱身份认证 / 授权方法或包括绕过这些方法的漏洞时,就会出现糟糕的访问控制。访问控制机制的弱点可能使攻击者提升特权,从而损害云资源。
强制执行强身份验证和授权协议可以缓解访问控制不良的情况。下面重点介绍一些确保强访问控制的建议:
采用具有强因素的多因素身份验证,并需要定期重新认证;
使用弱认证禁用协议;
限制对云资源的访问以及云资源之间的访问,且所需状态为零信任模型;
尽可能在云资源上使用基于云的访问控制;
使用自动化工具来审核访问日志以解决安全问题;
在可能的情况下,对密码重置强制执行多因素身份验证;
请勿在软件版本控制系统中包含 API 密钥,否则可能会造成密钥意外泄漏。
以上是对配置错误和访问控制不善这两类漏洞的应对方法,受篇幅所限,关于其余两种主要漏洞,即共享租赁漏洞和供应链漏洞的应对方法将在下文分享,欢迎持续关注。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论