隨著企業逐漸將工作負載移到雲端,雲端資安也開始成為企業一項重要的問題。根據最近一份針對雲端工作負載安全的研究指出,網路上有超過 21,000 個容器 (Container) 和應用程式介面 (API) 協調系統都暴露在危險中,包括熱門的 Kubernetes、Marathon、RedHat OpenShift 以及 Portainer。其中最嚴重的是,網路上約有 300 個容器管理儀表板完全不須經過認證就能進入。然而像這樣因為雲端組態設定錯誤而讓企業陷入駭客攻擊危險的情況並非第一次發生。過去就曾經發生過類似的案例,例如導致 1.2 億個家庭的資料外流的 Alteryx 資料分析軟體公司外洩事件,以及有 9,600 家企業資料因公司的 Google Groups 設定不當而可能造成敏感資料外洩。
雲端組態設定錯誤的風險
雲端應用程式組態設定錯誤最嚴重的資安風險,或許是歹徒不需要太高深的技術就能取得企業在雲端的資料或進入其系統。過去一些最嚴重的資料外洩事件很多都是因為單純的人為疏失,而非遭到精密攻擊。例如,最近發生的一起資安事件就意外洩漏了大約 350 萬筆資料,包括:使用者登入憑證、電子郵件地址、社會安全碼以及其他機密資料。而且,任何有心的人都能輕易取得這些資料,完全不需藉由複雜的工具或技巧。就資料本身的性質來看,這些資料很可能被用於其他不法用途,甚至是更精密的攻擊。電子郵件地址和社會安全碼可用於從事社交工程攻擊,而用戶登入憑證則能用來入侵更多使用者帳號。至於容器和 API 部分,應用程式可能遭到操控甚至刪除,進而嚴重影響企業營運。
組態設定是企業的責任
在雲端服務當中,廠商須負責提供雲端的硬體與底層系統,因此很容易讓人以為雲端安全也是服務廠商的責任。但事實上,在雲端共同分擔的資安架構下,組態設定通常是企業的責任。
企業對於組態設定絕不能馬虎,也不能以為只要將資料存到雲端就能確保安全。企業應採取一些最佳實務原則來強化企業雲端的安全以防範資料外洩:
熟悉您的雲端。便利性固然是雲端服務的一項主要優勢,但在雲端建立工作負載絕非如「隨插即用」這般容易。企業 IT 人員應多花些時間來學習雲端服務的所有設定與權限,並妥善運用任何內建的資安功能。這對 IT 人員來說,確實需要花費一點時間和精神,但卻是確保雲端平台安全的必要步驟。
檢查並修改登入憑證和權限。首次將營運環境移轉到雲端的企業,或許會以為雲端的預設組態設定就足以滿足工作負載的安全需求。但預設組態通常只具備非常基本的保障,甚至毫無安全可言。企業應徹底檢查其現有的帳戶登入憑證與權限,以確定只有獲得適當授權的人員才能存取其工作負載。此外,企業應考慮建置多重認證來增加一道額外的保障。
定期檢查雲端資產以防組態設定錯誤。企業經常犯的一項錯誤就是以為雲端一旦設好之後,就能一勞永逸。隨著雲端的使用者不斷增加,任何變更都很可能為雲端資產帶來風險。例如,某個員工可能不小心建立了一個完全不須安全認證就能存取的開放資料夾。企業若無適當的稽核和監控機制,很可能就不會發現這類組態設定錯誤的情況。
採用系統記錄檔與網路分割這類的資安措施。當雲端的使用者數量龐大時,管理起來將變得相當困難。許多雲端服務供應商會提供記錄檔工具來協助企業掌握雲端內的狀況。而且這些工具還能在出現未經授權存取或惡意攻擊徵兆時通知 IT 人員。
實行嚴格的使用者存取控管可有效減少資產暴露在外或資料遭到外洩的機會。例如,人事部門員工不該能夠存取會計資料,而業務部門員工也不能存取 IT 系統記錄檔。企業在設定雲端組態時也應考慮採取網路分割,如此可降低遭到攻擊的機會。
挑選適當的防護產品來保護雲端。企業若希望獲得最大的防護,可考慮採用能補強雲端服務內建安全功能的解決方案。最好的解決方案就是能夠提供全套完整功能的產品,包括:威脅偵測、網路入侵防護以及防護管理。
趨勢科技 Deep Security™ for Cloud 解決方案可主動偵測並防範威脅,此外還有Hybrid Cloud Security 能為混合雲環境提供最大的防護,同時保護實體、虛擬及雲端工作負載。
不僅如此,企業也可考慮採用趨勢科技 Deep Security as a Service,這是專為 AWS、Azure 和 VMware 等雲端而最佳化的防護系統。能協助企業 IT 部門保護雲端上的伺服器,完全不需任何安裝作業。同時,企業還能在不需停機的狀況下進行系統升級,並立即連上雲端與資料中心資源,主動獲得防護。
原文出處:Misconfigured Cloud Services Pose High Security Risks for Organizations