?配置錯誤的興起始于2018年，主要是由沒有適當(dāng)訪問控制權(quán)力的云數(shù)據(jù)存儲實現(xiàn)驅(qū)動的……盡管主要云計算提供商努力使默認(rèn)配置更安全，但這些錯誤仍然存在。

云計算網(wǎng)絡(luò)攻擊并不像人們想像的那樣驚心動魄，現(xiàn)實生活中的劇本更加平淡無奇。網(wǎng)絡(luò)攻擊者部署自動化技術(shù)來掃描互聯(lián)網(wǎng)以尋找可利用的漏洞。他們得到的是一個可供選擇的目標(biāo)虛擬“購物清單”，一旦進(jìn)入云計算環(huán)境，他們就會利用其架構(gòu)上的弱點來查找敏感數(shù)據(jù)，例如個人身份信息(PII)可以在幾分鐘內(nèi)提取出來，通常是從對象存儲服務(wù)或數(shù)據(jù)庫快照。

 安全防御聽起來容易，但Verizon公司日前發(fā)布的2022年度數(shù)據(jù)泄露調(diào)查報告(DBIR)指出，錯誤配置的興起始于2018年，主要是由云計算數(shù)據(jù)存儲實施驅(qū)動的在沒有適當(dāng)?shù)脑L問控制的情況下……盡管主要云提供商努力使默認(rèn)配置更安全，但這些錯誤仍然存??在。

網(wǎng)絡(luò)攻擊者不會遍歷安全團(tuán)隊使用傳統(tǒng)入侵檢測和預(yù)防解決方案和流程監(jiān)控的傳統(tǒng)網(wǎng)絡(luò)。企業(yè)正試圖用以往的數(shù)據(jù)中心安全技術(shù)挫敗當(dāng)今的云計算攻擊者，并且對云計算威脅形勢沒有完全了解。

通常情況下，重點是識別網(wǎng)絡(luò)攻擊者可以利用以進(jìn)入云計算環(huán)境的資源錯誤配置，并分析日志事件以識別可疑活動的妥協(xié)指標(biāo)（IOC）。這些可能是身份和訪問管理(IAM)配置的更改以提升權(quán)限、關(guān)閉加密以訪問數(shù)據(jù)或記錄以掩蓋蹤跡。對于任何云安全工作來說，這些都是必要的活動，但最終它們還不足以保證云計算數(shù)據(jù)的安全。錯誤配置只是黑客進(jìn)入云環(huán)境并破壞API控制平臺的途徑之一，這種情況幾乎在每一次重大的云漏洞中都會發(fā)生。

花費大量時間和精力來查找和消除單一資源的錯誤配置并不能回答這個問題：當(dāng)他們侵入并訪問控制平臺時會發(fā)生什么？因為網(wǎng)絡(luò)攻擊者遲早會侵入。

在通常情況下，任何企業(yè)云計算環(huán)境中都會有一些配置錯誤，云安全團(tuán)隊通常每天都會發(fā)現(xiàn)并修復(fù)數(shù)十個或數(shù)百個漏洞。只專注于識別妥協(xié)指標(biāo)（IOC）以阻止正在進(jìn)行的網(wǎng)絡(luò)攻擊甚至風(fēng)險更大；在團(tuán)隊有機(jī)會做出響應(yīng)之前的幾分鐘內(nèi)，云計算漏洞就有可能發(fā)生。即使使用最好的監(jiān)控、分析和警報工具，也只能希望快速發(fā)現(xiàn)被黑客入侵。

新的威脅格局

開發(fā)人員和工程師越來越多地使用基礎(chǔ)設(shè)施即代碼(IaC)，它針對云計算提供商的應(yīng)用程序編程接口(API)運行，以在其工作時實時構(gòu)建和修改他們的云計算基礎(chǔ)設(shè)施，包括安全關(guān)鍵配置。云中的變化是一個常數(shù)，每次變化都會帶來錯誤配置漏洞的風(fēng)險，網(wǎng)絡(luò)攻擊者可以使用自動檢測快速利用這些漏洞。

控制平面是配置和操作云的API表面。例如，企業(yè)可以使用控制平臺來構(gòu)建容器、修改網(wǎng)絡(luò)路由以及訪問數(shù)據(jù)庫中的數(shù)據(jù)或數(shù)據(jù)庫的快照（這對于黑客來說是比侵入實時生產(chǎn)數(shù)據(jù)庫更受歡迎的目標(biāo)）。換句話說，API控制平臺是用于配置和操作云計算服務(wù)的API的集合。

最小化任何成功的云計算攻擊事件的潛在攻擊半徑意味著在環(huán)境的架構(gòu)設(shè)計中防止控制平臺受損。

安全云架構(gòu)的一些步驟

任何企業(yè)都可以采取五個步驟來設(shè)計其云計算環(huán)境，使其在本質(zhì)上能夠抵御云控制平臺入侵攻擊：

最小化控制云平臺風(fēng)險?，F(xiàn)在是時候?qū)Α霸棋e誤配置”的定義從單一資源錯誤配置擴(kuò)大到包括架構(gòu)錯誤配置，那些涉及多個資源以及它們?nèi)绾蜗嗷リP(guān)聯(lián)的錯誤配置。

對于現(xiàn)有的云計算環(huán)境，通過分析資源訪問策略和IAM配置來評估任何潛在滲透事件的攻擊半徑，以識別網(wǎng)絡(luò)攻擊者可用于發(fā)現(xiàn)、移動和數(shù)據(jù)提取的過于寬松的設(shè)置。當(dāng)企業(yè)的開發(fā)人員和DevOps團(tuán)隊合作，在不破壞應(yīng)用程序的情況下消除這些架構(gòu)的錯誤配置。這可能需要一些返工來解決現(xiàn)有環(huán)境中的這些漏洞，因此最好在設(shè)計和開發(fā)階段解決架構(gòu)安全問題。

采用策略作為云基礎(chǔ)設(shè)施的代碼。策略即代碼(PaC)是一種以機(jī)器可以理解的語言表達(dá)策略的方法，例如Open Policy Agent、開源標(biāo)準(zhǔn)和云原生計算基金會項目。

在軟件定義的世界中，安全的角色是領(lǐng)域?qū)＜?，他將知識傳授給構(gòu)建東西的開發(fā)人員，以確保他們在安全的環(huán)境中工作。不是規(guī)則手冊或清單，而是代碼。需要記住的是，在云中構(gòu)建應(yīng)用程序和應(yīng)用程序基礎(chǔ)設(shè)施的是開發(fā)人員。這一切都是用代碼完成的，所以開發(fā)人員而不是安全團(tuán)隊擁有這個過程。策略即代碼(PaC)使開發(fā)團(tuán)隊能夠以編程語言表達(dá)安全性和合規(guī)性規(guī)則，應(yīng)用程序可以使用這些語言來檢查配置的正確性，并識別不需要的條件或不應(yīng)該出現(xiàn)的事情。

使所有云計算利益相關(guān)者能夠安全地運行，而不會對規(guī)則是什么以及應(yīng)如何應(yīng)用規(guī)則產(chǎn)生任何歧義或分歧，這有助于使所有團(tuán)隊在政策的單一真實來源下保持一致，消除解釋和應(yīng)用政策時的人為錯誤，并推動安全自動化（評估和執(zhí)行等）在軟件開發(fā)生命周期(SDLC)的每個階段。

 使開發(fā)人員能夠構(gòu)建安全的云環(huán)境。IT團(tuán)隊配置物理基礎(chǔ)設(shè)施并將其提供給開發(fā)人員的日子已經(jīng)一去不復(fù)返了。如今，開發(fā)人員和DevOps工程師使用基礎(chǔ)設(shè)施即代碼(IaC)來表達(dá)他們想要的基礎(chǔ)設(shè)施并自動提供它。

雖然這對于高效的云詐運營非常有用，但它增加了大規(guī)模傳播漏洞的風(fēng)險。但是，采用基礎(chǔ)設(shè)施即代碼(IaC)為企業(yè)提供了一個前所未有的機(jī)會：能夠在部署前檢查基礎(chǔ)設(shè)施安全性。借助策略即代碼(PaC)，可以為開發(fā)人員提供工具以在開發(fā)時檢查安全性，并指導(dǎo)他們設(shè)計內(nèi)在安全的環(huán)境，以最大限度地減少控制平臺危害威脅。每個人都可以更快、更安全地移動。

 使用安全護(hù)欄來防止配置錯誤。無論企業(yè)在通過基礎(chǔ)設(shè)施即代碼(IaC)檢查和更安全的設(shè)計“擴(kuò)展”云安全方面取得多么成功，錯誤配置仍然可能會漏掉，并且云計算資源的部署后突變是一個持續(xù)存在的風(fēng)險。

 企業(yè)應(yīng)該在持續(xù)集成(CI)/持續(xù)交付(CD)管道中構(gòu)建自動安全檢查，以在部署過程中自動捕獲錯誤配置，并在安全檢查失敗時自動使構(gòu)建失敗。對于不太敏感的部署，提醒團(tuán)隊注意違規(guī)行為，以便他們可以在必要時進(jìn)行調(diào)查和補(bǔ)救。由于云計算資源的部署后更改無處不在，因此保持持續(xù)的運行時監(jiān)控以檢測漂移至關(guān)重要。確保正在運行的內(nèi)容反映了創(chuàng)建它的基礎(chǔ)設(shè)施即代碼(IaC)模板，并檢查危險的錯誤配置事件和可能包含漏洞的孤立資源。在所有這些用例中，企業(yè)對策略即代碼(PaC)的采用將繼續(xù)帶來好處。

構(gòu)建云安全架構(gòu)專業(yè)知識。企業(yè)云采用率的提高要求安全專業(yè)人員將注意力從威脅檢測和監(jiān)控網(wǎng)絡(luò)流量等傳統(tǒng)安全方法，轉(zhuǎn)移到了解控制平臺破壞網(wǎng)絡(luò)攻擊的工作原理，以及如何有效地使用安全架構(gòu)設(shè)計來防止它們。

為了做到這一點，企業(yè)需要能夠與開發(fā)人員和DevOps團(tuán)隊密切合作的云計算安全工程師和架構(gòu)師，以了解云計算用例并幫助在開發(fā)過程中建立安全設(shè)計原則。

保護(hù)云計算環(huán)境的最終目標(biāo)是在任何成功的初始攻擊滲透事件發(fā)生之前使其毫無意義。畢竟，如果網(wǎng)絡(luò)攻擊者無法從中獲得任何收益，那么誰會在意網(wǎng)絡(luò)攻擊者是否可以訪問企業(yè)云環(huán)境中的資源呢？

讓企業(yè)的安全團(tuán)隊了解云計算應(yīng)用程序的工作原理，以幫助確保云計算基礎(chǔ)設(shè)施支持應(yīng)用程序而不會引入不必要的風(fēng)險。他們還需要知道如何利用策略即代碼(PaC)檢查環(huán)境中是否存在更深層次的多資源漏洞，并幫助指導(dǎo)開發(fā)人員設(shè)計和構(gòu)建本質(zhì)上安全的環(huán)境。?