云端错误配置是如何成为重大安全威胁的？

---

什么是云端错误配置？

当企业错误地设置其基于云的系统，从而为黑客入侵敞开大门时，这被称为云端错误配置。这种严重的合规性风险可能以多种方式出现，包括：

故意在开放的互联网上传播未加密的数据，而没有必要的身份验证措施：

• 允许公众访问存储容器

• 不正确的网络功能生成

• 授予所有系统用户开放的云存储数据访问权限

• 将加密密钥和密码放在公共存储库中

根据这篇Security Boulevard文章，云端错误配置最常见的原因是：

• 缺乏关于云安全和策略的知识

• 监管和控制不足

• 系统有太多的云API和接口，难以进行正确的管理。

• 粗心的内部人员行为。

任何可能危及您环境的云中的缺陷、漏洞或故障都被称为云端错误配置。这些网络威胁表现为网络入侵、勒索软件、恶意软件、外部黑客、内部威胁和安全漏洞。

据国家安全局 (NSA) 称，云端错误配置是云系统中的主要漏洞。虽然这些威胁通常不太复杂，但问题的频率通常非常高。

由于多云环境可能相当复杂，并且错误可能难以查找和手动修复，因此错误配置在云计算中是一个问题。根据Gartner的一项调查，这些问题占所有数据安全漏洞的80%，到2025年，人为错误可能导致高达99%的云环境故障。

发生云端错误配置时可能发生什么？

近年来，随着越来越多的企业将数据存储在云中，云端错误配置问题的案例急剧增加。在这篇Business Insights文章中，指出从2019年1月到2020年6月，十分之八的数据泄露是由于云端错误配置造成的。

但是，如果发生这种情况，可能会发生什么？网络罪犯可以通过云端错误配置轻松访问基于云的数据，窃取数据，将其作为赎金，有时甚至嵌入数字skim恶意软件。

所谓的数字skim攻击包括将恶意代码插入网站的脚本中，这些脚本在用户在浏览器中访问该网站时加载。当访客输入机密数据（例如信用卡号码、账户号码、社会安全号码等）时，skim恶意软件会拦截这些数据并将其发送到黑客控制的服务器。然后收集、出售或以其他非法方式利用这些数据。

由于云端错误配置导致的数据泄露事件不计其数，但值得一提的是2018年联邦快递 (FedEx) 因未能保护亚马逊网络服务 (AWS) 云存储服务器而意外泄露了数千份扫描文件的事件。泄露的文件包括护照、许可证和邮件投递申请表，其中包含客户姓名、家庭住址、电话号码和邮政编码。

云安全中的错误配置——常见根本原因

在云安全的共享责任模型下，云客户负责保护他们自己的基于云的资源。然而，对于许多企业来说，保护其基于云的基础设施是一项挑战。

这些导致企业面临风险的安全配置错误可能源于多种因素，包括：

多云复杂性

大多数企业在其多云部署中使用多个云提供商的平台。由于这些平台中的每一个都有自己独特的一套安全设置，因此在不同环境中正确配置和监控这些设置可能具有挑战性。此外，不同安全设置之间的任何不一致都会增加组织的风险。

未更改的默认值

对于部署新应用程序或扩展到新云环境，企业的新云基础设施的安全性配置设置具有默认值。如果这些设置默认情况下不安全，并且这些设置未更改，则组织可能会面临风险。

不安全的DevOps

云基础设施的主要优势之一是其敏捷性。在测试过程中，管理员可能会为了快速部署新功能而设置“临时”安全配置。如果这些配置在发布后未更新，则这些配置会使组织面临风险。

技能差距

许多公司在转向云之后才最近采用了复杂的多云设置。保护这些环境需要对每个平台的安全设置有深入的了解，这由于当前的网络安全技能差距，可能难以获得。

影子IT

由于其用户友好的设计，应用程序、数据存储和其他云服务很容易在云平台上启动。因此，员工可能会在没有必要的授权和安全措施正确设置的情况下部署云资产。

如何预防云端错误配置并保护您的数据？

您可以按照专家的建议安全地配置您的云环境并保持其安全。

• **观察遗漏的服务**——大多数情况下，开发和运营团队会创建新的云服务器和应用程序，对其进行配置，然后忘记再次检查设置。确保您了解云服务和资产的位置和状态。

• **创建策略和模板**——IT主管必须将有效的安全设置传播到其环境的基础配置设置中，以便云基础设施或应用程序的未来实例可以从过去的经验中获益。

• **自动化配置和安全检查**——对于安全代码的创建和部署，敏捷开发方法大量使用自动化。检查您当前运行的基础设施和应用程序的安全性和合规性。在这里，自动化可以派上用场。

• **利用提供商工具**——您必须了解云提供商和您共同承担的安全责任程度。基础设施即服务云将更多的责任放在客户的肩上，而云服务提供商主要管理SaaS服务。

• **进行风险分析**——在将您的数据和运营迁移到云时，网络安全风险分析可以帮助您识别云存储和其他基础设施组件中的潜在风险。