详解十个常见的云安全错误

是的，与本地系统相比，云端具有许多安全优势，尤其是对于小型机构而言，但前提是要避免在云端的配置、监控和安装补丁程序方面犯错误。

新闻中时常会充斥着这样的内容，即错误配置的云服务器受到攻击，以及犯罪分子从云服务器中获取泄露数据。我们可能会在云服务器投入使用时设置了比较宽松的（或没有）凭证，以及忘记设置严谨的凭证。或者在发现漏洞时，我们没有及时更新软件，或者没有让IT人员参与审核最终的应用程序以确保其尽可能安全。

这种情况太常见了。Accurics调研机构和Orca Security云安全公司的研究发现，在各种云实践中存在着一系列的基本配置错误。例如，Accurics机构研究发现，有高达93%的受访者存在存储服务配置错误。

以下是十个最常见的错误：

1.存储容器不安全

在任何一周时间内，安全研究人员都会在开放式云服务器上发现数据缓存。这些缓存可能包含有关客户的各种机密信息。例如，今年夏初，在雅芳公司（Avon）和Ancestry.com公司都发现了开放的容器。情况变得如此糟糕，甚至安全服务经销商SSL247都将其文件放在了一个开放的AWS S3容器中。

UpGuard公司的克里斯·维克里（Chris Vickery）通过发现的这类问题而出名。UpGuard公司的博客中列出了一长串的这类问题。开放的存储容器之所以出现，是因为开发人员在创建容器时往往会疏忽大意，并且有时会疏于对它们进行管理。由于云端存储是如此廉价且易于创建，因此在过去几年里其数量已经激增。

解决方法：使用Shodan.io或BinaryEdge.io等流行的发现工具来定期检查自己的域。遵循计算机服务机构（CSO）之前发布的有关提高容器安全性的一些建议，包括使用本地Docker工具，以及使用亚马逊的云原生解决方法，例如Inspector、GuardDuty和CloudWatch。最后，使用诸如AWS Virtual Private Cloud或Azure Virtual Networks等工具对云服务器进行分割。

2.缺乏对应用程序的保护

网络防火墙在监视和保护Web服务器方面没有帮助。根据Verizon公司发布的2020年数据泄露报告，对Web应用程序的攻击数量增加了一倍以上。普通的网站会运行数十种软件工具，您的应用程序可以由一系列不同的产品集合而成，这些产品会使用数十个服务器和服务。WordPress尤其容易受到攻击，因为人们发现该应用程序使将近一百万个网站处于危险之中。

解决方法：如果您管理一个WordPress博客，请购买此处所说的一个工具。该篇文章还包含了可降低您信息泄露的一些技术，这些技术可以推广到其他网站。对于常规应用程序服务器，可考虑使用Web应用程序防火墙。此外，如果您运行的是Azure或Office 365，可考虑使用微软Defender Application Guard程序的公开预览功能，该程序有助于您发现威胁并防止恶意软件在您的基础架构中扩散。

3.信任短信息的多因素身份验证（MFA）功能可以保证账户的安全，或完全不使用多因素身份验证

我们大多数人都知道，使用短信息文本作为额外身份验证因素很容易被盗用。更常见的情况是，大多数云应用程序都缺少任何多因素身份验证（MFA）。Orca公司发现，有四分之一的受访者没有使用多因素身份验证来保护其管理员帐户。只需快速浏览一下带有双重因素身份验证功能的网站，就会发现其中一半或更多的常见应用程序（例如Viber、Yammer、Disqus和Crashplan）不支持任何额外的身份验证方法。

解决方法：尽管对于那些不支持更好的（或任何）多因素身份验证方法的商业应用程序，您无能为力，但您可以使用谷歌或Authy公司的身份验证应用程序来尽可能多地保护SaaS应用程序，特别是对于那些拥有更多权限的管理员帐户。还可以监视Azure AD全局管理员角色是否发生变化。

4.不知道自己的访问权限

说到访问权限，在跟踪哪些用户可以访问某一应用程序方面存在两个基本问题。首先，许多IT部门仍使用管理员权限来运行所有Windows终端。尽管这不只是云端的问题，基于云端的虚拟机和容器也可能有过多的管理员（或共享相同的管理员密码），因此最好将虚拟机或容器进行锁定。其次，您的安全设备无法检测到整个基础架构中发生的常见权限升级攻击。

解决方法：使用BeyondTrust、Thycotic或CyberArk等公司的权限身份管理工具。然后定期审核您帐户权限的变更情况。

5.使端口处于开放状态

您上次使用FTP访问云服务器是什么时候？的确如此。这就是美国联邦调查局（FBI）关于2017年使用FTP进行网络入侵的警告。

解决方法：立即关闭那些不需要的和旧的端口，减少受攻击范围。

6.不注意远程访问

大多数云服务器都具有多种远程连接方式，例如RDP、SSH和Web控制台。所有这些连接方式都可能因权限凭据、较弱的密码设置或不受保护的端口而受到危害。

解决方法：监视这些网络流量，并适当地进行锁定。

7.没有管理隐私信息

您在哪里保存加密密钥、管理员密码和API密钥？如果您是在本地Word文件中或在便利贴上保存，则您需要获得帮助。您需要更好地保护这些信息，并尽可能少地与授权开发人员共享这些信息。

解决方法：例如AWS Secrets Manager、AWS Parameter Store、Azure Key Vault和Hashicorp Vault等服务就是一些可靠且可扩展的隐私信息管理工具。

8.GitHub平台的诅咒——信任供应链

随着开发人员使用更多的开源工具，他们就延长了软件供应链，这意味着您必须了解这一信任关系，并保护软件在整个开发过程和生命周期中所经历的完整路径。今年早些时候，GitHub平台的IT人员在NetBeans集成开发环境中发现了26个不同的开源项目（一个Java开发平台），这些项目内置了后门程序，并在主动地传播恶意软件。这些项目的负责人都没有意识到他们的代码已被盗用。该问题的一部分是，当代码中存在简单的输入错误和实际已创建了后门程序时，这两种情况很难区分。

解决方法：使用上面第一条所提到的容器安全工具，并了解最常用项目中的监管链。

9.没有正确地做日志

您上次查看日志是什么时候？如果您不记得，这可能就是个问题，尤其是对于云服务器而言，因为日志可能会激增，并且不再是最为重要的事项。这篇Dons Blog的博客文章叙述了由于存在不良的日志记录操作而发生的攻击。

解决方法：AWS CloudTrail服务将为您的云服务提供更好的实时可见性。另外，还可为账户配置、用户创建、身份验证失败方面发生变化而打开事件日志记录，这只是其中几个例子。

10.没有为服务器安装补丁程序

仅仅因为您拥有基于云的服务器，这并不意味着这些服务器会自动安装补丁程序或自动将自身系统更新为最新版本。（尽管一些托管服务和云托管提供商确实提供这项服务。）上面所说的Orca公司研究发现，半数的受访者至少正在运行一台版本过时的服务器。由于服务器未打补丁而遭到攻击的数量太多了，无法在此处一一列出。

解决方法：更多注意您的补丁程序管理工作，并与那些可及时通知您有重要程序更新的供应商合作。
责任编辑：tzh