五个常见的云配置错误

确保云中的数据安全是企业和云计算提供商的共同责任。云计算安全措施是云计算客户必须采取的措施。

毫无疑问，云计算可以提高安全性的某些方面。毕竟，云计算具有巨大的规模经济，可以为客户提供专门的安全团队和技术，这对于大多数组织来说是不可行的。当客户没有在云计算环境中正确配置和保护他们的工作负载和存储桶时，就会出现坏消息。

以最近的CapitalOne数据泄漏为例。在这一事件中，黑客使用配置错误的云防火墙访问1亿信用卡客户和申请人的数据，这是历史上最大的泄密事件。有数千个潜在的云配置错误，例如CapitalOne。然而，像许多事情一样，大多数错误配置错误可以分为几类。以下是云计算配置错误最常见的五个方面。

错误1：存储访问

就桶而言，许多云计算用户认为“经过身份验证的用户”只包括那些在其组织或相关应用程序中已经过身份验证的用户。不幸的是，情况并非如此。“经过身份验证的用户”是指任何拥有AWS身份验证并且实际上是任何AWS客户的人。由于这种误解以及由此导致的控制设置的错误配置，存储对象最终可能完全暴露给公众访问。设置存储对象的访问权限时，需要特别小心，以确保只有组织内需要访问权限的人才能访问它。

错误2：“秘密”管理

这种错误的配置可能会特别伤害组织。确保密码、应用编程接口密钥、管理凭证和加密密钥等机密是非常重要的。人们已经看到它们在配置错误的云存储桶、受感染的服务器、开放的GitHub存储库甚至是HTML代码中公开可用。这相当于把房子的钥匙放在门前。

解决方案是维护企业在云中使用的所有秘密列表，并定期检查每个秘密是如何受到保护的。否则，恶意行为者可以轻松访问企业的所有数据。更糟糕的是，他们可以控制企业的云资源，造成不可挽回的损失。同样重要的是使用秘密管理系统。诸如awssecretariat manager、awssparameterstore、Azure密钥库和hashicorpwvault之类的服务是健壮且可扩展的秘密管理工具的一些示例。

错误3：禁用日志记录和监视

令人惊讶的是，有多少组织没有启用、配置甚至检查公共云提供的日志和遥测数据，这在许多情况下可能非常复杂。企业云团队中的某个人应该负责定期查看这些数据并标记与安全相关的事件。

该提议不限于基础架构即服务公共云。存储即服务提供商通常提供类似的信息，这也需要定期审查。更新公告或维护警报可能会对企业造成严重的安全影响，但如果没有人关注，将不会给企业带来好处。

错误4：对主机、容器和虚拟机的访问权限过大

企业是否将数据中心的物理或虚拟服务器直接连接到互联网，而不使用过滤器或防火墙来保护它？当然不会。但是人们几乎总是完全在云中这样做。人们最近看到的一些例子包括:“确保保护重要端口，禁用(或至少锁定)云中旧的、不安全的协议，就像在本地数据中心一样。

错误5：缺乏验证

只有云计算客户忠实于他们的双重责任模式，云计算才能成为数据和工作负载的安全场所。牢记这些常见错误，并建立一个能够尽快发现这些错误的系统，可以确保企业在云中的数字资产是安全的。