免费注册


如何重新思考新的云部署带来的风险

2021-08-12 人浏览

如今的科技正在快速发展。IT基础设施正在发生变化,网络攻击面也在不断增加,企业的云计算环境当然也在发展和进步。然而,随着企业创建新的云计算部署场景以加快业务运营,面临的风险也会发生变化。虽然很多风险并不是新的风险,但它们被重新设计以渗透到现代架构中。


云部署面临的威胁


本文将揭示现代云部署面临的主要威胁,提供帮助企业保持行业领先地位并预防威胁的策略。



01

横向攻击



复杂的网络攻击事件如今屡见不鲜。它涉及在云中未被发现的横向移动能力。网络攻击者深入网络以获取敏感数据和高价值资产,成功地做到这一点需要了解许多技术。


通常在横向攻击中,网络攻击者首先获得对密钥的访问权,并使用特定命令设置临时凭证,然后他们获得对帐户的低权限访问。他们也可能会尝试采用暴力攻击以获取权限。然后他们执行查找事件以查看可以模拟的活动,然后横向移动以在整个系统中移动时执行这些相同的命令,以升级其功能权限和角色。他们重复这一操作,直到具有足够的权限来泄露数据库和其他信息。


为了消除在这种网络攻击场景中被攻击的可能性,重要的是限制角色和资产的权限,只允许员工采取必要的操作。这降低了网络攻击者能够提升其权限的风险。此外,创建警报以显示异常行为。虽然一个警报可能不会引起关注,但一系列类似的警报可以让企业更快地采取行动,并可能使用自动化技术来阻止网络攻击的执行。



02

注入攻击



无论是在传统的还是现代的微服务环境中,SQL注入、操作系统命令注入、代码注入等网络攻击仍然是企业面临的风险。容器和无服务器功能添加到环境中的复杂性加剧了阻止注入攻击的挑战。


网络攻击的方法保持不变:应用程序处理来自不受信任来源的输入。然而,对于微服务,输入是通过大量事件触发的,这很难进行人工管理。这意味着人们不能仅仅依赖安全控制和单个应用层,而且要确保代码安全且不易受到注入攻击。


由于有大量易受攻击的代码可以公开使用,网络攻击者可以很容易地利用这些代码对微服务环境进行攻击。例如,通过访问环境,网络攻击者可以使用注入操作功能代码来执行网络攻击。为了抵消这种攻击的可能性,代码必须具有最低权限,以确保没有人可以执行或访问超出要求的权限。执行自动代码扫描以识别企业使用的任何代码存储库或库中的漏洞也很重要。



03

身份验证受损



使用微服务,可以单独运行数百个不同的功能,每个功能都有自己独特的用途,并由不同的事件触发。这些功能中的每一个都需要自己独特的身份验证协议,这就留下了出错的空间。


网络攻击者会寻找诸如被遗忘的资源或冗余代码,或打开存在已知安全漏洞的API,以获得对环境的访问权限。这将允许网络攻击者访问包含敏感内容或功能的网站,而无需进行正确的身份验证。


虽然服务提供商可以处理大部分密码管理和恢复工作流程,但客户需要确保资源本身得到正确配置。但是,如果功能不是从最终用户请求触发的,而是在应用程序流程中触发时,事情会变得更加复杂,会绕过身份验证模式。


为了解决这个问题,对应用程序(包括应用程序流)进行持续监控非常重要,这样就可以识别应用程序触发器。在这一基础上,企业的安全团队希望在资源未包含适当权限、具有冗余权限或触发的行为异常或不符合要求时创建警报并对其进行分类。



04

安全配置错误



在传统应用程序中,安全配置错误可能发生在网络、Web服务器、应用程序服务器、容器等。对于云平台,存储和数据库默认是加密的。但是,为了增强安全性,客户可以提供自己的加密密钥或在多租户架构中创建更多分离。


而了解一些细微差别很重要。未链接的触发器、未受保护的文件和目录将如何影响企业的安全状况?一些示例可能包括网络攻击者试图识别错误配置的区域,以便他们可以访问并导致拒绝服务,或泄漏敏感数据。


为了解决这个问题,企业需要确保利用来自其云计算提供商的内置服务以及第三方服务来扫描其云帐户以识别公共资源。企业安全团队查看这些资源并验证它们是否已实施访问控制,并遵循最佳实践指南。创建警报并设置持续监控云计算环境的方法,因此如果检测到异常行为或发现配置错误,则可以快速解决。对于微服务,需要查找未链接触发器和资源。确保将进行超时设置和设置并发所需的最小值,并始终遵循配置最佳实践。



05

第三方漏洞



这已经在之前的一些网络攻击和风险领域中提到过,但需要再次呼吁。随着微服务执行的不断增加,开发人员对云计算基础设施有了更多的控制权,因此在安全方面承担了更多的责任。


云计算是关于敏捷性和快速移动的。企业单击按钮即可启动应用程序和功能,这通常意味着正在复制代码和API。如果代码存储库中内置了隐藏的漏洞、广泛的权限或冗余,则可以轻松地将它们合并到云计算应用程序环境中。


然而,这并不像建立安全门或质量保证(QA)测试那么容易。这可能减慢开发速度并降低云计算的敏捷性,而这就是系统集成和自动化发挥关键作用的地方。安全团队在持续集成(CI)/持续交付(CD)早期建立自动化安全措施很重要。他们必须确保在部署之前将最佳实践标准和合规措施集成到资源中。


安全系统还应确保在启动之前扫描代码以查找漏洞。然后在运行时,对运行时环境进行连续扫描以快速识别漏洞。并在可能的情况下自动修复问题,这一点很重要。


结 论


根据调研机构451 Research公司的调查,如今90%的工作负载都在云中,并且云计算基础设施的部署方式将会继续改进和扩展。


企业的安全团队必须了解威胁格局将如何随着新兴部署模型和不断变化的攻击面而进行的演变。对于他们来说,进一步与跨职能团队集成以最好地优化安全工具和程序同样重要。这将确保提高安全性不会阻止业务发展,并且业务发展不会危及安全。


版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。


(来源:企业网D1Net)

(文章转自云计算D1net,鸣谢)


上一篇: 如何在多云环境中建立信任
下一篇: 在云中进行灾难恢复的5种有效方式

相关文章