導(dǎo)讀:當(dāng)首席信息官評估其企業(yè)運營是否存在漏洞時,有三個因素可能會增加無意中打開基礎(chǔ)設(shè)施大門的可能性
企業(yè)將業(yè)務(wù)遷移到云平臺,迫使首席信息官改變他們對安全性的看法。由于現(xiàn)在保護(hù)基礎(chǔ)設(shè)施的大部分責(zé)任都外包給了云計算提供商,因此首席信息官需要更加關(guān)注云計算技術(shù),以確保配置正確并且不會無意中泄露數(shù)據(jù)。
當(dāng)首席信息官評估其企業(yè)運營是否存在漏洞時,有三個因素可能會增加無意中打開基礎(chǔ)設(shè)施大門的可能性:
(1)推出新代碼和新特性
首席信息官對開發(fā)人員施加了多大的壓力來交付新代碼?當(dāng)過多的注意力放在獲取功能和代碼上時,開發(fā)人員可能會無意中導(dǎo)致配置漂移。例如,如果開發(fā)人員不斷創(chuàng)建新的虛擬機(jī)(VM)來測試新代碼并人工進(jìn)行配置,他們就會創(chuàng)造更多的錯誤機(jī)會。定期對生產(chǎn)代碼進(jìn)行小幅更改(例如為新的應(yīng)用程序功能開放額外的通信端口)的開發(fā)人員通常會采用變通方法,以避免在需要進(jìn)行調(diào)整時獲得管理員權(quán)限的耗時過程。
(2)增加應(yīng)用程序的互聯(lián)性
企業(yè)與第三方或應(yīng)用程序組件之間的聯(lián)系越多,出現(xiàn)錯誤配置的可能性就越大。常見的API錯誤包括對象級別、用戶級別和功能級別的授權(quán)中斷。
在企業(yè)的API中暴露太多信息也可能為黑客提供破解其代碼的線索。云原生容器化應(yīng)用程序也可能構(gòu)成威脅,因為單個容器中的無意漏洞可能使黑客能夠訪問企業(yè)的整個軟件堆棧。
(3)云計算基礎(chǔ)設(shè)施的復(fù)雜性
云計算架構(gòu)的復(fù)雜性對錯誤配置風(fēng)險有重大影響。單租戶云環(huán)境的風(fēng)險有限,因為沒有其他人在同一臺機(jī)器上存儲代碼。企業(yè)需要關(guān)注的只是確保其機(jī)器配置正確。在多租戶云環(huán)境中,隨著IT人員需要進(jìn)行配置以確保黑客不在同一臺機(jī)器上的虛擬機(jī)上運行代碼,風(fēng)險也會增加。當(dāng)代碼和數(shù)據(jù)在各種不同的地方存儲和處理時,多云或混合云架構(gòu)中的風(fēng)險會呈指數(shù)級增長。為了使這些部分協(xié)同工作,它們需要在整個網(wǎng)絡(luò)上創(chuàng)建一個復(fù)雜連接的網(wǎng)絡(luò),從而為代價高昂的錯誤提供了更多機(jī)會。
管理風(fēng)險
為了最大限度地降低配置錯誤帶來的風(fēng)險,企業(yè)需要確保不斷檢查配置并識別錯誤。這可以通過多種方式完成:
?在云計算架構(gòu)更簡單且新功能壓力很小的不太復(fù)雜的系統(tǒng)中,采用定期人工檢查的方法可能就足夠了。
?隨著堆棧變得更加緊密,復(fù)雜的人工流程無法擴(kuò)展,開發(fā)人員可以構(gòu)建自動化腳本來檢查常見和已知的配置問題。雖然這適用于復(fù)雜性和連接性有限的情況,如果意外創(chuàng)建了漏洞,黑客可以在運行漏洞掃描工具之前利用它。
?在非常復(fù)雜且極有可能發(fā)生錯誤配置的企業(yè)中,持續(xù)監(jiān)控云配置可能是謹(jǐn)慎的做法。
許多遷移到云平臺的企業(yè)現(xiàn)在都在尋求云安全狀態(tài)管理(CSPM)解決方案來提高安全性。雖然許多供應(yīng)商現(xiàn)在提供的平臺將持續(xù)監(jiān)控他們自己的云平臺是否存在錯誤配置問題,但這些解決方案通常不適用于多云或混合云架構(gòu)。由于每個云平臺以不同的方式實現(xiàn)事物并使用自己的術(shù)語,因此旨在監(jiān)控多個云平臺的第三方解決方案可能是更加可行的選擇。
無論企業(yè)選擇如何保護(hù)自己免受云安全漏洞的影響,采用現(xiàn)代基礎(chǔ)設(shè)施和更靈活的應(yīng)用程序開發(fā)流程的企業(yè)都需要構(gòu)建更現(xiàn)代的安全態(tài)勢。