云计算配置不当将为数据中心带来安全挑战
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
最近的调查表明,配置不当的公共云实例将给企业的敏感数据带来安全挑战。当数据和应用程序从内部部署环境迁移到云端时,并不总是遵循正确的访问控制。因此,云计算配置仍然是一个主要问题。
在线工作网站Ladders泄露了它在亚马逊网络服务云平台上托管的1300多万条用户记录。其原因是什么?AWS ElasticSearch服务实例的访问控制配置错误。
今年5月,UpGuard公司安全研究人员的调查报告表明,5亿多个Facebook用户的数据被第三方泄露,第三方将这些信息存储在未受保护的AmazonS3存储桶中。营销服务商Chtrbox公司证实了这一泄露事件,但表示其影响范围没有报道的那么大。
根据SANS研究所上个月发布的一份报告,31%的受访者表示,外部人员未经授权访问云计算环境或云计算资产,而2017年这一比例为19%。虽然这些攻击的主要原因是凭证劫持,但云计算配置不佳是第二个主要原因。
这些糟糕的配置不只是面向公众访问的数据库。例如容器管理平台等其他云计算系统,也是网络攻击者主要的目标。
Palo Alto网络公司最近发现了4万多个使用默认配置的容器托管服务,其中包括在Kubernetes和Docker这两个最流行的容器平台上,每个都在2万个以上,其配置问题可能使组织容易受到攻击。
例如,Docker公司在今年4月承认黑客侵入了一个Docker Hub数据库,并且可能从19万个帐户窃取了数据。根据Palo Alto网络威胁研究员Nathaniel Quist的说法,黑客利用了密钥和令牌存储的弱安全配置。
Quist表示,最近的Ladders漏洞是一个基本的容器错误配置的例子,这种错误配置会产生重大后果。
他在一份报告中写道:“人们应该从Ladders漏洞中吸取的教训是,所有部署容器服务的组织需要加强安全配置。”
Malwarebytes实验室主管Adam Kujawa表示,网络攻击者会在云中搜索开放端口或特定的命名约定。随后他们进入云计算管理平台的登录页面,而其凭证是设备厂商的默认密码,或者根本没有设置密码。
根据Attivo公司去年年底进行的一项针对安全专业人士的调查,对云计算的攻击是企业面临的最大安全威胁。今年早些时候,堪萨斯州安全厂商Firemon公司发布的一项调查显示,60%的受访者表示,他们的云部署已经超过了保护云平台的能力。
Firemon公司技术联盟副总裁Tim Woods说,问题在于云计算的蔓延。例如,业务用户通常会在没有IT团队监管的情况下获得云计算功能。
他指出,黑客正在不间断地扫描公共互联网,寻找他们可以轻松访问和攻击的系统。他说,“这些黑客不需要破解密码,只是在寻找那些没有配置不当的东西。”
Woods表示,大型企业需要确保他们在所有云计算部署中都具有可见性,并且有人对所有迁移到云中的数据负责。云计算供应商的安全措施也需要加强。
他说,“我认为云计算供应商做得还不够,因为变化很快。当今的云计算供应商处于加速开发模式。去年我参加AWS Reinvent会议时,该公司推出了238多种不同的新安全功能,其中很多数据都是无意中对外泄露的。”
AWS公司引入的一项新功能是阻止公共访问功能,该功能已经对意外泄露的S3存储桶的数量产生了重大影响。根据Digital Shadows公司日前发布的一份报告,S3存储桶泄露的文件数量从2018年10月的1600万个下降到今天的2000个。
但这只是一家云计算提供商的云配置挑战的一个具体示例。
Woods说,“大型企业通常采用多个云计算提供商的服务。每个云计算供应商都有不同的安全方法,而在安全方面,他们需要分清哪些是自己的责任,哪些是客户的责任。”
他说:“仅仅因为理解云计算提供商的责任,并不意味着它们都是一样的。”
总部位于弗吉尼亚州阿灵顿的云计算安全供应商DivvyCloud公司联合创始人兼首席技术官Chris DeRamus表示,问题在于企业很难掌握所有可能出现的配置错误。
他说:“越来越多的企业由于配置错误而遭受数据泄露,人们几乎每天都在新闻中看到这些新闻。事实上,组织缺乏适当的工具来识别和修复不安全的软件配置和部署。”
他说,企业需要寻找能够实时检测错误配置的自动化解决方案,并提醒安全管理人员注意这些问题,甚至自动解决。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
云计算下半场主要是非互联网企业“上云”
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 据IDC在5月份发布的《中国公有云服务市场跟踪报告》显示,2018年下半年中国前五名公有云厂商的市场份额合计已到74%。阿里巴巴2019财年***季度财报显示,该季度云计算收入已达77.26亿元,同比增长76%;腾讯2018财年财报则显示,其他板块收入(主要包括金融科技、云计算等)为780亿元,同比增长80%,云收入增长超过100%至91亿元。德银报告显示,腾讯云2020年收入预计会达到290亿元。在双巨头对决之外,一些中小云服务商则选择更加灵活自由的特定场景进行切入,如政务云、金融云、医疗云等,试图寻找属于自己的生存空间。 云计算市场格局是否已定?未来增长和走势如何?浪潮集团执行总裁王洪添近日接受广州日报全媒体记者采访时表示,目前中国云计算市场整体发展态势看,虽然玩家很多、竞争激烈,但竞争格局尚未确定。过去十年主要是以互联网行业企业上云为主的“上半场”,未来主要是广大非互联网行业企业“上云”的“下半场”,而传统行业企业对云的应用远远大于上半场的互联网应用,“‘上半场’互联网云服务商具有优势;在云计算的下半场,拥有...
- 下一篇
漫谈云计算、虚拟化、容器化
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 什么是云计算? 1.1 云计算概念 云计算是最近几年才兴起的概念,但是这样的需求其实早都有了,现阶段广为接受的是美国国家标准与技术研究院(NIST)定义:云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问, 进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。 云计算最基本的特性是:“按使用量付费”、“资源共享池”和多租户隔离。 1.2 云计算特点 超大规模 云具有相当的规模,Google 云计算已经拥有 100 多万台服务器, Amazon、IBM、微软、Yahoo 等的云均拥有几十万台服务器。企业私有云一般拥有数百上千台服务器。云能赋予用户***的计算能力。 虚拟化 云计算支持用户在任意位置、使用各种终端获取应用服务。所请求的资源来自云,而不是固定的有形的实体。应用在云中某处运行,但实际上用户无需了解、也不用担心应用运行的具体位置。只需要一台笔记本或者一个手机,就可以通过网络服务来实现我们...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS6,CentOS7官方镜像安装Oracle11G
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Linux系统CentOS6、CentOS7手动修改IP地址