去年夏天，美國首要資本投資集團(tuán) Capital One (美國第 5 大銀行)成為大規(guī)模數(shù)據(jù)泄露的受害者，該數(shù)據(jù)泄露涉及超過 1 億張信用卡申請(qǐng)和 14 萬個(gè)社會(huì)安全號(hào)碼。原因是：一名攻擊者發(fā)起服務(wù)端偽造請(qǐng)求或 SSRF，誘使服務(wù)器連接到本不應(yīng)該連接的服務(wù)器。這是一種新的網(wǎng)絡(luò)安全漏洞，它起源于云計(jì)算。

事實(shí)上，SSRF 已成為使用公共云服務(wù)器的企業(yè)所面臨的最嚴(yán)重的漏洞之一。SSRF 攻擊的潛在危害由于提供公共云服務(wù)器而變得更加嚴(yán)重。然而，在這次事件中，盡管遭到破壞的服務(wù)器和數(shù)據(jù)位于 AWS 的基礎(chǔ)設(shè)施上，但 Capital One 對(duì)此事件負(fù)有全部責(zé)任。和所有其他云服務(wù)器一樣，當(dāng)用戶使用云服務(wù)器時(shí)，服務(wù)商只負(fù)責(zé)保護(hù)基礎(chǔ)架構(gòu)，而用戶則負(fù)責(zé)保護(hù)其數(shù)據(jù)和應(yīng)用程序。

目前，關(guān)于云服務(wù)器大的誤解是，使用云服務(wù)器，意味著保護(hù)你的數(shù)據(jù)和應(yīng)用程序不受威脅。根據(jù)國際知名調(diào)查機(jī)構(gòu) EMA 最近一項(xiàng)調(diào)查發(fā)現(xiàn)，有 53%的人認(rèn)為云服務(wù)器供應(yīng)商應(yīng)對(duì)大多數(shù)或所有公共云服務(wù)器的安全負(fù)責(zé)。

　　一、 過分隨意的權(quán)限控制和操作是云服務(wù)器安全性的大漏洞

問題不在于云服務(wù)器本身?，F(xiàn)在，大多數(shù)安全專家都認(rèn)為，云基礎(chǔ)架構(gòu)至少與好企業(yè)數(shù)據(jù)中心一樣安全。相反，問題出在過于隨意的人為處理方式。

基本上，云服務(wù)器與本地部署的服務(wù)器沒多少不同。但是很多企業(yè)從未完善地控制使用云服務(wù)器的權(quán)限。

許多企業(yè)都將云服務(wù)器作為一種便捷的方式，來滿足其開發(fā)人員和最終用戶對(duì)快速調(diào)配和對(duì)他們的應(yīng)用程序的更好控制的需求。云提供商使那些僅具有中等技術(shù)技能的人可以輕松地安裝應(yīng)用程序和上傳數(shù)據(jù)。

但是易用性也會(huì)造成虛假的安全感。云服務(wù)器使管理方式變得更加友好的同時(shí)，也可能使你通過一鍵式操作造成嚴(yán)重災(zāi)難。目前的現(xiàn)狀是，很多企業(yè)在不具備確保安全使用的能力之前就已經(jīng)開始啟用云服務(wù)器，他們的安全運(yùn)營團(tuán)隊(duì)甚至不總是參與其中。缺乏安全性程序或簡單的粗心大意，甚至蒙蔽會(huì)使那些最精通網(wǎng)絡(luò)的企業(yè)。

這些數(shù)據(jù)泄露事件都不是大型云提供商的錯(cuò)，它們都提供了世界的安全控制。但是，每個(gè)公司對(duì)產(chǎn)品的定義都有些不同，許多服務(wù)需要額外付費(fèi)?？丶膊灰欢ㄒ子诶斫?。兩年前，由于對(duì)嵌套和重疊權(quán)限的混淆，無數(shù)客戶無意中使機(jī)密數(shù)據(jù)公開暴露，從而使 Amazon 全面改革了其 S3 云存儲(chǔ)服務(wù)的安全控制。

諸如此類的事件凸顯了企業(yè)在使用云服務(wù)器時(shí)需要更好地了解其職責(zé)并開發(fā)保護(hù)用戶免受自身傷害的程序的需求。有關(guān)調(diào)查機(jī)構(gòu)預(yù)計(jì)，在未來六年中，云安全故障的 99%將是人為錯(cuò)誤造成的，90%無法控制公共云服務(wù)器規(guī)范使用的企業(yè)將不恰當(dāng)?shù)毓蚕砻舾袛?shù)據(jù)。

　　二、內(nèi)部安全風(fēng)險(xiǎn)與云服務(wù)配置錯(cuò)誤

近年來，人們對(duì)云安全的認(rèn)識(shí)發(fā)生了明顯變化?？偟膩碚f，云服務(wù)器比大多數(shù)企業(yè)自身的數(shù)據(jù)中心更加安全。云服務(wù)器供應(yīng)商將資源投入網(wǎng)絡(luò)安全建設(shè)中，這使其相比絕大多數(shù)企業(yè)自身維護(hù)網(wǎng)絡(luò)安全來說更加專精和安全，例如，云服務(wù)器供應(yīng)商可以更好地應(yīng)對(duì) “零日” 漏洞或迄今未發(fā)現(xiàn)的潛在威脅，因?yàn)樗鼈兛梢员O(jiān)控許多攻擊點(diǎn)。

現(xiàn)在，云安全性的質(zhì)量是如此之高，以至于很容易被認(rèn)為云服務(wù)器供應(yīng)商會(huì)處理所有事情。但是，正如 AWS 的 “共享責(zé)任模型” 所說明的那樣，有明確的界線。云服務(wù)器類似一棟公寓樓。房東保護(hù)建筑物周邊，但將單個(gè)公寓的安全性留給租戶。云服務(wù)器供應(yīng)商以類似的方式捍衛(wèi)他們的云計(jì)算平臺(tái)所在的基礎(chǔ)設(shè)施，但將系統(tǒng)軟件、應(yīng)用程序和數(shù)據(jù)的控制權(quán)留給客戶。

最常見的云服務(wù)器安全風(fēng)險(xiǎn)與公司內(nèi)部部署服務(wù)器的風(fēng)險(xiǎn)相同。但是，云服務(wù)器可以采取密碼保護(hù)措施。長期以來，弱密碼一直是企業(yè)要解決的最頑固的問題之一，但是，當(dāng)受保護(hù)的資產(chǎn)是云管理帳戶時(shí)，對(duì)企業(yè)的風(fēng)險(xiǎn)可能會(huì)更大。如果我們可以進(jìn)入云服務(wù)器的控制臺(tái)，則可以不受限制地訪問該帳戶上的所有服務(wù)器。多因素身份驗(yàn)證，是所有云提供商都提供的相對(duì)簡單的補(bǔ)救措施，但默認(rèn)情況下沒有強(qiáng)加于人。

近年來，更大的問題是配置了錯(cuò)誤的云服務(wù)，如 Capital One 漏洞根源。IBM 公司在 2019 年表示，由于配置錯(cuò)誤而導(dǎo)致的云安全事件數(shù)量在 2018 年上升了 20%。McAfee 調(diào)查發(fā)現(xiàn)，用戶每月平均識(shí)別 37 次配置錯(cuò)誤事件。但是研究人員還估計(jì)，大約有 99%的錯(cuò)誤配置未被注意到。

　　三、怎樣提高云服務(wù)器的安全性?

所有這些因素并不能構(gòu)成反對(duì)使用公共云服務(wù)器的理由。云服務(wù)器提供商在加強(qiáng)服務(wù)方面已取得了長足的進(jìn)步，其創(chuàng)新步伐將繼續(xù)超過大多數(shù)客戶。

“創(chuàng)新互聯(lián)” 建議用戶實(shí)施嚴(yán)格的訪問控制，對(duì)訪問權(quán)限進(jìn)行微細(xì)分，始終對(duì)數(shù)據(jù)進(jìn)行加密，并了解企業(yè)所控制的基礎(chǔ)架構(gòu)：任何使用公共云服務(wù)器的人員都應(yīng)熟悉 “責(zé)任共擔(dān)模型”，要強(qiáng)調(diào)云服務(wù)器的安全性是客戶與其云提供商之間的共同責(zé)任。

如果客戶沒有專精的技術(shù)團(tuán)隊(duì)，建議不要輕易嘗試多云和混合云環(huán)境。管理多云和混合云環(huán)境的復(fù)雜性提高了資產(chǎn)管理的門檻。您需要知道您擁有什么硬件、服務(wù)和應(yīng)用程序，它們?cè)谀睦镞\(yùn)行以及如何配置。

但是，即使是最細(xì)致的預(yù)防措施也無法滿足粗心的用戶的需求。盡管云計(jì)算巨頭已經(jīng)為保護(hù)其客戶而采取了所有措施，但大的威脅還是在于用戶錯(cuò)誤或不謹(jǐn)慎的操作。

分享標(biāo)題：關(guān)于云服務(wù)器安全性的最大誤解
當(dāng)前URL：http://www.aaarwkj.com/news7/266307.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供建站公司、自適應(yīng)網(wǎng)站、品牌網(wǎng)站設(shè)計(jì)、小程序開發(fā)、云服務(wù)器、移動(dòng)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)