作者: 趨勢科技 TrendMicro

在疫情期間，雲端加速了企業機構的數位轉型。雲端的可靠性與彈性，讓企業得以在這段艱困時期能加速轉型至遠距上班模式。然而，急就章地導入雲端很容易因為疏失或對雲端服務組態設定了解不夠而導致錯誤，也就是一般常說的組態設定錯誤。企業理所當然必須小心防範雲端內部各種複雜的資安威脅[AC(T1] ，但企業同時也應留意一些單純的組態設定錯誤，因為它們最終也可能讓營運關鍵系統和資產設備意外暴露在風險中。

組態設定錯誤看似單純且可避免，但卻是目前雲端環境最常見的一項風險。事實上，有 65% 至 70% 的雲端資安挑戰都是因為組態設定錯誤而引起。雲端包含了各式各樣的設定、政策、資產，以及環環相扣的服務和資源，這使得雲端變成一個非常複雜的環境，不但難以理解透徹，也不容易正確設定。一些因為遠距上班需求而被迫迅速移轉至雲端的企業更是如此。不幸的是，當企業太快導入新的技術卻沒有完全掌握其複雜性時，組態設定錯誤就在所難免。 

由於組態設定錯誤有可能成為駭客攻擊利用的途徑，因此很可能導致嚴重後果，這也是近年許多大型資安事件背後的元凶。2018 和 2019 年間，因雲端組態設定錯誤而引起的資安事件造成了將近 5 兆美元的企業損失。2020 年，全球化妝品品牌 Estee Lauder (雅詩蘭黛) 外洩了 4.4 億筆資料，其中包含了使用者電子郵件地址，以及稽核、錯誤、CMS、中介軟體、生產線等記錄檔，全都只因為某個資料庫未正確設定密碼所致。2020 年，成人網站 CAM4 意外洩漏了108.8 億筆資料，其中包含了使用者的個人身分識別資訊 (PII)、付款記錄以及密碼雜湊碼，同樣也是因為某個 Elastic Search 資料庫未設定安全防護所引起。

組態設定錯誤一直是企業機構和政府機關發生重大財務及聲譽損失的主因之一。所以，任何採用雲端的企業機構都務必對這些常見的組態設定錯誤有所認識，才能加以防範，以免遭駭客利用造成更大損失。趨勢科技從 Trend Micro Cloud One™ – Conformity 在 2020 年 6 月 30 日至 2021 年 6 月 29 日一整年間所蒐集到的資料當中分別整理出 Amazon Web Services (AWS) 和 Microsoft Azure 最常違反 Cloud Conformity 組態設定規則的 10 項服務。