2022-10-08 分類: 網(wǎng)站建設(shè)
隨著多云及混合云趨勢的發(fā)展,過去傳統(tǒng)的云安全策略顯然已不適應(yīng)新的云環(huán)境。盡管,很多企業(yè)一直非常重視云安全問題,但其中很多風(fēng)險點并沒有得到實際解決。大多數(shù)企業(yè)依然在采用過去本地環(huán)境下的云安全措施,導(dǎo)致企業(yè)出現(xiàn)云安全策略不一致,應(yīng)用風(fēng)險和漏洞增加的狀況!最嚴重的問題是,很多私有云部署環(huán)境下的安全問題,并不需要黑客高手侵入,而是缺乏安全常識!
很多安全問題都是防不勝防!即使在理想的環(huán)境下,還容易出現(xiàn)重大安全事故,更何況你系統(tǒng)本身就有問題,那等于是在給攻擊者開了一扇門。所以,為了確保云環(huán)境下的萬無一失,我們除了在云安全措施上下功夫,還要在安全常識問題上,提高警惕!
首先,不要忽略“僵尸負載”。
很多企業(yè)往往會忽略在系統(tǒng)架構(gòu)上運行著的僵尸負載。尤其是在企業(yè)應(yīng)用峰值期,一旦遇到嚴重的安全問題,會首先把“僵尸負載”排除在外,不予理會。
實際上,很多別有用心的人就是利用僵尸資源來竊取密碼。盡管僵尸工作負載并不重要,但是它構(gòu)建于企業(yè)整體基礎(chǔ)設(shè)施之上,一旦疏于管理,會更容易遭遇入侵。SkyBoxSecurity 2018年的一份報告顯示,密碼劫持是主要的一種網(wǎng)絡(luò)攻擊手段。DevOps團隊要像托管加密貨幣一樣,要確保應(yīng)用資源不受威脅,并采用有效的安全防范手段,來阻止一切惡意行為。
其次,對AWS S3 Buckets的泄露問題,要足夠重視。
AWS云服務(wù),尤其是 S3 Buckets是年頭最長的云本地服務(wù)之一,還保持著過去的安全防護方式和規(guī)則,因此成為勒索軟件攻擊的主要目標。有統(tǒng)計數(shù)據(jù)顯示,7%的 Amazon S3 bucket 都未做公開訪問的限制,35%的 bucket 都未做加密,這意味著整個 Amazon S3 服務(wù)器中都普遍存在這樣的問題。
惡意參與者不僅可以通過S3 bucket訪問企業(yè)的敏感客戶數(shù)據(jù),而且還可以訪問云憑據(jù)。很多具有災(zāi)難性的數(shù)據(jù)泄漏,都是由于訪問了不受限制的S3 bucket造成的,因此要定期檢查AWS平臺上的公有云存儲字段是非常重要的一項工作。
其三,系統(tǒng)更新最好不要繞過CI/CD管道。
每個DevSecOps團隊都有一個慣性思維,認為系統(tǒng)程序更新時要通過CI/CD管道傳遞,這樣的系統(tǒng)部署才更加安全,但這并不意味著每次運行都要強制執(zhí)行這一策略。加快部署速度,避免出現(xiàn)安全問題,開放人員往往通過使用開放源碼庫的形式繞過CI/CD管道。
雖然這種方式為開發(fā)人員節(jié)省了系統(tǒng)發(fā)布和更新時間,但卻給安全團隊帶來了更大的負擔(dān),他們必須對異常工作負載進行額外掃描。長期下去,開發(fā)團隊會認為安全團隊沒有辦法阻止未授權(quán)的工作負載,只是簡單地接受和執(zhí)行。最終,系統(tǒng)的安全狀況會逐漸惡化,以至于惡意入侵者可以在不引起注意的情況下運行有害的工作負載,但是到那時才發(fā)現(xiàn),一切為時已晚。
其四,網(wǎng)絡(luò)訪問要設(shè)限。
許多DevOps團隊并沒有花費大量的時間,用在分段和單獨的訪問權(quán)限上,而是依賴于一套完整的網(wǎng)絡(luò)配置,同時這些配置遠遠不能滿足必要的訪問限制,他們通常將所有的工作負載都放在一個單獨的VPC中,這樣就可以通過第三方流程訪問。
沒有對公網(wǎng)訪問設(shè)限,安全團隊要想識別和隔離惡意行為,要花很長時間。即使在短時間內(nèi),DevSecOps團隊發(fā)現(xiàn)了一些嚴重的漏洞,也無法在安全配置文件中及時處理安全漏洞!
其五,使用微服務(wù)時,規(guī)則設(shè)置要正確
當DevOps團隊在容器中使用微服務(wù)時,會面臨更大挑戰(zhàn),分得越細,意味著你就越有可能出現(xiàn)錯誤的規(guī)則設(shè)置。
即使是最熟悉的規(guī)則和集群,也會因疏忽產(chǎn)生大量漏洞。例如,如果允許開發(fā)人員使用特定的IP通過SSH遠程連接到生產(chǎn)環(huán)境時,就可能會在不知情的情況下,允許敏感區(qū)域接入無限制公網(wǎng)訪問。有時,這些錯誤的規(guī)則配置會被忽略長達數(shù)月之久。為了避免錯誤規(guī)則支持,使用Amazon Inspector的Agentless進行監(jiān)控,或則采用其他網(wǎng)絡(luò)評估工具,進行定期審計,非常必要。
分享文章:常見的云安全錯誤認知以及應(yīng)對方法!
文章路徑:http://jinyejixie.com/news24/203424.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站導(dǎo)航、用戶體驗、網(wǎng)站設(shè)計、建站公司、標簽優(yōu)化、App開發(fā)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容