要避免的三个常见的云配置错误
无论如何,云基础设施已经牢固地确立了自己作为几乎所有组织的关键组成部分的地位,预计公共云支出将在未来五年内继续飙升。与任何组织范围内的采用计划一样,云基础架构计划需要广泛的计划才能成功且安全地采用和扩展范围。缺乏对云基础设施计划的规划可能会造成复杂性和风险,最终为攻击者渗透到组织的攻击面打开了大门。
这个领域最常见的复杂性是配置错误和误解默认设置和安全最佳实践之间的差异的问题。错误配置一直是业内一些最大违规行为的根源,包括万豪在2020年的第二次违规行为。从共同责任到管理不善的默认设置,云配置错误的根本原因增加了巨大的网络安全风险。好消息是,有几个关键的重点领域可以帮助组织取得成功。
识别并验证所有用户
在云中,人员、设备和应用程序的安全和验证通常很困难。安全专业人员必须强制识别和验证访问组织云网络的任何实体,即使“身份”似乎来自可信来源。如果攻击者无需进一步检查就可以访问经过验证的数字身份或隐含信任的基础设施区域,他们可以在很长一段时间内提取公司数据而未被注意到和未被检测到。
这就是为什么身份和访问管理(IAM)是三大云服务提供商(CSP)中最关键和最复杂的架构之一。IAM控制有权访问特定资源的人员,根据需要了解的情况将权限隔离给那些人,并包括按角色授予访问权限和技术的组织策略。
在IAM实施的同时采用适当的政策至关重要;如果IAM处理不当,组织可能会遭受凭证不安全和跨角色无处不在的访问的后果。
注意安全组默认值
云安全组充当传统IT环境的控制和执行点。他们根据规则控制入口(入站)和出口(出站)流量并做出相应响应,通知安全和IT团队可疑活动、恶意活动或其他活动。不幸的是,安全和IT专业人员可能会被警报、通知和请求所淹没,这促进了速度与质量的文化。团队可以创建两个或三个安全组,并在整个基础架构中将它们重复用于不同目的。
虽然这听起来很有效,但这类似于为您的用户帐户提供域管理员权限,并且是一种经常被利用的错误配置。它可以为攻击者留下机会并增加您的攻击面,因为默认情况下,所有主要CSP都会阻止所有入站流量并允许所有出站流量。跨多个CSP的组织面临的风险最大,因为跨CSP的通用配置很少,因此组织需要相应地自定义每个平台,以确保跨所有云基础架构的应用程序安全。
定义“经过身份验证的”用户并相应记录
在讨论云时,“经过身份验证的用户”一词可能会产生误导。认为该术语严格适用于组织内已通过身份验证的人员是一个有效的假设。不幸的是,这在管理主流CSP时并不准确。
任何拥有“经过身份验证的用户”权限的人都可以访问您的云,无论他们是在您的组织内部还是外部。通过加深对用户可访问性的理解和相应的规划来防止未经授权的访问至关重要。
尽管看起来很乏味,但管理和跟踪对云基础架构进行更改的众多用户变得越来越重要。日志可以成为识别可疑活动和快速修复安全状况的关键。
在充满外部威胁的环境中,基本的云卫生没有妥协的余地。最初可能是默认设置的错误,最终可能会导致企业领导者、员工和客户面临非常昂贵的危机。通过将重点明确放在云卫生和定期安全审查上,企业可以走上一条战略性的云路径,以支持结束网络安全风险的使命。
相关文章
- 【技术种草】cdn+轻量服务器+hugo=让博客“云原生”一下
- CLB运维&运营最佳实践 ---访问日志大洞察
- vnc方式登陆服务器
- 轻松学排序算法:眼睛直观感受几种常用排序算法
- 十二个经典的大数据项目
- 为什么使用 CDN 内容分发网络?
- 大数据——大数据默认端口号列表
- Weld 1.1.5.Final,JSR-299 的框架
- JavaFX 2012:彻底开源
- 提升as3程序性能的十大要点
- 通过凸面几何学进行独立于边际的在线多类学习
- 利用行动影响的规律性和部分已知的模型进行离线强化学习
- ModelLight:基于模型的交通信号控制的元强化学习
- 浅谈Visual Source Safe项目分支
- 基于先验知识的递归卡尔曼滤波的代理人联合状态和输入估计
- 结合网络结构和非线性恢复来提高声誉评估的性能
- 最佳实践丨云开发CloudBase多环境管理实践
- TimeVAE:用于生成多变量时间序列的变异自动编码器
- 具有线性阈值激活的神经网络:结构和算法
- 内网渗透之横向移动 -- 从域外向域内进行密码喷洒攻击