當(dāng)首席信息官評(píng)估其企業(yè)運(yùn)營(yíng)是否存在漏洞時(shí),有三個(gè)因素可能會(huì)增加無意中打開基礎(chǔ)設(shè)施大門的可能性:
(1)推出新代碼和新特性
首席信息官對(duì)開發(fā)人員施加了多大的壓力來交付新代碼?當(dāng)過多的注意力放在獲取功能和代碼上時(shí),開發(fā)人員可能會(huì)無意中導(dǎo)致配置漂移。例如,如果開發(fā)人員不斷創(chuàng)建新的虛擬機(jī)(VM)來測(cè)試新代碼并人工進(jìn)行配置,他們就會(huì)創(chuàng)造更多的錯(cuò)誤機(jī)會(huì)。定期對(duì)生產(chǎn)代碼進(jìn)行小幅更改(例如為新的應(yīng)用程序功能開放額外的通信端口)的開發(fā)人員通常會(huì)采用變通方法,以避免在需要進(jìn)行調(diào)整時(shí)獲得管理員權(quán)限的耗時(shí)過程。
(2)增加應(yīng)用程序的互聯(lián)性
企業(yè)與第三方或應(yīng)用程序組件之間的聯(lián)系越多,出現(xiàn)錯(cuò)誤配置的可能性就越大。常見的API錯(cuò)誤包括對(duì)象級(jí)別、用戶級(jí)別和功能級(jí)別的授權(quán)中斷。
在企業(yè)的API中暴露太多信息也可能為黑客提供破解其代碼的線索。云原生容器化應(yīng)用程序也可能構(gòu)成威脅,因?yàn)閱蝹€(gè)容器中的無意漏洞可能使黑客能夠訪問企業(yè)的整個(gè)軟件堆棧。
(3)云計(jì)算基礎(chǔ)設(shè)施的復(fù)雜性
云計(jì)算架構(gòu)的復(fù)雜性對(duì)錯(cuò)誤配置風(fēng)險(xiǎn)有重大影響。單租戶云環(huán)境的風(fēng)險(xiǎn)有限,因?yàn)闆]有其他人在同一臺(tái)機(jī)器上存儲(chǔ)代碼。企業(yè)需要關(guān)注的只是確保其機(jī)器配置正確。在多租戶云環(huán)境中,隨著IT人員需要進(jìn)行配置以確保黑客不在同一臺(tái)機(jī)器上的虛擬機(jī)上運(yùn)行代碼,風(fēng)險(xiǎn)也會(huì)增加。當(dāng)代碼和數(shù)據(jù)在各種不同的地方存儲(chǔ)和處理時(shí),多云或混合云架構(gòu)中的風(fēng)險(xiǎn)會(huì)呈指數(shù)級(jí)增長(zhǎng)。為了使這些部分協(xié)同工作,它們需要在整個(gè)網(wǎng)絡(luò)上創(chuàng)建一個(gè)復(fù)雜連接的網(wǎng)絡(luò),從而為代價(jià)高昂的錯(cuò)誤提供了更多機(jī)會(huì)。
管理風(fēng)險(xiǎn)
為了最大限度地降低配置錯(cuò)誤帶來的風(fēng)險(xiǎn),企業(yè)需要確保不斷檢查配置并識(shí)別錯(cuò)誤。這可以通過多種方式完成:
•在云計(jì)算架構(gòu)更簡(jiǎn)單且新功能壓力很小的不太復(fù)雜的系統(tǒng)中,采用定期人工檢查的方法可能就足夠了。
•隨著堆棧變得更加緊密,復(fù)雜的人工流程無法擴(kuò)展,開發(fā)人員可以構(gòu)建自動(dòng)化腳本來檢查常見和已知的配置問題。雖然這適用于復(fù)雜性和連接性有限的情況,如果意外創(chuàng)建了漏洞,黑客可以在運(yùn)行漏洞掃描工具之前利用它。
•在非常復(fù)雜且極有可能發(fā)生錯(cuò)誤配置的企業(yè)中,持續(xù)監(jiān)控云配置可能是謹(jǐn)慎的做法。
許多遷移到云平臺(tái)的企業(yè)現(xiàn)在都在尋求云安全狀態(tài)管理(CSPM)解決方案來提高安全性。雖然許多供應(yīng)商現(xiàn)在提供的平臺(tái)將持續(xù)監(jiān)控他們自己的云平臺(tái)是否存在錯(cuò)誤配置問題,但這些解決方案通常不適用于多云或混合云架構(gòu)。由于每個(gè)云平臺(tái)以不同的方式實(shí)現(xiàn)事物并使用自己的術(shù)語(yǔ),因此旨在監(jiān)控多個(gè)云平臺(tái)的第三方解決方案可能是更加可行的選擇。
無論企業(yè)選擇如何保護(hù)自己免受云安全漏洞的影響,采用現(xiàn)代基礎(chǔ)設(shè)施和更靈活的應(yīng)用程序開發(fā)流程的企業(yè)都需要構(gòu)建更現(xiàn)代的安全態(tài)勢(shì)。
