當首席信息官評估其企業運營是否存在漏洞時,有三個因素可能會增加無意中打開基礎設施大門的可能性:
(1)推出新代碼和新特性
首席信息官對開發人員施加了多大的壓力來交付新代碼?當過多的注意力放在獲取功能和代碼上時,開發人員可能會無意中導致配置漂移。例如,如果開發人員不斷創建新的虛擬機(VM)來測試新代碼并人工進行配置,他們就會創造更多的錯誤機會。定期對生產代碼進行小幅更改(例如為新的應用程序功能開放額外的通信端口)的開發人員通常會采用變通方法,以避免在需要進行調整時獲得管理員權限的耗時過程。
(2)增加應用程序的互聯性
企業與第三方或應用程序組件之間的聯系越多,出現錯誤配置的可能性就越大。常見的API錯誤包括對象級別、用戶級別和功能級別的授權中斷。
在企業的API中暴露太多信息也可能為黑客提供破解其代碼的線索。云原生容器化應用程序也可能構成威脅,因為單個容器中的無意漏洞可能使黑客能夠訪問企業的整個軟件堆棧。
(3)云計算基礎設施的復雜性
云計算架構的復雜性對錯誤配置風險有重大影響。單租戶云環境的風險有限,因為沒有其他人在同一臺機器上存儲代碼。企業需要關注的只是確保其機器配置正確。在多租戶云環境中,隨著IT人員需要進行配置以確保黑客不在同一臺機器上的虛擬機上運行代碼,風險也會增加。當代碼和數據在各種不同的地方存儲和處理時,多云或混合云架構中的風險會呈指數級增長。為了使這些部分協同工作,它們需要在整個網絡上創建一個復雜連接的網絡,從而為代價高昂的錯誤提供了更多機會。
管理風險
為了最大限度地降低配置錯誤帶來的風險,企業需要確保不斷檢查配置并識別錯誤。這可以通過多種方式完成:
•在云計算架構更簡單且新功能壓力很小的不太復雜的系統中,采用定期人工檢查的方法可能就足夠了。
•隨著堆棧變得更加緊密,復雜的人工流程無法擴展,開發人員可以構建自動化腳本來檢查常見和已知的配置問題。雖然這適用于復雜性和連接性有限的情況,如果意外創建了漏洞,黑客可以在運行漏洞掃描工具之前利用它。
•在非常復雜且極有可能發生錯誤配置的企業中,持續監控云配置可能是謹慎的做法。
許多遷移到云平臺的企業現在都在尋求云安全狀態管理(CSPM)解決方案來提高安全性。雖然許多供應商現在提供的平臺將持續監控他們自己的云平臺是否存在錯誤配置問題,但這些解決方案通常不適用于多云或混合云架構。由于每個云平臺以不同的方式實現事物并使用自己的術語,因此旨在監控多個云平臺的第三方解決方案可能是更加可行的選擇。
無論企業選擇如何保護自己免受云安全漏洞的影響,采用現代基礎設施和更靈活的應用程序開發流程的企業都需要構建更現代的安全態勢。
