日前，Orca Security發(fā)布了《2022年公有云安全現(xiàn)狀報告》，對微軟Azure、谷歌云、亞馬遜AWS等全球主流公有云服務的安全狀況進行了調(diào)研。研究人員發(fā)現(xiàn)，雖然許多企業(yè)將云計算應用安全列為其IT建設的優(yōu)先事項，但仍有許多基本的安全措施沒有得到有效的遵循：78%的已識別攻擊使用了已知漏洞作為初始訪問攻擊向量，71%的用戶仍在使用公有云服務商提供的默認業(yè)務帳號，62%的云上容器服務仍然由過時版本的Kubernetes編排運行。

報告關鍵發(fā)現(xiàn)

• “皇冠上的寶石”觸手可及。調(diào)查發(fā)現(xiàn)，公有云上數(shù)據(jù)資產(chǎn)的非法訪問平均只需要3步就可以實現(xiàn)，這意味著攻擊者只需要在公有云環(huán)境中找到三個相互連接的可利用的缺陷就可以竊取數(shù)據(jù)或勒索組織；
• 云原生安全服務有待完善。云原生服務比虛擬化應用很容易啟用，但它們必須要得到充分的安全維護和正確的配置。數(shù)據(jù)顯示，70%的企業(yè)在公有云應用時，存在可公開訪問的Kubernetes API服務器和相關應用；
• 漏洞是目前公有云安全事件中最主要的初始攻擊向量。78%的已識別攻擊路徑使用了已知漏洞（CVE）作為初始訪問攻擊向量，這突出表明企業(yè)需要更加優(yōu)先考慮加強漏洞管理；
• 云上存儲資產(chǎn)安全性不足：在大多數(shù)共有云環(huán)境中都可以找到可公開訪問的S3存儲桶和Azure blob存儲資產(chǎn)，這是一種極易被攻擊者利用的違規(guī)配置，也是許多云上數(shù)據(jù)泄露的原因；
• 基本的安全實踐沒有得到遵循：公有云上的許多基本安全措施，如多因素身份驗證（MFA）、加密、強密碼和端口安全性等，仍然沒有得到有效的應用。

脆弱性管理形勢嚴峻

每天都有大量的安全漏洞被發(fā)現(xiàn)，很多企業(yè)組織難以跟上漏洞修復的節(jié)奏。許多組織在修補新發(fā)現(xiàn)的漏洞方面明顯落后，有些組織甚至還沒有解決已經(jīng)存在很久的安全漏洞： 

• 10%的受訪企業(yè)還存在10年以上的已披露漏洞； 
• 受訪企業(yè)中有11%的網(wǎng)絡資產(chǎn)處于不受監(jiān)管的狀態(tài)，這意味著一些IT系統(tǒng)資產(chǎn)使用了不受支持的操作系統(tǒng)（如CentOS 6、Linux 32位或Windows Server 2012）；
• 7%的受訪組織擁有面向互聯(lián)網(wǎng)的開放端口。這對公有云應用而言非常危險，因為攻擊者會不斷掃描開放端口和已知漏洞，這意味著安全災難隨時可能發(fā)生；
• 令人震驚的是，78%的已識別攻擊路徑使用已知漏洞作為初始訪問攻擊向量。

從以上數(shù)據(jù)可以發(fā)現(xiàn)，組織應該投入更多精力來管理漏洞。這通常不是運行更新的簡單問題，漏洞補丁需要嚴格的測試，以確保更新不會造成更多、更嚴重的問題。組織必須了解哪些漏洞構成了通往公司“皇冠上的寶石”的危險攻擊路徑，需要深入而廣泛地了解云工作負載、配置和識別風險，以及如何組合這些風險。通過這種方式，企業(yè)安全團隊才可以專注于優(yōu)先修復那些最危險的漏洞。

未實現(xiàn)最小權限原則

身份和訪問管理的關鍵要求是堅持最小權限原則（PoLP），但是報告研究發(fā)現(xiàn)，許多企業(yè)在公有云環(huán)境應用中，仍然缺乏足夠PoLP措施：

• 報告發(fā)現(xiàn)，在44%的企業(yè)公有云應用中，至少有一個特權身份訪問管理角色。如果攻擊者獲得了特權憑據(jù)，他們不僅獲得了對系統(tǒng)的訪問權，而且還難以被及時發(fā)現(xiàn)。對特權訪問進行合理限制可以大大減少公有云應用的攻擊面；
• 71%的用戶仍在使用公有云服務商提供的默認業(yè)務帳號。這樣做并不安全，因為默認情況下，此帳戶會給予使用者Editor權限，這與PoLP的防護要求并不一致；
• 在42%被掃描的共有云資產(chǎn)中，管理權限被授予了超過50%的企業(yè)用戶。這表明公有云上的特權濫用情況非常普遍。

云配置錯誤大量存在

Gartner在其《2021年云安全炒作周期》中預測，到2025年，超過99%的云上數(shù)據(jù)泄露會源于終端用戶可預防的錯誤配置或錯誤。首席信息官們必須改變他們的安全建設思維方式，從“云計算安全嗎?”到“我是否在安全地使用云？”。從本次報告研究來看，再次印證了這一預測觀點：

• 8%的用戶配置了帶有公共訪問策略的KMS密鑰。這將為惡意行為者創(chuàng)建一個容易實現(xiàn)的攻擊載體；
• 51%的企業(yè)擁有谷歌存儲桶，但沒有統(tǒng)一的訪問管理。如果訪問級別不統(tǒng)一，則存儲桶的訪問既可以通過訪問控制列表（ACL）控制，也可以通過IAM控制。這樣容易出現(xiàn)錯誤配置，如果被惡意利用，可能會允許攻擊者橫向移動和權限升級；
• 77%的組織至少有一個RDS數(shù)據(jù)庫實例使用默認端口，其中42%是面向互聯(lián)網(wǎng)的。企業(yè)應該及時更改RDS數(shù)據(jù)庫的端口，因為如果潛在的攻擊者知道企業(yè)正在使用哪些端口，那么嗅探測試就會容易得多。

云原生安全仍不完善

容器、Kubernetes和無服務器等云原生服務在應用時要比虛擬機更加輕量、便捷，使用的資源更少，運行成本更低。但是，云原生應用需要得到有效的安全維護，以確保不存在可能危及云環(huán)境的潛在漏洞或錯誤配置。本次調(diào)研發(fā)現(xiàn)： 

• 62%的容器仍然由過時版本Kubernetes編排運行； 
• 69%的組織至少有一個無服務器函數(shù)暴露環(huán)境變量中的隱私信息； 
• 16%的容器處于被無監(jiān)管狀態(tài)，這意味著它們使用不受支持的操作系統(tǒng)，或者已經(jīng)長期沒有補丁更新。

參考鏈接：??https://orca.security/resources/blog/state-public-cloud-top-critical-cloud-security-gaps/??