關於雲服務器安全性的最大誤解

 

 

去年夏天，美國第一資本投資集團 Capital One (美國第 5 大銀行)成爲大規模數據泄露的受害者，該數據泄露涉及超過 1 億張信用卡申請和 14 萬個社會安全號碼。緣由是：一名攻擊者發起服務端僞造請求或 SSRF，誘使服務器鏈接到本不該該鏈接的服務器。這是一種新的網絡安全漏洞，它起源於雲計算。

　　事實上，SSRF 已成爲使用公共雲服務器的企業所面臨的最嚴重的漏洞之一。SSRF 攻擊的潛在危害因爲提供公共雲服務器而變得更加嚴重。然而，在此次事件中，儘管遭到破壞的服務器和數據位於 AWS 的基礎設施上，但 Capital One 對此事件負有所有責任。和全部其餘雲服務器同樣，當用戶使用雲服務器時，服務商只負責保護基礎架構，而用戶則負責保護其數據和應用程序。

　　目前，關於雲服務器最大的誤解是，使用雲服務器，意味着保護你的數據和應用程序不受威脅。根據國際知名調查機構 EMA 最近一項調查發現，有 53%的人認爲雲服務器供應商應對大多數或全部公共雲服務器的安全負責。

　　1、 過度隨意的權限控制和操做是雲服務器安全性的最大漏洞

　　問題不在於雲服務器自己。如今，大多數安全專家都認爲，雲基礎架構至少與最佳企業數據中心同樣安全。相反，問題出在過於隨意的人爲處理方式。

　　基本上，雲服務器與本地部署的服務器沒多少不一樣。可是不少企業從未完善地控制使用雲服務器的權限。

　　許多企業都將雲服務器做爲一種便捷的方式，來知足其開發人員和最終用戶對快速調配和對他們的應用程序的更好控制的需求。雲提供商使那些僅具備中等技術技能的人能夠輕鬆地安裝應用程序和上傳數據。

　　可是易用性也會形成虛假的安全感。雲服務器使管理方式變得更加友好的同時，也可能使你經過一鍵式操做形成嚴重災難。目前的現狀是，不少企業在不具有確保安全使用的能力以前就已經開始啓用雲服務器，他們的安全運營團隊甚至不老是參與其中。缺少安全性程序或簡單的粗枝大葉，甚至矇蔽會使那些最精通網絡的企業。

　　這些數據泄露事件都不是大型雲提供商的錯，它們都提供了世界一流的安全控制。可是，每一個公司對產品的定義都有些不一樣，許多服務須要額外付費。控件也不必定易於理解。兩年前，因爲對嵌套和重疊權限的混淆，無數客戶無心中使機密數據公開暴露，從而使 Amazon 全面改革了其 S3 雲存儲服務的安全控制。

　　諸如此類的事件凸顯了企業在使用雲服務器時須要更好地瞭解其職責並開發保護用戶免受自身傷害的程序的需求。有關調查機構預計，在將來六年中，雲安全故障的 99%將是人爲錯誤形成的，90%沒法控制公共雲服務器規範使用的企業將不恰當地共享敏感數據。

 

　　2、內部安全風險與雲服務配置錯誤

　　近年來，人們對雲安全的認識發生了明顯變化。總的來講，雲服務器比大多數企業自身的數據中心更加安全。雲服務器供應商將資源投入網絡安全建設中，這使其相比絕大多數企業自身維護網絡安全來講更加專業和安全，例如，雲服務器供應商能夠更好地應對 「零日」 漏洞或迄今未發現的潛在威脅，由於它們能夠監控許多攻擊點。

　　如今，雲安全性的質量是如此之高，以致於很容易被認爲供應商會處理全部事情。可是，正如 AWS 的 「共享責任模型」 所說明的那樣，有明確的界線。雲服務器相似一棟公寓樓。房東保護建築物周邊，但將單個公寓的安全性留給租戶。雲服務器供應商以相似的方式捍衛他們的雲計算平臺所在的基礎設施，但將系統軟件、應用程序和數據的控制權留給客戶。

　　最多見的雲服務器安全風險與公司內部部署服務器的風險相同。可是，雲服務器能夠採起密碼保護措施。長期以來，弱密碼一直是企業要解決的最頑固的問題之一，可是，當受保護的資產是雲管理賬戶時，對企業的風險可能會更大。若是咱們能夠進入雲服務器的控制檯，則能夠不受限制地訪問該賬戶上的全部服務器。多因素身份驗證，是全部雲提供商都提供的相對簡單的補救措施，但默認狀況下沒有強加於人。

　　近年來，更大的問題是配置了錯誤的雲服務，如 Capital One 漏洞根源。IBM 公司在 2019 年表示，因爲配置錯誤而致使的雲安全事件數量在 2018 年上升了 20%。McAfee 調查發現，用戶每個月平均識別 37 次配置錯誤事件。可是研究人員還估計，大約有 99%的錯誤配置未被注意到。

　　3、怎樣提升雲服務器的安全性?

　　全部這些因素並不能構成反對使用公共雲服務器的理由。雲服務器提供商在增強服務方面已取得了長足的進步，其創新步伐將繼續超過大多數客戶。

　　「葵芳科技」 建議用戶實施嚴格的訪問控制，對訪問權限進行微細分，始終對數據進行加密，並瞭解企業所控制的基礎架構：任何使用公共雲服務器的人員都應熟悉 「責任共擔模型」，要強調雲服務器的安全性是客戶與其雲提供商之間的共同責任。

　　若是客戶沒有專業的技術團隊，建議不要輕易嘗試多雲和混合雲環境。管理多雲和混合雲環境的複雜性提升了資產管理的門檻。您必須知道您擁有什麼硬件、服務和應用程序，它們在哪裏運行以及如何配置。

　　可是，即便是最細緻的預防措施也沒法知足粗心的用戶的需求。儘管雲計算巨頭已經爲保護其客戶而採起了全部措施，但最大的威脅仍是在於用戶錯誤或不謹慎的操做。