导致数据泄露的常见云配置错误

作者 | Raj Rajamani

策划 | 言征

云已成为攻击者活动的新战场:CrowdStrike 观察到,从 2021 年到 2022 年,云利用增加了 95%,涉及直接针对云的威胁行为者的案件增加了 288%。保护你的云环境需要了解威胁行为者的运作方式——他们如何闯入和横向移动、他们瞄准哪些资源以及他们如何逃避检测。

1、云配置错误带来地安全问题

云配置错误(当安全设置选择不当或完全忽略时出现的漏洞、错误或漏洞)为攻击者提供了渗透云的简单途径。多云环境很复杂,很难判断何时授予了过多的帐户权限、配置了不正确的公共访问或发生了其他错误。也很难判断对手何时利用它们。

云中配置错误的设置为攻击者快速行动扫清了道路。云中的漏洞可能会暴露大量敏感信息,包括个人数据、财务记录、知识产权和商业秘密。对手在不被发现的情况下通过云环境寻找和窃取这些数据的速度是一个主要问题。恶意行为者将通过使用云环境中的本机工具来加快在云中搜索和查找有价值数据的过程,这与他们必须部署工具的本地环境不同,这使得他们更难避免检测。需要适当的云安全来防止造成广泛后果的违规行为。

2、常见的错误配置

那么,我们看到威胁行为者最常见的错误配置是什么,以及对手如何利用它们来获取你的数据?

无效的网络控制:网络访问控制中的间隙和盲点为攻击者留下了许多大门,让他们可以直接通过。

不受限制的出站访问:当你对互联网具有不受限制的出站访问权限时,不良行为者可以利用你缺乏出站限制和工作负载保护来从你的云平台窃取数据。你的云实例应限制为特定的 IP 地址和服务,以防止对手访问和窃取你的数据。

配置不当的公共访问:将存储桶或关键网络服务(例如 SSH(安全外壳协议)、SMB(服务器消息块)或 RDP(远程桌面协议))暴露到互联网,甚至是不打算公开的 Web 服务公开,可能会迅速导致服务器的云攻击以及敏感数据的泄露或删除。

公共快照和映像:意外公开卷快照或计算机映像(模板)的情况很少见。当这种情况发生时,机会主义的对手就可以从该公共图像中收集敏感数据。在某些情况下,该数据可能包含密码、密钥和证书或 API 凭据,从而导致云平台遭受更大的损害。

开放数据库、缓存和存储桶:开发人员有时会在没有足够的身份验证/授权控制的情况下公开数据库或对象缓存,从而将整个数据库或缓存暴露给机会主义对手,以进行数据盗窃、破坏或篡改。

被忽视的云基础设施:你会惊讶地发现,有多少次云平台为了支持短期需求而启动,但在练习结束时仍保持运行,并在团队继续前进后被忽视。开发或安全运营团队不维护被忽视的云基础设施,从而使不良行为者可以自由地获取访问权限以搜索可能遗留的敏感数据。

网络分段不充分:网络安全组等现代云网络概念使 ACL (访问控制列表)等陈旧、繁琐的做法成为过去。但是,安全组管理实践不足可能会创建一个环境,使攻击者可以根据“网络内部是安全的”和“只需要前端防火墙”这一隐含的架构假设,在主机之间、服务之间自由移动。” 由于不利用安全组功能仅允许需要通信的主机组进行通信,并阻止不必要的出站流量,云防御者错过了阻止涉及基于云的端点的大多数违规行为的机会。

监控和警报差距:集中查看所有服务的日志和警报,使搜索异常变得更加容易。

禁用日志记录:云安全事件的有效数据记录对于检测恶意威胁行为者行为至关重要。然而,在许多情况下,云平台上默认禁用日志记录,或者禁用日志记录以减少维护日志的开销。如果禁用日志记录,则不会记录任何事件,因此无法检测潜在的恶意事件或操作。应将启用和管理日志记录作为最佳实践。

缺少警报:大多数云提供商和所有云安全态势管理提供商都会针对重要的错误配置提供警报,并且大多数会检测异常或可能的恶意活动。不幸的是,防御者通常不会在他们的雷达上发现这些警报,这要么是由于太多的低相关性信息(警报疲劳),要么是因为这些警报源与他们寻找警报的位置(例如 SIEM)之间缺乏联系。安全信息和事件管理)工具。

无效的身份架构:用户帐户的存在不植根于单一身份提供商,该身份提供商强制执行有限的会话时间和多因素身份验证 (MFA),并且可以标记或阻止不规则或高风险签名活动的登录,这是导致以下问题的核心原因:云数据泄露,因为凭证使用被盗的风险非常高。

公开的访问密钥:访问密钥作为安全主体用于与云服务平面进行交互。暴露的密钥可能会被未经授权的人员迅速滥用来窃取或删除数据;威胁行为者还可能要求赎金,以换取不出售或泄露的承诺。虽然这些密钥可以保密,尽管有一些困难,但最好让它们过期,或者使用自动轮换的短期访问密钥,并限制它们的使用地点(来自哪些网络和 IP 地址)。

帐户权限过多:大多数帐户(角色、服务)都有一组有限的正常操作和稍大一些的偶尔操作。当他们被提供了远大于所需的特权并且这些特权被威胁行为者滥用时,“爆炸半径”就不必要地大了。过多的权限会导致横向移动、持久性和权限升级,这可能会导致数据泄露、破坏和代码篡改等更严重的影响。

3、写在最后

如今云无处不在。许多组织在做出节省成本和灵活性的决定时,没有考虑这种新基础设施带来的安全挑战。如果没有必要的培训,安全团队就无法理解云安全。维护云安全态势管理的最佳实践将帮助你避免导致云安全漏洞的常见错误配置。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/140026.html<

(0)
管理的头像管理
上一篇2025-03-03 18:16
下一篇 2025-03-03 18:18

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注