如今的科技正在快速发展。IT基础设施正在发生变化,网络攻击面也在不断增加,企业的云计算环境当然也在发展和进步。然而,随着企业创建新的云计算部署场景以加快业务运营,面临的风险也会发生变化。虽然很多风险并不是新的风险,但它们被重新设计以渗透到现代架构中。
云部署面临的威胁
本文将揭示现代云部署面临的主要威胁,提供帮助企业保持行业领先地位并预防威胁的策略。
(1)横向攻击
复杂的网络攻击事件如今屡见不鲜。它涉及在云中未被发现的横向移动能力。网络攻击者深入网络以获取敏感数据和高价值资产,成功地做到这一点需要了解许多技术。
通常在横向攻击中,网络攻击者首先获得对密钥的访问权,并使用特定命令设置临时凭证,然后他们获得对帐户的低权限访问。他们也可能会尝试采用暴力攻击以获取权限。然后他们执行查找事件以查看可以模拟的活动,然后横向移动以在整个系统中移动时执行这些相同的命令,以升级其功能权限和角色。他们重复这一操作,直到具有足够的权限来泄露数据库和其他信息。
为了消除在这种网络攻击场景中被攻击的可能性,重要的是限制角色和资产的权限,只允许员工采取必要的操作。这降低了网络攻击者能够提升其权限的风险。此外,创建警报以显示异常行为。虽然一个警报可能不会引起关注,但一系列类似的警报可以让企业更快地采取行动,并可能使用自动化技术来阻止网络攻击的执行。
(2)注入攻击
无论是在传统的还是现代的微服务环境中,SQL注入、操作系统命令注入、代码注入等网络攻击仍然是企业面临的风险。容器和无服务器功能添加到环境中的复杂性加剧了阻止注入攻击的挑战。
网络攻击的方法保持不变:应用程序处理来自不受信任来源的输入。然而,对于微服务,输入是通过大量事件触发的,这很难进行人工管理。这意味着人们不能仅仅依赖安全控制和单个应用层,而且要确保代码安全且不易受到注入攻击。
由于有大量易受攻击的代码可以公开使用,网络攻击者可以很容易地利用这些代码对微服务环境进行攻击。例如,通过访问环境,网络攻击者可以使用注入操作功能代码来执行网络攻击。为了抵消这种攻击的可能性,代码必须具有最低权限,以确保没有人可以执行或访问超出要求的权限。执行自动代码扫描以识别企业使用的任何代码存储库或库中的漏洞也很重要。
(3)身份验证受损
使用微服务,可以单独运行数百个不同的功能,每个功能都有自己独特的用途,并由不同的事件触发。这些功能中的每一个都需要自己独特的身份验证协议,这就留下了出错的空间。
网络攻击者会寻找诸如被遗忘的资源或冗余代码,或打开存在已知安全漏洞的API,以获得对环境的访问权限。这将允许网络攻击者访问包含敏感内容或功能的网站,而无需进行正确的身份验证。
虽然服务提供商可以处理大部分密码管理和恢复工作流程,但客户需要确保资源本身得到正确配置。但是,如果功能不是从最终用户请求触发的,而是在应用程序流程中触发时,事情会变得更加复杂,会绕过身份验证模式。
为了解决这个问题,对应用程序(包括应用程序流)进行持续监控非常重要,这样就可以识别应用程序触发器。在这一基础上,企业的安全团队希望在资源未包含适当权限、具有冗余权限或触发的行为异常或不符合要求时创建警报并对其进行分类。
(4)安全配置错误
在传统应用程序中,安全配置错误可能发生在网络、Web服务器、应用程序服务器、容器等。对于云平台,存储和数据库默认是加密的。但是,为了增强安全性,客户可以提供自己的加密密钥或在多租户架构中创建更多分离。
而了解一些细微差别很重要。未链接的触发器、未受保护的文件和目录将如何影响企业的安全状况?一些示例可能包括网络攻击者试图识别错误配置的区域,以便他们可以访问并导致拒绝服务,或泄漏敏感数据。
为了解决这个问题,企业需要确保利用来自其云计算提供商的内置服务以及第三方服务来扫描其云帐户以识别公共资源。企业安全团队查看这些资源并验证它们是否已实施访问控制,并遵循最佳实践指南。创建警报并设置持续监控云计算环境的方法,因此如果检测到异常行为或发现配置错误,则可以快速解决。对于微服务,需要查找未链接触发器和资源。确保将进行超时设置和设置并发所需的最小值,并始终遵循配置最佳实践。
(5)第三方漏洞
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
