雲端錯誤配置是如何成為重大安全威脅的？

---

什麼是雲端錯誤配置？

當企業錯誤地設定其基於雲的系統，從而為駭客入侵敞開大門時，這被稱為雲端錯誤配置。這種嚴重的合規性風險可能以多種方式出現，包括：

故意在開放的網際網路上傳播未加密的資料，而沒有必要的身份驗證措施：

• 允許公眾訪問儲存容器

• 不正確的網路功能生成

• 授予所有系統使用者開放的雲端儲存資料訪問許可權

• 將加密金鑰和密碼放在公共儲存庫中

根據這篇Security Boulevard文章，雲端錯誤配置最常見的原因是：

• 缺乏關於雲安全和策略的知識

• 監管和控制不足

• 系統有太多的雲API和介面，難以進行正確的管理。

• 粗心的內部人員行為。

任何可能危及您環境的雲中的缺陷、漏洞或故障都被稱為雲端錯誤配置。這些網路威脅表現為網路入侵、勒索軟體、惡意軟體、外部駭客、內部威脅和安全漏洞。

據國家安全域性 (NSA) 稱，雲端錯誤配置是雲系統中的主要漏洞。雖然這些威脅通常不太複雜，但問題的頻率通常非常高。

由於多雲環境可能相當複雜，並且錯誤可能難以查詢和手動修復，因此錯誤配置在雲計算中是一個問題。根據Gartner的一項調查，這些問題佔所有資料安全漏洞的80%，到2025年，人為錯誤可能導致高達99%的雲環境故障。

發生雲端錯誤配置時可能發生什麼？

近年來，隨著越來越多的企業將資料儲存在雲中，雲端錯誤配置問題的案例急劇增加。在這篇Business Insights文章中，指出從2019年1月到2020年6月，十分之八的資料洩露是由於雲端錯誤配置造成的。

但是，如果發生這種情況，可能會發生什麼？網路罪犯可以透過雲端錯誤配置輕鬆訪問基於雲的資料，竊取資料，將其作為贖金，有時甚至嵌入數字skim惡意軟體。

所謂的數字skim攻擊包括將惡意程式碼插入網站的指令碼中，這些指令碼在使用者在瀏覽器中訪問該網站時載入。當訪客輸入機密資料（例如信用卡號碼、賬戶號碼、社會安全號碼等）時，skim惡意軟體會攔截這些資料並將其傳送到駭客控制的伺服器。然後收集、出售或以其他非法方式利用這些資料。

由於雲端錯誤配置導致的資料洩露事件不計其數，但值得一提的是2018年聯邦快遞 (FedEx) 因未能保護亞馬遜網路服務 (AWS) 雲端儲存伺服器而意外洩露了數千份掃描檔案的事件。洩露的檔案包括護照、許可證和郵件投遞申請表，其中包含客戶姓名、家庭住址、電話號碼和郵政編碼。

雲安全中的錯誤配置——常見根本原因

在雲安全的共享責任模型下，雲客戶負責保護他們自己的基於雲的資源。然而，對於許多企業來說，保護其基於雲的基礎設施是一項挑戰。

這些導致企業面臨風險的安全配置錯誤可能源於多種因素，包括：

多雲複雜性

大多數企業在其多雲部署中使用多個雲提供商的平臺。由於這些平臺中的每一個都有自己獨特的一套安全設定，因此在不同環境中正確配置和監控這些設定可能具有挑戰性。此外，不同安全設定之間的任何不一致都會增加組織的風險。

未更改的預設值

對於部署新應用程式或擴充套件到新雲環境，企業的新雲基礎設施的安全性配置設定具有預設值。如果這些設定預設情況下不安全，並且這些設定未更改，則組織可能會面臨風險。

不安全的DevOps

雲基礎設施的主要優勢之一是其敏捷性。在測試過程中，管理員可能會為了快速部署新功能而設定“臨時”安全配置。如果這些配置在釋出後未更新，則這些配置會使組織面臨風險。

技能差距

許多公司在轉向雲之後才最近採用了複雜的多雲設定。保護這些環境需要對每個平臺的安全設定有深入的瞭解，這由於當前的網路安全技能差距，可能難以獲得。

影子IT

由於其使用者友好的設計，應用程式、資料儲存和其他雲服務很容易在雲平臺上啟動。因此，員工可能會在沒有必要的授權和安全措施正確設定的情況下部署雲資產。

如何預防雲端錯誤配置並保護您的資料？

您可以按照專家的建議安全地配置您的雲環境並保持其安全。

• **觀察遺漏的服務**——大多數情況下，開發和運營團隊會建立新的雲伺服器和應用程式，對其進行配置，然後忘記再次檢查設定。確保您瞭解雲服務和資產的位置和狀態。

• **建立策略和模板**——IT主管必須將有效的安全設定傳播到其環境的基礎配置設定中，以便雲基礎設施或應用程式的未來例項可以從過去的經驗中獲益。

• **自動化配置和安全檢查**——對於安全程式碼的建立和部署，敏捷開發方法大量使用自動化。檢查您當前執行的基礎設施和應用程式的安全性和合規性。在這裡，自動化可以派上用場。

• **利用提供商工具**——您必須瞭解雲提供商和您共同承擔的安全責任程度。基礎設施即服務雲將更多的責任放在客戶的肩上，而云服務提供商主要管理SaaS服務。

• **進行風險分析**——在將您的資料和運營遷移到雲時，網路安全風險分析可以幫助您識別雲端儲存和其他基礎設施元件中的潛在風險。