这种疾病的增长导致人们将生活迁移到基于网络的公共云服务。这包括使用亚马逊网络服务、谷歌计算引擎和微软Azure。然而,这种办法并不完全成功:大规模转让带来了一套新的安全问题。例如,存在数据暴露问题,这是一个持续关注的问题。公共网络云构成的最严重威胁是分配不当以及云资产和库存缺乏透明度。然而,没有回头路可走。柳暗花明又一村,我们仍然有一些援助选择。
在引进新的有生产力的劳动力方面,云层与现实相对应公共云服务的好处是灵活性和可扩展性。也就是说,公司可以按需要尽快与人民沟通。对于一些实体来说,云层服务不仅仅是节省资金。它还能够降低有形基础设施维护的费用。
Gartner预计他将于2021年8月无法这样做。到2026年,公共云的支出将接近公司信息技术投资总额的45%。这大大高于2021年预测的低于17%的比率。Gartner研究副总裁Sid Nag指出, 国内没有疾病,公司界继续对传统的房地部署办法失去兴趣。集装箱化、虚拟化和边际计算等新技术正在获得牵引力。它还增加了云的支出。简而言之,疫情爆发只是首席信息干事对云服务兴趣的驱动力。
当然,我们还应强调,网络云服务的迅速扩展已使某些利害关系者感到困惑,因为海平面的大幅度波动已导致地球生物环境的重大变化,而信息技术安全专家是解决这一问题的关键。
根据2021年9月非营利云安全联盟(CSA)的研究,70%以上的答卷人(包括1 090名信息技术和安保专家)说,他们处于紧急情况。他们公司的云层安全、信息技术业务和发展团队一直侧重于无效的安全规则和(或)执法技术。例如,Prefailion的首席技术官Nate Warfield说,搬去云层是不寻常的这需要很多的先入为主的想法。毕竟,安保和基础设施小组的日常职责性质发生了变化。以前,这些小组更熟悉诸如机架服务器等标准预处理职责。
沃菲尔德注意到当新的冠状肺炎传播时许多计划都压缩了,公司实际工作方案的运作比它们希望承受的压力要快得多。这经常表明安全正在落后。因为信息技术安全团队 试图跟上云层安全的发展由于他们的努力,他们面临着新的障碍。
云服务存在的盲点
在现实中,有几个问题,因为许多变数影响到高度安全的云层环境的实施和维持。
员工技能不足
数据丢失/泄漏
API漏洞
恶意软件感染
身份和出入管理控制不足
无法获取文件夹“%s”:%s
无法关闭临时文件夹:%s。
在信息技术范围外配置的云应用程序(例如,IT(阴影))
未能防止内部盗窃或刑事数据滥用
最高层对云应用供应商的威胁和攻击
无法评价云应用软件提供商运作的安全性
供应商没有通知客户。
无法保持监管合规性
云型硬件和/或云型软件设置中的错误
配置错误
没有战略就冲入云层造成的小错误往往导致严重的安全灾难。根据Oracle和KPMG的2020年云险分析,由于设置问题,51%的公司报告敏感数据被破坏和暴露。构成问题包括:在没有适当识别资料的情况下将未经加密的数据公诸于众,向公众提供记忆资料,以及建立网络功能。所有系统用户均可访问可访问的云储存数据。以及加密密码和钥匙的公开存储
上述遗漏是一系列破坏具有公众重要性的数据的主要原因。
由于2021年11月免费VPN供应商Quickbox(Quickbox)手中的Elasticsearch、Logstash和Kibana(ELK)堆叠的安全设置出现问题,100多万客户的数据漏出。
2021年3月,手工艺店Hobby大厅披露了138GB机密客户信息、公司应用程序源代码以及雇员的姓名和电子邮件地址,因为亚马逊网络服务(AWS)云数据库中出现了云层设置问题。
vpnMentor于2019年12月检测到一个泄漏的数据库。它揭露了50多万份非常敏感的私人法律和财务记录。该数据库由两家金融技术公司(高级资本筹资公司和Argus资本筹资公司)拥有,储存在亚马逊S3储存桶。然而,没有基本的安全措施,例如加密、身份或取得文件。
事实上,在2020年,美国国家安全局的结论是:最普遍的云网络风险是云资源分配不当。该机构表示,对于攻击者来说,非法获取云数据和服务是最容易被利用的缺陷之一。因此,网络罪犯可能通过发起拒绝服务攻击和安装恶意软件而泄漏账户和数据。
上述加空局研究证实了消极安全保证的结论:超过六分之一(17%)的公司声称:乌云几天前被错误地布置了他们遇到了公共云层安全缺陷或事件。臭名昭著的首都一号于2019年7月 蔓延到纽约街头其中一名袭击者泄露了超过1个 660亿客户的数据袭击者利用了亚马逊服务器配置问题(嫌疑人是AWS工程师)。在第二年10月,其他立法者则认为亚马逊是部分罪魁祸首。因此,当问责问题出现时,随着公共云层共担责任模式的出现,人们对谁要对什么负责产生误解。
共同责任
正如国家安全局已经说过的那样,公共云服务供应商往往提供管理云层设置的工具。然而,最广泛的云层差距往往是不正确的客户环境。由于存在这些差距,网络攻击者可以获取云数据和服务。据NSA称,这些设置错误往往是由于对共同责任概念的误解造成的。据企业网络安全威胁探测和反应公司Vectra AI的首席技术官Oliver Tavakoli说,向亚马逊、谷歌云平台、微软Azure等公共云层的转变强调了这些共同责任概念。因为它与全面解决办法的安全和遵守有关。
塔瓦科利说:亚马逊网络服务基础设施,即服务模式(IAAS)和微软平台,即所有网络服务都试图传达以下信息:“我们对基本知识负责。”你们对于自己所能控制的事情,确是要负责的。他补充说:换言之,亚马逊将核实S3储存容器只能按照控制其使用的政策取用——但客户有义务制定适合储存在那里的数据的计划。或者,向阿苏尔岛提供 " PaaS " 服务是不可行的。微软公司的义务仅限于确保用于提供服务的操作系统得到固定和加强。因此,例如,如果不首先进行认证,就无法确定将存储桶与互联网连接起来的用户。公共云公司往往不处理数据安全问题。
另一方面,Tavakoli说,他们对差距的处理表明,供应商分担的部分责任可能会使客户的安全态势复杂化。
2019年2月,在CVE-2019-5736违约被所有CSP修理集装箱发现之后,共担责任办法有利于公共云客户。这种缺陷可能使攻击者能够进入基地操作系统的内容以及在同一虚拟机器管理下运行的任何虚拟机器(VM)。相比之下,在自己的数据中心管理集装箱的组织是自主的。因此,它们必须迅速开展工作,以修复集装箱操作系统的形象。
2021年8月是一个消极的模式。在微软的Azure宇宙DB(可扩展的多租户 NoSQL 数据库)中发现了泄漏。披露可能会使攻击者在其它客户云情景中篡改数据。不幸的是,问题只影响到已经激活宇宙DB的 Jupyter笔记本电脑功能的用户。幸运的是,2021年2月后建造的任何宇宙 DB 将具有默认启用的特性 。因此,不使用这种服务的客户也将受到曝光。
因此,Tavakoli指出:这强调了现实。这是因为有一个组织没有积极利用某种职能(Jupsyter Notesbook)。这并不意味着它不会受到这一职能缺陷的影响。作为战地的战地 保护国,另一个共同的责任关切是,“云端提供者对差距/妥协监测没有采取主动积极的办法”。
为什么CSP并不总是能解决问题?
根据战场的说法在许多情况下,当公共云源提供者从外部研究人员获得信息时,他们甚至不通知客户。他说,这并不是说公共云公司不关心安全。微软还试图加强其虚拟机器管理软件层的安全程序。相反,他指出,由于IaaS/PaaS/SaaS解决办法的性质,向客户提供了大量工作。Warfield公司与微软公司一起,在2021年3月之前直接了解了设想情景。他以前是Windows Defence ATP的高级安全研究员。
他一直坚持认为,存在着问责制问题。律师有逻辑原因,为什么微软不改变客户机的设置?消费者可能有这样做的正当理由。但根据战场的说法除了潜在的法律后果之外,大云公司"总是人手不足"考虑以下情形:12 00名客户因防火墙过于松懈而受到伤害。他推测,Warfield从微软寻求的反应是:"如果他们都要求帮助,那我们就没法应付了 我不知道该怎么办了
然而,据"救世主"说,“我们经常看到人们的云服务被提供, 我不知道我该怎么办。”他说,对于像战场这样的专家来说资源分配不当和缺乏能见度,都加剧了安全关切。然而,这些并不是新的困难。例如,在网络出现之前,我们正在接近解决这些问题。例如防火墙。[然后]冲向云端,我们在这里看到1997年出现的困难。两年来解决这个问题需要20年时间。
缺乏能见度
云层安全的另一个关键缺陷是缺乏能见度,了解公共云账户组织中的数据和工作量是否正确,或者哪些云应用程序(如影子信息技术)是在信息技术小组的视野之外配置的。
影子信息技术是指未经授权的信息技术资源中持有的数据;也就是说,人员可以利用不接触公司的数据完成任务。这不是新奇的:工人一直支持该组织的信息技术部门。找到更容易执行的任务、创新和提高生产力的方法。但问题是,信息技术的影子对信息技术安全监护人来说是看不见的。无法管理它,保护它,或者,明确规定何时允许或禁止。
据Gartner说 一家行业分析公司在所有成功袭击公司的事件中,发生了三分之一。他们想要的IT是无法追踪的, 看不见的资源。其中大部分是由于密码管理效率低下。根据Verizon的2021年数据泄漏研究报告,无法确定发生了什么。80%以上的数据和隐私暴露都是加密不足造成的。
一个密码首席执行官Jeff Shiner也讨论了如果工人使用两种流行的云工具(Airtable)将会发生什么:Airtable,这是一个云合作服务,提供数据库能力,但应用于电子表格,以及语法。"Say Carlos为Airtable的电子邮件活动 提供客户数据"安妮塔用文法审查重要的法律文件不用考虑,Shiner评论道, “他们与那些甚至不属于IT行业的组织分享许多重要数据,
这不是一个假设问题。 2018年,文法的Charme扩展中的安全漏洞暴露了网站的许可徽章,使网站可以假定用户的身份并查看用户的账户文件。
Eric Kaiser是来自Uptycs平台、云原安全分析平台的资深安全工程师, 以及一些Uppycs博客,了解组织的数据、工作量和应用程序可能有助于你更清楚地思考。因为无论环境如何,万事万物造成的问题都必须得到解决。例如,“在典型情况下,情况如何?”他说,“特别是当案件开始或结案时,案件结束”。特别是在云层覆盖或混合云层中。亚马逊和服务器有什么需要我关心的?"
未来发展的道路
正如我们所看到的那样,不适当的设置、数据泄漏和其他众多的云层陷阱都打断了商务旅行。 但是,云层的前进道路并不一定像迄今为止那么困难。 比如,越来越多的自由开放源码应用可能有所帮助。
Kaiser指出,您可以使用Claude Query来为云层安全建立深度可见度。Claude Query是SQL支持的开放源码云资产库存应用程序。可审查、审计和评价云层资产分配情况。它基于Osquery原则:它也是使用简单的 SQL 命令的工具。用户可以查询端点设备, 因为它是一个数据库 。具体来说,例如,Claude Query可以描述出生的安全环境。为解决各种安全问题,例如:
频率分析: 哪个应用程序是由一个人操作的? 他是谁? 他们需要什么? 鼠标是否在计算机屏幕上点击, 如果唯一的用户是自动点击器的话?
用户行为分析: 每天,用户创造数百万网络事件。 使用工具分析他们的行为可以发现被盗证据、横向移动和其他恶意活动。 通过发现模式和洞察力,信息技术团队可以发现外部妥协、内部威胁和网络风险行为的证据。
凯撒预测,可见工具能让消费者了解其云操作的具体内容:他们可能甚至不知道自己在操作什么。直到他们收到账单。当用户不确定由谁负责数据时,这些技术也可探测到。它载有开发者为本来简短的、与任务有关的目标提供的内容。例如自动点击器。
这篇文章是我们对2011年埃及抗争特别报导的一部分。