信息來(lái)源:51cto
企業(yè)遷移到云,好處多多:更大的靈活性、敏捷性、擴(kuò)展性以及更具成本優(yōu)勢(shì)。但是,公有云基礎(chǔ)設(shè)施也會(huì)放大安全風(fēng)險(xiǎn)和合規(guī)挑戰(zhàn)。近日,Unit 42發(fā)布了最新報(bào)告《云安全趨勢(shì)與提示:確保AWS, Azure以及Google云環(huán)境安全的主要體會(huì)》,在這個(gè)報(bào)告中,Unit 42對(duì)2018年5月末至9月初這一時(shí)間段內(nèi)新出現(xiàn)的和已經(jīng)存在的威脅進(jìn)行了梳理,并提醒企業(yè)如何做才能實(shí)現(xiàn)風(fēng)險(xiǎn)與效率的最佳平衡。
報(bào)告中主要涉及的話題包括,
· 賬戶攻擊的規(guī)模與速度上升:Unit 42 研究顯示,29%的組織面臨潛在的賬戶攻擊風(fēng)險(xiǎn),27% 允許根用戶活動(dòng),41%在最近90天內(nèi)沒有修改過接入密鑰。憑證攻擊變得更加普遍,組織需要切實(shí)加強(qiáng)在監(jiān)管與接入習(xí)慣方面的工作。企業(yè)運(yùn)營(yíng)應(yīng)該把賬戶攻擊考慮在內(nèi),開展監(jiān)測(cè)工作,以便于快速檢測(cè)可疑用戶行為并做出快速響應(yīng)。
· 合規(guī)工作任重而道遠(yuǎn): 數(shù)據(jù)更能說明問題:32%的組織其云存儲(chǔ)服務(wù)至少暴露過一次,49%的數(shù)據(jù)沒有加密,32%的組織沒有通過GDPR合規(guī)驗(yàn)證,而合規(guī)問題則是當(dāng)今全球運(yùn)營(yíng)環(huán)境里最為關(guān)注的部分。人們很早就知道,風(fēng)險(xiǎn)資源配置會(huì)導(dǎo)致大型泄露事件。盡管有跡象表明對(duì)云存儲(chǔ)服務(wù)的保護(hù)相比以前要好很多,但隨著《通用數(shù)據(jù)保護(hù)條例》和《加州消費(fèi)者隱私法》的有力執(zhí)行,許多組織在云環(huán)境全面合規(guī)和監(jiān)管方面仍舊有相當(dāng)多的工作要做。
· 挖礦型網(wǎng)絡(luò)攻擊漸趨降溫: Unit 42 發(fā)現(xiàn) 11%的組織都在其環(huán)境里遭受過挖礦攻擊,雖然依舊嚴(yán)重,但總比五月份報(bào)告的25%要好很多。超過四分之一(26%) 的組織不會(huì)限制其出站流量,有28%的組織不會(huì)限制接收來(lái)自互聯(lián)網(wǎng)的入站數(shù)據(jù)。顯然,加密貨幣的價(jià)值在逐漸減小,再加之以更好檢測(cè)功能的投入使用,挖礦攻擊日漸減少,給人們提供了一個(gè)絕好機(jī)會(huì),可以在下一波攻擊到來(lái)之前啟用更好的反制措施。
· 漏洞管理,勢(shì)在必行:正如今年早些時(shí)候,Spectre 和 Meltdown兩個(gè)處理器漏洞引起業(yè)務(wù)崩盤一樣,最近的漏洞包括L1 Terminal Fault 和Apache Struts 2中遠(yuǎn)程代碼執(zhí)行(Remote Code Execution, RCE)缺陷正在影響著Intel處理器的性能,給人們帶來(lái)了煩惱:有23% 的組織沒有對(duì)云中主機(jī)的關(guān)鍵補(bǔ)丁進(jìn)行過修補(bǔ)。云服務(wù)提供商通過對(duì)基礎(chǔ)設(shè)施和服務(wù)兩方面升級(jí)來(lái)提供第一線防御,而客戶則應(yīng)該識(shí)別主機(jī)漏洞并對(duì)其打補(bǔ)丁,這些如果只使用漏洞掃描工具是不能獨(dú)立完成的,因?yàn)檫@些工具的設(shè)計(jì)不是針對(duì)云基礎(chǔ)設(shè)施。
· 為容器模式提供保護(hù):無(wú)疑容器技術(shù)正在被大量采用,有三分之一的組織正在使用原生或者托管的Kubernetes 編排技術(shù),有四分之一的組織使用包括Amazon Elastic Container Service for Kubernetes (EKS) , Google Kubernetes Engine (GKE), 以及Azure Kubernetes Service (AKS) 在內(nèi)的云托管服務(wù)。這類平臺(tái)可以幫助開發(fā)者更加容易地對(duì)容器化應(yīng)用進(jìn)行部署、管理和擴(kuò)展。Unit 42 報(bào)告發(fā)現(xiàn),有46% 的組織可以接收來(lái)自全部源頭的流量到Kubernetes Pod,有15%的組織不會(huì)使用身份識(shí)別和訪問管理(Identity and Access Management, IAM)策略來(lái)控制對(duì)Kubernetes instances的訪問。從這點(diǎn)來(lái)看,組織需要采用網(wǎng)絡(luò)策略來(lái)隔離pod并強(qiáng)制執(zhí)行訪問控制。
如欲了解更多安全趨勢(shì)以及可行性建議來(lái)保護(hù)您的云環(huán)境,敬請(qǐng)點(diǎn)擊以下鏈接下載Unit 42報(bào)告《云安全趨勢(shì)與提示:確保AWS, Azure以及Google云環(huán)境安全的主要體會(huì)》
https://researchcenter.paloaltonetworks.com/2018/12/unit-42-cloud-security-trends-tips/