據(jù)Sysdig的報(bào)告顯示，兩個(gè)最大的云安全風(fēng)險(xiǎn)依然是配置不當(dāng)和漏洞，漏洞日益通過(guò)軟件供應(yīng)鏈被引入。

雖然零信任是當(dāng)務(wù)之急，但數(shù)據(jù)顯示，零信任架構(gòu)的基礎(chǔ)：最小特權(quán)訪(fǎng)問(wèn)權(quán)限并未得到妥善執(zhí)行。報(bào)告特別指出，幾乎90%的已授權(quán)限并未被使用，這就給竊取憑據(jù)的攻擊者留下了很多機(jī)會(huì)。

以上數(shù)據(jù)來(lái)自分析Sysdig客戶(hù)日常運(yùn)行的700多萬(wàn)個(gè)容器的報(bào)告。該報(bào)告還考慮了從GitHub、Docker Hub和CNCF等公共數(shù)據(jù)源獲取的數(shù)據(jù)。報(bào)告分析了南美/北美、澳大利亞、歐盟、英國(guó)和日本等國(guó)家的客戶(hù)的數(shù)據(jù)。

87%的容器鏡像存在高危漏洞或嚴(yán)重漏洞

幾乎87%的容器鏡像被發(fā)現(xiàn)含有高危漏洞或嚴(yán)重漏洞，比去年報(bào)告的75%%有所上升。一些鏡像還存在不止一個(gè)漏洞。Sysdig特別指出，許多組織意識(shí)到了這種危險(xiǎn)，但難以在保持軟件發(fā)布快節(jié)奏的同時(shí)修復(fù)漏洞。

盡管有補(bǔ)丁，但漏洞依然存在的原因在于處理能力和優(yōu)先級(jí)問(wèn)題。當(dāng)生產(chǎn)環(huán)境中運(yùn)行的容器鏡像中87%存在高危漏洞或嚴(yán)重漏洞時(shí)，DevOps或安全工程師就要登錄并查看成百上千個(gè)存在漏洞的鏡像。

Sysdig的威脅研究工程師Crystal Morin表示，徹查一遍并修復(fù)漏洞需要花時(shí)間。對(duì)大多數(shù)開(kāi)發(fā)人員而言，為新應(yīng)用程序編寫(xiě)代碼才是其工作重心，所以他們?cè)诖蜓a(bǔ)丁上每花1分鐘，開(kāi)發(fā)能賣(mài)錢(qián)的新應(yīng)用程序的時(shí)間就少了1分鐘。

有相應(yīng)補(bǔ)丁的高危漏洞或嚴(yán)重漏洞中只有15%存在于運(yùn)行時(shí)加載的軟件包中。如果篩選出這些實(shí)際使用的危險(xiǎn)軟件包，企業(yè)就能把精力集中在帶來(lái)真正風(fēng)險(xiǎn)的一小撮可以修復(fù)的漏洞上。

Java軟件包風(fēng)險(xiǎn)最高

Sysdig按軟件包類(lèi)型估算運(yùn)行時(shí)加載的軟件包中所含漏洞的百分比，以評(píng)估哪些編程語(yǔ)言、庫(kù)或文件類(lèi)型帶來(lái)的漏洞風(fēng)險(xiǎn)最高。結(jié)果發(fā)現(xiàn)，Java軟件包在運(yùn)行時(shí)加載的軟件包中所含的320000多個(gè)漏洞中占到了61%。Java軟件包占運(yùn)行時(shí)加載的所有軟件包的24%。

運(yùn)行時(shí)暴露的軟件包漏洞更多，導(dǎo)致泄密或攻擊的風(fēng)險(xiǎn)更高。Java在運(yùn)行時(shí)暴露的漏洞數(shù)量最多。雖然Java不是所有容器鏡像當(dāng)中最流行的軟件包類(lèi)型，卻是運(yùn)行時(shí)最常用的軟件包。

Morin說(shuō)：“因此，我們認(rèn)為好人和壞人都關(guān)注Java軟件包以獲得最大回報(bào)。由于Java大受歡迎，漏洞賞金獵手更側(cè)重于尋找Java語(yǔ)言漏洞。”

Morin表示，雖然更新穎或不太常見(jiàn)的軟件包類(lèi)型似乎更安全，但這可能是由于漏洞尚未被發(fā)現(xiàn)，或者更為糟糕的是，漏洞已被發(fā)現(xiàn)，但還沒(méi)有沒(méi)披露。

采用安全左移、防護(hù)右移的概念

安全左移指這種實(shí)踐：將測(cè)試、質(zhì)量和性能評(píng)估放到開(kāi)發(fā)生命周期的早期階段。然而，即使采用了完美的左移安全實(shí)踐，威脅仍可能出現(xiàn)在生產(chǎn)環(huán)境中。

Sysdig建議，組織應(yīng)奉行安全左移、防護(hù)右移的策略。防護(hù)右移安全強(qiáng)調(diào)保護(hù)和監(jiān)測(cè)運(yùn)行中服務(wù)的機(jī)制。Morin表示，光有借助防火墻和入侵防御系統(tǒng)（IPS）等工具的傳統(tǒng)安全實(shí)踐還不夠到位。這留下了安全缺口，因?yàn)樗鼈兺ǔo(wú)法深入了解容器化的工作負(fù)載和周?chē)脑圃h(huán)境。

運(yùn)行時(shí)可見(jiàn)性可以幫助組織改善安全左移實(shí)踐。一旦容器進(jìn)入到生產(chǎn)環(huán)境中，將運(yùn)行時(shí)發(fā)現(xiàn)的問(wèn)題與底層代碼關(guān)聯(lián)起來(lái)的反饋回路可以幫助開(kāi)發(fā)人員了解該關(guān)注哪個(gè)方面。運(yùn)行時(shí)可見(jiàn)性還可以幫助靜態(tài)安全測(cè)試工具精準(zhǔn)地確定哪些軟件包在運(yùn)行應(yīng)用程序的容器內(nèi)部執(zhí)行。

Morin補(bǔ)充道，這使開(kāi)發(fā)人員可以不用太關(guān)注未使用軟件包的漏洞，轉(zhuǎn)而專(zhuān)注于修復(fù)可利用的運(yùn)行時(shí)漏洞。每項(xiàng)網(wǎng)絡(luò)安全計(jì)劃都應(yīng)該旨在實(shí)現(xiàn)全面生命周期安全。

配置不當(dāng)是導(dǎo)致云安全事件的最大元兇

雖然漏洞是個(gè)問(wèn)題，但配置不當(dāng)仍是導(dǎo)致云安全事件的首要原因，因此應(yīng)該引起組織重視。據(jù)Gartner聲稱(chēng)，到2023年，75%的安全問(wèn)題是由身份、訪(fǎng)問(wèn)和權(quán)限管理不到位造成的，而2020年這個(gè)比例是50%。

Sysdig的數(shù)據(jù)顯示，在為期90天的分析期間，授予非管理員用戶(hù)的權(quán)限僅10%被使用。

Sysdig的同比分析顯示，組織將訪(fǎng)問(wèn)權(quán)授予更多的員工，或者完善身份和訪(fǎng)問(wèn)管理（IAM）實(shí)踐。這家網(wǎng)絡(luò)安全公司特別指出，人員用戶(hù)數(shù)量增加可能是更多業(yè)務(wù)轉(zhuǎn)移到云環(huán)境或者因業(yè)務(wù)發(fā)展而增加人員配置的結(jié)果。

今年，Sysdig客戶(hù)的云環(huán)境中58%的身份歸屬非人員角色，去年這個(gè)比例是88%。

非人員角色常常臨時(shí)使用；如果不再使用卻沒(méi)刪除，惡意分子就很容易趁虛而入。Morin說(shuō)：“角色類(lèi)型的轉(zhuǎn)變可能是由于組織使用云的力度加大，隨之而來(lái)的是將云訪(fǎng)問(wèn)權(quán)授予更多的員工，從而改變了人員角色和非人員角色的比重?！?/p>

授予非人員身份的權(quán)限中超過(guò)98%至少90天沒(méi)有被使用。Sysdig特別指出：“這些未被使用的權(quán)限常常被授予了孤立身份，比如到期失效的測(cè)試帳戶(hù)或第三方帳戶(hù)?！?/p>

對(duì)非人員身份實(shí)施最小權(quán)限原則

安全團(tuán)隊(duì)?wèi)?yīng)像管理人員身份一樣對(duì)非人員身份實(shí)施最小權(quán)限原則，還應(yīng)該盡可能刪除未被使用的測(cè)試帳戶(hù)，以防止訪(fǎng)問(wèn)風(fēng)險(xiǎn)。Sysdig特別指出，雖然人工排查很繁瑣，但所使用權(quán)限篩選器和自動(dòng)生成的建議可以提高這個(gè)過(guò)程的效率。

與對(duì)待人員角色一樣，也應(yīng)該對(duì)非人員角色實(shí)施最小權(quán)限原則。組織需要授予人員完成工作所需的最小權(quán)限。這個(gè)原則同樣適用于非人員，比如需要訪(fǎng)問(wèn)權(quán)才能完成任務(wù)的應(yīng)用程序、云服務(wù)或商業(yè)工具。這就好比手機(jī)上的應(yīng)用程序請(qǐng)求權(quán)限，以訪(fǎng)問(wèn)聯(lián)系人、相冊(cè)、攝像頭和麥克風(fēng)等更多功能或內(nèi)容。

Morin說(shuō)：“除此之外，我們還必須考慮針對(duì)這些非人員實(shí)體的訪(fǎng)問(wèn)管理。授予過(guò)大的權(quán)限、未定期管理所授權(quán)限，為惡意分子在初始訪(fǎng)問(wèn)、橫向移動(dòng)和權(quán)限提升等方面提供了更多機(jī)會(huì)?！?/p>

本文翻譯自：https://www.csoonline.com/article/3686579/misconfiguration-and-vulnerabilities-biggest-risks-in-cloud-security-report.html