0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

云计算:数据面临风险的十个最常见的错误

如意 来源:企业网D1Net 作者:David Strom 2020-10-08 14:29 次阅读

是的,与本地系统相比,云端具有许多安全优势,尤其是对于小型机构而言,但前提是要避免在云端的配置、监控和安装补丁程序方面犯错误。

新闻中时常会充斥着这样的内容,即错误配置的云服务器受到攻击,以及犯罪分子从云服务器中获取泄露数据。我们可能会在云服务器投入使用时设置了比较宽松的(或没有)凭证,以及忘记设置严谨的凭证。或者在发现漏洞时,我们没有及时更新软件,或者没有让IT人员参与审核最终的应用程序以确保其尽可能安全。

这种情况太常见了。Accurics调研机构和Orca Security云安全公司的研究发现,在各种云实践中存在着一系列的基本配置错误。例如,Accurics机构研究发现,有高达93%的受访者存在存储服务配置错误。

以下是十个最常见的错误:

1. 存储容器不安全

在任何一周时间内,安全研究人员都会在开放式云服务器上发现数据缓存。这些缓存可能包含有关客户的各种机密信息。例如,今年夏初,在雅芳公司(Avon)和Ancestry.com公司都发现了开放的容器。情况变得如此糟糕,甚至安全服务经销商SSL247都将其文件放在了一个开放的AWS S3容器中。

UpGuard公司的克里斯·维克里(Chris Vickery)通过发现的这类问题而出名。 UpGuard公司的博客中列出了一长串的这类问题。开放的存储容器之所以出现,是因为开发人员在创建容器时往往会疏忽大意,并且有时会疏于对它们进行管理。由于云端存储是如此廉价且易于创建,因此在过去几年里其数量已经激增。

解决方法:使用Shodan.io或BinaryEdge.io等流行的发现工具来定期检查自己的域。遵循计算机服务机构(CSO)之前发布的有关提高容器安全性的一些建议,包括使用本地Docker工具,以及使用亚马逊的云原生解决方法,例如Inspector、GuardDuty和CloudWatch。最后,使用诸如AWS Virtual Private Cloud或Azure Virtual Networks等工具对云服务器进行分割。

2. 缺乏对应用程序的保护

网络防火墙在监视和保护Web服务器方面没有帮助。根据Verizon公司发布的2020年数据泄露报告,对Web应用程序的攻击数量增加了一倍以上。普通的网站会运行数十种软件工具,您的应用程序可以由一系列不同的产品集合而成,这些产品会使用数十个服务器和服务。WordPress尤其容易受到攻击,因为人们发现该应用程序使将近一百万个网站处于危险之中。

解决方法:如果您管理一个WordPress博客,请购买此处所说的一个工具。该篇文章还包含了可降低您信息泄露的一些技术,这些技术可以推广到其他网站。对于常规应用程序服务器,可考虑使用Web应用程序防火墙。此外,如果您运行的是Azure或Office 365,可考虑使用微软Defender Application Guard程序的公开预览功能,该程序有助于您发现威胁并防止恶意软件在您的基础架构中扩散。

3. 信任短信息的多因素身份验证(MFA)功能可以保证账户的安全,或完全不使用多因素身份验证

我们大多数人都知道,使用短信息文本作为额外身份验证因素很容易被盗用。更常见的情况是,大多数云应用程序都缺少任何多因素身份验证(MFA)。Orca公司发现,有四分之一的受访者没有使用多因素身份验证来保护其管理员帐户。只需快速浏览一下带有双重因素身份验证功能的网站,就会发现其中一半或更多的常见应用程序(例如Viber、Yammer、Disqus和Crashplan)不支持任何额外的身份验证方法。

解决方法:尽管对于那些不支持更好的(或任何)多因素身份验证方法的商业应用程序,您无能为力,但您可以使用谷歌或Authy公司的身份验证应用程序来尽可能多地保护SaaS应用程序,特别是对于那些拥有更多权限的管理员帐户。还可以监视Azure AD全局管理员角色是否发生变化。

4. 不知道自己的访问权限

说到访问权限,在跟踪哪些用户可以访问某一应用程序方面存在两个基本问题。首先,许多IT部门仍使用管理员权限来运行所有Windows终端。尽管这不只是云端的问题,基于云端的虚拟机和容器也可能有过多的管理员(或共享相同的管理员密码),因此最好将虚拟机或容器进行锁定。其次,您的安全设备无法检测到整个基础架构中发生的常见权限升级攻击。

解决方法:使用BeyondTrust、Thycotic或CyberArk等公司的权限身份管理工具。然后定期审核您帐户权限的变更情况。

5. 使端口处于开放状态

您上次使用FTP访问云服务器是什么时候?的确如此。这就是美国联邦调查局(FBI)关于2017年使用FTP进行网络入侵的警告。

解决方法:立即关闭那些不需要的和旧的端口,减少受攻击范围。

6. 不注意远程访问

大多数云服务器都具有多种远程连接方式,例如RDP、SSH和Web控制台。所有这些连接方式都可能因权限凭据、较弱的密码设置或不受保护的端口而受到危害。

解决方法:监视这些网络流量,并适当地进行锁定。

7. 没有管理隐私信息

您在哪里保存加密密钥、管理员密码和API密钥?如果您是在本地Word文件中或在便利贴上保存,则您需要获得帮助。您需要更好地保护这些信息,并尽可能少地与授权开发人员共享这些信息。

解决方法:例如AWS Secrets Manager、AWS Parameter Store、Azure Key Vault和Hashicorp Vault等服务就是一些可靠且可扩展的隐私信息管理工具。

8. GitHub平台的诅咒——信任供应链

随着开发人员使用更多的开源工具,他们就延长了软件供应链,这意味着您必须了解这一信任关系,并保护软件在整个开发过程和生命周期中所经历的完整路径。今年早些时候,GitHub平台的IT人员在NetBeans集成开发环境中发现了26个不同的开源项目(一个Java开发平台),这些项目内置了后门程序,并在主动地传播恶意软件。这些项目的负责人都没有意识到他们的代码已被盗用。该问题的一部分是,当代码中存在简单的输入错误和实际已创建了后门程序时,这两种情况很难区分。

解决方法:使用上面第一条所提到的容器安全工具,并了解最常用项目中的监管链。

9. 没有正确地做日志

您上次查看日志是什么时候?如果您不记得,这可能就是个问题,尤其是对于云服务器而言,因为日志可能会激增,并且不再是最为重要的事项。这篇Dons Blog的博客文章叙述了由于存在不良的日志记录操作而发生的攻击。

解决方法:AWS CloudTrail服务将为您的云服务提供更好的实时可见性。另外,还可为账户配置、用户创建、身份验证失败方面发生变化而打开事件日志记录,这只是其中几个例子。

10. 没有为服务器安装补丁程序

仅仅因为您拥有基于云的服务器,这并不意味着这些服务器会自动安装补丁程序或自动将自身系统更新为最新版本。(尽管一些托管服务和云托管提供商确实提供这项服务。)上面所说的Orca公司研究发现,半数的受访者至少正在运行一台版本过时的服务器。由于服务器未打补丁而遭到攻击的数量太多了,无法在此处一一列出。

解决方法:更多注意您的补丁程序管理工作,并与那些可及时通知您有重要程序更新的供应商合作。
责编AJX

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 数据
    +关注

    关注

    8

    文章

    7002

    浏览量

    88943
  • 云计算
    +关注

    关注

    39

    文章

    7774

    浏览量

    137355
  • 应用程序
    +关注

    关注

    37

    文章

    3265

    浏览量

    57679
收藏 人收藏

    评论

    相关推荐

    FPGA设计中经常犯的10错误

    本文列出了FPGA设计中常见十个错误。我们收集了 FPGA 工程师在其设计中犯的 10 最常见错误
    发表于 05-31 15:57 1148次阅读
    FPGA设计中经常犯的10<b class='flag-5'>个</b><b class='flag-5'>错误</b>

    深入探讨在FPGA设计中要避免的10大错误

    本文列出了FPGA设计中常见十个错误。我们收集了 FPGA 工程师在其设计中犯的 10 最常见错误
    发表于 06-01 17:28 1166次阅读
    深入探讨在FPGA设计中要避免的10大<b class='flag-5'>错误</b>

    计算大应用场景

    和创新制造等全行业延伸拓展。计算将在IT产业各个方面都有其用武之地,以下是计算十个比较典型的应用场景!1. IDC
    发表于 03-20 15:07

    串口发送数据超过十个数据就出现数据丢失

    自己编写的程序,给串口1发送数据,然后串口1再发回主机,但是出现问题,只能发十个数据,超过十个就出现数据丢失,代码哪里出错了呢?
    发表于 01-29 07:35

    请问为什么这十个PCB设计错误要避免?

    为什么这十个PCB设计错误要避免
    发表于 03-17 06:22

    诺基亚阐述与微软合作面临风险

    把自己的新业务存在的风险公布于众是上市公司的一惯例,诺基亚近日已经向美国证券交易委员会提交了一份报告,详细阐述了诺基亚与微软合作中所面临风险
    发表于 03-13 09:44 647次阅读

    受机器人普及化和自动化影响 高达70%的工作岗位面临风险

    有学术研究表明,未来美国近50%的工作岗位面临着自动化的高风险(Frey和Osborne2017年的研究)。在发展中国家,自动化的风险可能更高,高达70%的工作岗位面临风险
    发表于 01-25 13:33 996次阅读
    受机器人普及化和自动化影响 高达70%的工作岗位<b class='flag-5'>面临风险</b>

    十个问题告诉你什么是计算

    人们可以通过一些常见问题解答来学习计算的基础知识,并比较不同类型的平台,并了解将如何使用它们。
    的头像 发表于 08-20 11:30 5655次阅读

    研究发现:93%的计算环境都易有遭受网络攻击的风险

    转向远程工作使企业面临遭受攻击的风险。而利用潜在的不安全环境,全球各地的企业可能会面临风险
    的头像 发表于 09-01 13:56 1629次阅读

    13种最常见的PCB设计错误,我们该如何避免这些错误

    NCAB为工程师、设计师以及所有PCB设计与制造过程的参与者创建了一工具,这个工具总结了一些可能对PCB成品产生不良影响的常见设计错误,以及如何避免这些错误的发生。 导致
    发表于 09-25 14:29 1974次阅读

    计算面临的11大威胁报告

    云安全是时代企业数字化转型面临的较大挑战之一。随着计算的快速普及,企业用户往往认为云安全的主要责任者是技术堆栈和实力更为雄厚的服务商,
    的头像 发表于 10-20 16:48 1841次阅读

    最常见的4神经网络错误是什么?

    点击上方,选择星标或置顶,每天给你送干货 ! 阅读大概需要5分钟 跟随小博主,每天进步一丢丢 作者丨 来源丨 最常见的神经网络错误: 1)你没有首先尝试过拟合单个batch。 2)你忘了为网络设置
    的头像 发表于 11-27 10:49 2952次阅读

    探头在测量过程中最常见错误

    以下这些错误,是大家在测量过程中最常见的,请牢记它们并在平时的测量中规避这些错误,以便获得更精准的测量结果。
    的头像 发表于 08-14 11:02 1431次阅读

    Gartner指出战略制定过程中的十个常见错误

    来源:Gartner 战略对计算在企业机构中的作用进行了高度概括。根据Gartner的研究,业务和IT领导者在制定战略时一直在重复十个
    的头像 发表于 12-07 16:00 500次阅读

    Gartner指出战略制定过程中的十个常见错误

    来源:Gartner战略对计算在企业机构中的作用进行了高度概括。根据Gartner的研究,业务和IT领导者在制定战略时一直在重复十个
    的头像 发表于 12-09 14:56 451次阅读
    Gartner指出<b class='flag-5'>云</b>战略制定过程中的<b class='flag-5'>十个</b><b class='flag-5'>常见</b><b class='flag-5'>错误</b>