【2020年4月9日,台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天發布有關雲端資安的研究指出,人為錯誤與部署環境的複雜,是各種網路資安威脅破口的主要原因。
根據Gartner報告指出,至2021年超過75% 的中大型企業將會導入多雲或混合IT策略註1。隨著雲端平台的日益普及,IT 和 DevOps 團隊在保護雲端運算單元時面臨著更多的疑慮與不確定性。
這份由趨勢科技研究團隊 (Trend Micro Research) 最新發布的報告再次證實,組態設定錯誤是雲端資安問題的首要原因。事實上,Trend Micro Cloud One – Conformity 平均每天都會偵測到 2.3 億次組態設定錯誤,證明這項風險非常常見。
繼續閱讀
在整合式開發環境 (IDE) 登上雲端之前,程式開發人員得將整套開發環境安裝在自己的電腦上。但隨著 DevOps 日益受到青睞以及雲端運算不斷成長,現在程式開發人員也可以在線上撰寫程式。這樣的模式確實方便,但線上 IDE 是否真的安全?為了回答這個問題,我們就來看看時下最流行的兩套雲端 IDE:AWS Cloud9 和 Visual Studio Online。
當您在線上撰寫程式時,IDE 其實只是將畫面呈現在瀏覽器內,瀏覽器的 JavaScript 引擎會在背後使用 WebSocket 與您的遠端目標裝置 (也就是虛擬私人伺服器,VPS) 建立 SSH (Secure Shell) 安全連線,然後提供一個您所熟悉的終端畫面來讓您執行各種指令。開發環境 (也就是遠端的雲端 VM/VPS 或具備 SSH 功能的裝置) 包含了工具組態設定 (例如金鑰或雲端組態檔案)、原始碼副本、組譯器以及其他您可能用到的工具。
本地端和雲端程式開發平台的最主要差異在於整套開發環境位於何處。對雲端 IDE 來說,開發環境位於雲端廠商的虛擬機器 (VM) 內。以安全性而言,這意味著您必須信任雲端廠商,但您有責任防範「後門」或 VM 組態設定錯誤的問題。當您透過自己的裝置來使用 AWS Cloud9 時,您有責任確保裝置設定的安全。
繼續閱讀根據 Security Discovery研究員Jeremy Fowler 的報告,使用英國鐵路網車站內免費無線網路的火車通勤者資料會因為防護不當的亞馬遜網路服務(AWS)雲端儲存而在無意間被外洩。
這波外洩的資料被認為包括了通勤者的旅行習慣以及電子郵件地址和生日等聯絡資訊。約有一萬名使用者受到影響。受影響的車站包括了倫敦橋、切爾姆斯福德、科爾切斯特、哈洛米爾、威克福德和沃爾瑟姆十字車站。
[相關文章:設定不當的AWS S3儲存貯體外洩了36,000筆犯人資料 ]
研究人員在網路上找到該資料庫並發現它沒有設定密碼保護,並指出沒有防護的資料庫可能成為惡意軟體感染的另一個進入點。這起資料外洩已經引起無線網路服務商C3UK的注意,C3UK原本以為儲存服務只能由他們自己和資安團隊進行存取,並不知道資料已經對外暴露。
該公司已經加強了該暴露資料庫的防護,並聲稱該資料庫是實際資料庫的備份副本。他們還透露並不會通知英國維護資訊權的非政府公共機構資訊專員辦公室(ICO),因為暴露的資料沒有被任何團體竊取或存取。
