云技术已经改变了科技领域的格局使资源消耗的硬件和计算需求对初创企业和成熟的组织来说都是可行的。然而,在外包技术堆栈的关键组件时,认识到这给组织带来的更大风险是至关重要的。
你不再能够完全控制你的攻击面,网络犯罪分子越来越意识到通过基于云的攻击可以获得的利润。云数据安全防护从未如此重要。
云计算:主要好处,代价是什么?
“云计算”一词指的是公司使用通过互联网访问和交付的软件和硬件。第三方云提供商将这个过程抽象出来,而不是依赖于物理计算机或服务器的应用程序和程序。通过外包这种复杂的基础设施,公司现在可以更深入地研究他们的特定领域,而不必投入大量的时间和资源来维护他们自己的服务器堆栈。
云计算的核心前提是围绕远程功能。主要的计算功能现在可以在远程机器上进行,不再局限于用户正在与之交互的设备。整个过程中的数据收集和管理由云服务器处理和访问,这意味着从用户设备本身需要的资源更少。
云服务器能够释放单个计算机的内存和计算能力,从而实现更快的加载时间、更好的客户体验,如果配置得当,还可以提供更安全的环境,用于访问数据和凭据。
云的好处不仅仅局限于您的客户:云允许应用程序开发人员在几秒钟内创建新的计算实例。这种计算的便利性已经完全重塑了软件开发生命周期的敏捷性和速度。现在,开发人员可以快速验证新的想法和架构设计,而无需依赖昂贵的现场硬件或缓慢的采购过程。这创造了一个适应性极强的技术市场,不断涌入创新解决方案,使您的组织能够充分发挥其潜力。
当云计算出了问题:第一资本的漏洞
2019年7月19日,交易数据、社会安全号码和信用评分美国约有1亿人,加拿大约有600万人被袭击者偷走了。恶意攻击者利用大量配置错误的亚马逊网络服务账户,侵入了Capital One的银行服务器。从那里,她从aws托管的Capital One目录中提取了2009年至2019年的文件。
司法部的一名前亚马逊员工描述了在该公司工作期间,攻击者如何构建了一个工具,用于扫描AWS平台的错误配置账户。然后,她利用这些易受攻击的账户访问并下载了包括第一资本银行在内的30多个实体的数据。除了窃取数据,她还植入了加密货币挖矿软件。
攻击者——之前被确认为佩奇·汤普森——在GitHub上以她的全名、中间名和姓氏发布了Capital One的攻击路径和泄露的数据。她还在社交媒体上夸耀自己的成功。在生产力应用Slack上,汤普森解释了她用来打入Capital One的方法;有人对汤普森的行为感到震惊,告诉她“请不要进监狱。”
由于数据泄露,Capital One被罚款8000万美元,并以1.9亿美元解决了进一步的客户诉讼。
云安全的关键功能
错误配置是当今最主要的云安全问题。55%的公司遭受意外数据泄露,这对网络安全资源造成了巨大的压力,并大大增加了您受到攻击的风险。虽然可配置性是云应用程序的主要吸引力,但其灵活性也带来了真正的风险。避免错误配置攻击的方法是全面深入地了解SaaS平台。通过关注存储最敏感数据的应用程序来优先处理这个过程。您的安全工具应该自动识别和分类您的数据库,允许您有效地确定配置检查的优先级。请记住,错误的配置会使您不兼容。
除了错误配置,错误颁发的权限也是云集成中的主要危险信号。第三方特性及其api的安装通常具有高级权限。由于它们在网络攻击中久经考验的可靠性,它们很危险。过高的权限使网络罪犯的工作变得容易得多,因为它们允许特权升级到其他系统和数据库。第一资本的漏洞显示他们的防火墙被用来升级特权。为了降低第三方入侵的风险,在授予访问权限时始终遵循最小权限原则,并在变得不需要时立即撤销访问权限。
保护您组织的云基础设施
对于一些组织来说,云计算可能是一个令人头痛的安全问题,但事实上,无服务器和云架构在安全数据存储方面具有独特的优势。许多云应用程序的基本布局(即在云中组织大量小功能的结构)为安全和高度自适应的组织提供了极好的基础。不再需要在这两个特性之间进行权衡。
微服务布局使您有机会将特权应用到各个函数。这确保特权被限制在必要的最小范围内。此外,如果函数中存在无声漏洞,攻击者只能访问该函数的有限功能,可靠地挫败大规模数据窃贼并拒绝他们真正的访问。
最后,网络安全机制必须与技术本身的变化一样迅速地转换和适应云环境。这就是应用程序安全工具真正擅长的地方:在这种规模下,手动修补和审查流程是不可能的;高质量的安全工具会不遗余力地分析您所依赖的云应用程序的各个组件。主动的网络安全流程将重视自动报告和合规流程——这意味着您可以在错误配置被积极用于违规之前修复它们。保持您的防御高度机动与自动策略违规检测。云计算不再是一个安全难题——您只需要合适的工具来完成这项工作。
基达尔·d是LeraBlog的作者。作者的观点完全是他们自己的,可能不反映LeraBlog员工的观点和意见。
