最近的調(diào)查表明，配置不當(dāng)?shù)墓苍茖?shí)例將給企業(yè)的敏感數(shù)據(jù)帶來安全挑戰(zhàn)。當(dāng)數(shù)據(jù)和應(yīng)用程序從內(nèi)部部署環(huán)境遷移到云端時，并不總是遵循正確的訪問控制。因此，云計算配置仍然是一個主要問題。

在線工作網(wǎng)站Ladders泄露了它在亞馬遜網(wǎng)絡(luò)服務(wù)云平臺上托管的1300多萬條用戶記錄。其原因是什么?AWS ElasticSearch服務(wù)實(shí)例的訪問控制配置錯誤。

今年5月，UpGuard公司安全研究人員的調(diào)查報告表明，5億多個Facebook用戶的數(shù)據(jù)被第三方泄露，第三方將這些信息存儲在未受保護(hù)的AmazonS3存儲桶中。營銷服務(wù)商Chtrbox公司證實(shí)了這一泄露事件，但表示其影響范圍沒有報道的那么大。

根據(jù)SANS研究所上個月發(fā)布的一份報告，31%的受訪者表示，外部人員未經(jīng)授權(quán)訪問云計算環(huán)境或云計算資產(chǎn)，而2017年這一比例為19%。雖然這些攻擊的主要原因是憑證劫持，但云計算配置不佳是第二個主要原因。

這些糟糕的配置不只是面向公眾訪問的數(shù)據(jù)庫。例如容器管理平臺等其他云計算系統(tǒng)，也是網(wǎng)絡(luò)攻擊者主要的目標(biāo)。

Palo Alto網(wǎng)絡(luò)公司最近發(fā)現(xiàn)了4萬多個使用默認(rèn)配置的容器托管服務(wù)，其中包括在Kubernetes和Docker這兩個最流行的容器平臺上，每個都在2萬個以上，其配置問題可能使組織容易受到攻擊。

例如，Docker公司在今年4月承認(rèn)黑客侵入了一個Docker Hub數(shù)據(jù)庫，并且可能從19萬個帳戶竊取了數(shù)據(jù)。根據(jù)Palo Alto網(wǎng)絡(luò)威脅研究員Nathaniel Quist的說法，黑客利用了密鑰和令牌存儲的弱安全配置。

Quist表示，最近的Ladders漏洞是一個基本的容器錯誤配置的例子，這種錯誤配置會產(chǎn)生重大后果。

他在一份報告中寫道：“人們應(yīng)該從Ladders漏洞中吸取的教訓(xùn)是，所有部署容器服務(wù)的組織需要加強(qiáng)安全配置。”

Malwarebytes實(shí)驗室主管Adam Kujawa表示，網(wǎng)絡(luò)攻擊者會在云中搜索開放端口或特定的命名約定。隨后他們進(jìn)入云計算管理平臺的登錄頁面，而其憑證是設(shè)備廠商的默認(rèn)密碼，或者根本沒有設(shè)置密碼。

根據(jù)Attivo公司去年年底進(jìn)行的一項針對安全專業(yè)人士的調(diào)查，對云計算的攻擊是企業(yè)面臨的最大安全威脅。今年早些時候，堪薩斯州安全廠商Firemon公司發(fā)布的一項調(diào)查顯示，60%的受訪者表示，他們的云部署已經(jīng)超過了保護(hù)云平臺的能力。

Firemon公司技術(shù)聯(lián)盟副總裁Tim Woods說，問題在于云計算的蔓延。例如，業(yè)務(wù)用戶通常會在沒有IT團(tuán)隊監(jiān)管的情況下獲得云計算功能。

他指出，黑客正在不間斷地掃描公共互聯(lián)網(wǎng)，尋找他們可以輕松訪問和攻擊的系統(tǒng)。他說，“這些黑客不需要破解密碼，只是在尋找那些沒有配置不當(dāng)?shù)臇|西。”

Woods表示，大型企業(yè)需要確保他們在所有云計算部署中都具有可見性，并且有人對所有遷移到云中的數(shù)據(jù)負(fù)責(zé)。云計算供應(yīng)商的安全措施也需要加強(qiáng)。

他說，“我認(rèn)為云計算供應(yīng)商做得還不夠，因為變化很快。當(dāng)今的云計算供應(yīng)商處于加速開發(fā)模式。去年我參加AWS Reinvent會議時，該公司推出了238多種不同的新安全功能，其中很多數(shù)據(jù)都是無意中對外泄露的。”

AWS公司引入的一項新功能是阻止公共訪問功能，該功能已經(jīng)對意外泄露的S3存儲桶的數(shù)量產(chǎn)生了重大影響。根據(jù)Digital Shadows公司日前發(fā)布的一份報告，S3存儲桶泄露的文件數(shù)量從2018年10月的1600萬個下降到今天的2000個。

但這只是一家云計算提供商的云配置挑戰(zhàn)的一個具體示例。

Woods說，“大型企業(yè)通常采用多個云計算提供商的服務(wù)。每個云計算供應(yīng)商都有不同的安全方法，而在安全方面，他們需要分清哪些是自己的責(zé)任，哪些是客戶的責(zé)任。”

他說：“僅僅因為理解云計算提供商的責(zé)任，并不意味著它們都是一樣的。”

總部位于弗吉尼亞州阿靈頓的云計算安全供應(yīng)商DivvyCloud公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Chris DeRamus表示，問題在于企業(yè)很難掌握所有可能出現(xiàn)的配置錯誤。

他說：“越來越多的企業(yè)由于配置錯誤而遭受數(shù)據(jù)泄露，人們幾乎每天都在新聞中看到這些新聞。事實(shí)上，組織缺乏適當(dāng)?shù)墓ぞ邅碜R別和修復(fù)不安全的軟件配置和部署。”

他說，企業(yè)需要尋找能夠?qū)崟r檢測錯誤配置的自動化解決方案，并提醒安全管理人員注意這些問題，甚至自動解決。