云安全服務商Tenable公司的一份報告發(fā)現，接受調查的公司中有74%暴露了存儲或其他錯誤配置。這為網絡罪犯打開了一扇危險的大門?？偟膩碚f，云安全越來越糟糕。安全工具的可用性和質量越來越好，但確認云計算基礎設施的人卻越來越笨。有些東西必須要放棄。

該研究還顯示，超過三分之一的云計算環(huán)境極易受到多種因素的影響：高度特權、公開暴露和極度脆弱的工作負載。這種令人擔憂的“有毒云三位一體”使這些組織面臨更高的網絡攻擊風險，并強調了立即采取戰(zhàn)略干預措施的必要性。

一個普遍的問題是公開暴露的存儲，由于權限過多，通常包含敏感數據，使其成為勒索軟件攻擊的主要目標。此外，訪問密鑰的不當使用仍然是一個重大威脅，84%的組織保留未使用的高度特權密鑰。從歷史上看，這種安全疏忽助長了數據泄露，正如2023年9月米高梅酒店（MGMResorts）數據泄露等事件所證明的那樣。

容器編排中的安全問題

Kubernetes環(huán)境帶來了另一層風險。該研究指出，78%的組織擁有可公開訪問的KubernetesAPI服務器，其中很大一部分允許入站互聯(lián)網訪問和不受限制的用戶控制。這種松懈的安全態(tài)勢加劇了潛在的漏洞。

解決這些脆弱性需要采取全面的方法。組織應該通過集成身份、漏洞、錯誤配置和數據風險信息來采用上下文驅動的安全理念。這種統(tǒng)一的策略允許進行精確的風險評估和優(yōu)先排序。通過遵守Pod安全標準和限制特權容器來管理Kubernetes訪問是必不可少的，定期審計憑據和權限以執(zhí)行最小特權原則也是必不可少的。

優(yōu)先排序是關鍵

至關重要的是，要優(yōu)先考慮脆弱性補救措施，特別是高風險地區(qū)。定期審計和主動修補可以最大限度地減少風險并增強安全彈性。這些努力應該與健壯的治理、風險和遵從性（GRC）實踐保持一致，確保安全協(xié)議的持續(xù)改進和適應性。

云安全需要積極主動，集成技術、流程和策略來降低風險。組織可以通過從被動措施發(fā)展到可持續(xù)的安全框架來更好地保護他們的云基礎設施和數據資產，但是你到底該怎么做呢？

實施強大的訪問控制措施。定期審計和審查訪問密鑰，以確保它們是必要的，并具有適當的權限級別。應經常輪換訪問密鑰，并消除未使用或不需要的密鑰，以最大限度地降低非法訪問的風險。

增強IAM。執(zhí)行嚴格的IAM策略，執(zhí)行最少特權原則。利用基于角色的訪問控制（RBAC）來確保用戶只能訪問執(zhí)行其工作功能所需的資源。

進行定期的安全審計和滲透測試。檢查云環(huán)境，在攻擊者利用它們之前識別并解決漏洞和錯誤配置。我建議聘請專門從事這方面工作的外部組織，而不是使用您自己的安全團隊。我不知道有多少次我對違規(guī)行為進行事后分析，發(fā)現他們多年來一直在給自己打分。你猜怎么著?他們給自己打了個A，甚至還把A和獎金掛鉤。

部署自動監(jiān)控和響應系統(tǒng)。自動化工具提供持續(xù)監(jiān)控和實時威脅檢測。實現能夠自動響應某些類型的安全事件的系統(tǒng)，以最大限度地減少檢測和補救之間的時間。

實現Kubernetes最佳實踐。確保除非必要，否則Kubernetes API服務器不會被公開訪問，并限制用戶權限以減少潛在的攻擊向量。

優(yōu)先考慮漏洞管理。定期更新和修補所有軟件和云服務，特別是那些具有高漏洞優(yōu)先級的軟件和云服務，以防止新發(fā)現的漏洞。

加強治理、風險和合規(guī)（GRC）框架。不斷發(fā)展和維護健全的GRC實踐，以評估和提高安全控制的有效性。這應該包括政策開發(fā)、風險評估、遵從性跟蹤和持續(xù)改進計劃。

培訓員工的安全意識。為所有員工提供持續(xù)的培訓和意識計劃，以確保他們了解當前的威脅和維護云環(huán)境中安全的最佳實踐。正如之前所說的，大多數云計算安全問題都是呼吸問題——人是關鍵。

核心問題是資源，而不是最佳實踐和可靠安全工具的可用性。人們擁有成功所需的所有工具和流程，但是企業(yè)沒有分配資源來有效地執(zhí)行這些。