如今,几乎每家企业都采用了云服务。云迁移的兴起始于过去十年。在新冠疫情蔓延期间,远程工作爆炸式增长扩大了对面向业务的云服务的需求。对于以往只采用单一云服务的企业,如今都转向采用具有边缘计算能力的多云和分布式环境。
云安全从一开始就是一个问题。虽然云服务提供商尽一切可能为他们的服务提供安全保护措施,但不幸的是,安全漏洞事件仍然经常发生。然而对这些事件的深入研究表明,许多漏洞不是来自云服务提供商,而是来自最终用户对这些服务的错误配置。
以下探讨用户错误配置的普遍性,以及用户可以采取哪些措施来更好地保护他们运行的云计算环境。
云服务的安全事件
有关云服务安全事件的统计数据令人震惊。根据调研机构在2021年对250多名IT专业人员的一项调查,超过一半的企业都经历过与云服务相关的安全事件。而且这个统计结果可能低估了实际发生的安全事件数量。
许多都是备受瞩目的安全事件,一些知名企业的声誉和业务受到损害。例如,亚洲规模最大的云计算提供商遭遇数据泄露事件,导致与该公司购物平台相关的超过11亿条记录对外泄露。
美国的云计算提供商也有很多的数据泄露行为。2021年初,微软Azure云服务的一次错误配置泄露了十几家提交与微软合作提案的公司的机密信息(其中包括源代码)。
2020年底发生的另一起安全事件导致超过50万条记录泄露,其中包含高度敏感的个人信息。虽然2021年的微软Azure泄露事件是由于微软公司自身的错误配置造成的,但大多数漏洞是由于客户的安全措施不足造成的。
例如最近涉及亚马逊S3云服务的一次数据泄露事件。为旅游业提供服务的Prestige Software公司错误地配置了其AmazonS3服务,导致Booking.com、Hotels.com和Expedia等热门旅游网站的用户累计十年的数据对外泄露。
然而,可能最广为人知的一次数据泄露事件是2019年对亚马逊AWS用户CapitalOne公司的攻击。此次事件导致1亿多客户的个人数据对外泄露,其中包括高度敏感的信息,例如社会安全号码、信用卡号码和信用评分。那么其问题的根源是什么?Capital One公司的防火墙配置错误。
这些只是近年来发生的主要数据泄露事件中的冰山一角。它们应该作为主要云计算提供商和云计算用户的警示。虽然企业可以而且应该能够依赖云计算提供商的安全措施,但仅靠这一点是不够的。作为全面的内部网络安全计划的一部分,企业必须正确配置其云计算环境。
避免云服务的错误配置
防止错误配置需要在使用的所有阶段进行协调一致的努力,从最初的签署合同到持续的维护和更新。以下是企业应采取的几个步骤,以最好地保护其云服务。
云服务配置的问题可能在实施过程中很早就出现,其原因很简单,因为企业没有充分理解他们的责任。云计算提供商和客户之间的责任划分通常取决于云计算提供商是IaaS还是SaaS提供商。
知道谁有什么责任
IaaS提供商(例如AWS、谷歌云、微软Azure、阿里云等)通常具有共同责任模式。支付卡行业数据安全标准(PCI-DSS)是电子商务企业的主要数据安全协议之一,该标准特别强调了云计算提供商和用户在确保云平台中PCI合规性和保护消费者金融数据方面的共同责任。
IaaS客户在使用这些服务时需要清楚地了解其责任的全部范围。第一步是让所有相关IT和网络安全人员了解服务协议。了解云计算提供商为配置服务提供的工具和支持也很重要。
相比之下,SaaS提供商(例如Salesforce、Workday、Square)往往承担大部分安全责任。尽管如此,IT和网络安全专业人员仍然应该审查服务许可协议,以确保企业满足任何必要的安全要求。
了解常见的配置和安全问题
在与云服务提供商达成协议之前,企业应了解其可能面临的主要安全问题。所有云服务提供商都提供大量文档(例如 AWS安全文档),其中大部分在互联网上是公开的,即使是那些不使用这些服务的企业也能看到,因此人们需要深入了解配置云服务的复杂性和潜在陷阱。
此外,简单的互联网搜索还可以帮助识别配置和使用云服务的挑战。除了在线文档之外,还可以访问云服务提供商提供赞助的技术支持论坛,这些论坛专门讨论任何给定云服务的特定问题,并包含有关遇到的问题和解决方案的有用信息。
创建配置模板
IT行业中有一个格言,那就是“如果它没有坏,就不要修复它”,这个格言适用于云计算配置。一旦企业为现有的云服务创建有效且安全的配置,它们就可以成为其他服务的模板.
这并不意味着对于每个服务都可以简单地应用现有配置。与其相反,每项新服务都值得特别关注。但这确实意味着企业可以通过从一些安全的设置开始来简化配置过程。
但是,企业从内部部署系统过渡到云服务时,需要注意采用的模板。虽然可能存在相似之处,但它们仍然运行在不同的运营环境中。Hosting Canada公司网络开发人员Gary Stevens表示,由于这个原因,云托管越来越受欢迎。
Stevens说,“云托管与虚拟专用服务器(VPS)有一些相似之处,但关键的区别在于虚拟专用服务器(VPS)分布在大量计算机上,而不是拥有其专用的物理地址。”
测试和更新
一旦企业拥有认为安全的配置,必须尽可能更频繁和严格地对其进行测试。测试可以发现以前可能从未考虑过的问题。如果可以进行自动化系统测试,那就更好了。
企业还需要更新其配置以反映云服务的使用或变化。正如原有版本的软件应用程序为黑客提供了访问企业网络和系统的攻击机会一样,过时的配置也会产生不必要的漏洞。