精品国产人成在线_亚洲高清无码在线观看_国产在线视频国产永久2021_国产AV综合第一页一个的一区免费影院黑人_最近中文字幕MV高清在线视频

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

詳解云安全面臨的五大常見威脅

如意 ? 來源:51cto ? 作者:51CTO ? 2020-07-02 10:09 ? 次閱讀

如今,企業上云的數量已經穩步增加,中小企業青睞于其物理基礎設施的經濟性選擇,而大企業則喜歡充分利用云服務的靈活性。然而,現在他們也都面臨了一個挑戰,尤其是那些剛剛上云的企業,他們還并不熟悉云上業務的運作方式、與純本地系統的的差異。云設置經常不僅僅只涉及一個設施,經常要和物理數據中心想結合。

因此,這個挑戰會延伸到安全層面,當云安全部署不充分或者對于配置參數不熟悉時,會存在許多風險。許多因素會導致工作負載和應用程序暴露在網絡上招致攻擊,包括錯誤的配置、技術的合理使用、運營經驗和云系統防護,甚至是對于部分研發人員和云工程師的風險忽視。云系統的組成因素在很多方面是相互交織的,這會導致潛在攻擊媒介難以追蹤。對于剛開始使用云平臺和服務的IT安全人員來說,安全這個任務十分艱巨。

不管是云平臺還是云服務,結果發現配置錯誤一直是云安全主要的陷阱之一,而且還會對訂閱云服務的企業和托管在云上的軟件用戶有所影響。

全域可寫的亞馬遜S3存儲桶

AWS憑借其多種產品,現在已經成為云行業的主要參與者。在AWS穩定版的產品中,Amazon S3或許是最受歡迎的,像Netflix、Reddit和Pinterest這些企業都在用它的基礎設施。

我們在研究Amazon S3存儲桶時看到的一貫趨勢是,許多組織將它們放置在全域可寫中,這是一種錯誤配置,允許未經授權的用戶寫入存儲桶。比較知名的例子比如《洛杉磯時報》,該雜志之前有一個網絡控制列表(ACL),該列表配置允許公眾將訪問路徑寫入存儲桶中,該存儲桶托管在其一個兇殺報告的網站上。攻擊者可以在JavaScript代碼中注入加密挖礦程序。

遙測數據還表明,對一些全域可寫的存儲桶網站攻擊大部分發生在2019年間,同時還涉及一些惡意代碼注入攻擊,最終以網站表單形式提取數據。我們遇到的另一個問題是存儲在Amazon S3存儲桶中的惡意文件歸類。大部分惡意文件使用舊的路徑尋址方案。這意味著存儲桶使用通用的Amazon S3主機名,而不是虛擬存儲方案,在虛擬托管方案中,存儲桶的名稱包含在主機名中。這會給安全篩選器帶來問題,因為阻止使用路徑方案的惡意網站的主機名也同樣會阻止其他非惡意站點。

云上可用的第二項主要服務是計算,目前這些服務主要集中于容器技術。在過去幾年中,像一般的云細分市場一樣,容器的采用率也很高。Docker、Kubernetes和AWS Lambda之類的軟件推動了容器技術的發展,為希望簡化其開發操作的企業提供了輕便高效的云部署。但是,配置失誤或錯誤很常見,這些錯誤配置的系統有受到攻擊的風險。

1. Docker

交付加密貨幣挖礦不斷增加,一直困擾著Docker用戶,這也是因為暴露在網絡上的Docker容器所致。挖礦會嚴重影響用戶的計算機,并且因自動擴展的云部署的CPU利用率過高而造成金錢損失。

攻擊者有多種技術將挖礦代碼注入未加密的Docker服務器。最簡單的方法是直接在包含代碼的映像中安裝加密挖礦程序。另一種方法就是在啟動過程中使用類似Ubuntu的常用基礎映像來安裝挖礦軟件。

2. AWS Lambda

AWS Lambdas是無服務器事件驅動平臺,可為應用程序提供輕量級且經濟高效的解決方案,無需設置使用模式。一個常見的誤解是Lambda受白帽保護,不能直接檢索函數名。這種誤解通常會導致未經適當身份驗證的情況下執行功能。

但是,攻擊者可以使用多種方法找到Lambda,例如,使用嗅探器偵聽網絡流量,或者通過檢查Lambda使用并運行API網關站點的源代碼。如果沒有安全的Lambda身份驗證,敏感信息有暴露的危險。

另外,由于開發人員的編碼方式不同,在給定不正確的參數時,許多基于Python的Lambda函數會打印堆棧跟蹤,這可能導致攻擊者了解Lambda配置的基礎信息。

3. Kubernetes

Kubernetes是一個用于管理容器工作負載的開源容器編排平臺。我們使用Shodan發現2019年1月有32000臺Kubernetes服務器暴露在網絡上。與其他配置錯誤的例子一樣,惡意分子可以利用網絡公開訪問Kubernetes服務或其任何組件。

(1) Kubeletes

Kubernetes使用其Kubeletes子組件的API來管理每個節點中的容器。在舊版本1.10之前的Kubernetes中,Kubelet公開了數據端口10255和控制端口10250,這兩個端口均可被利用。濫用控制端口更為明顯,比如可用于安裝加密貨幣挖礦軟件,且端口10255可能包含潛在的敏感信息。

(2) etcd

Etcd是一個分布式和復制的鍵值存儲,充當Kubernetes的主要數據存儲。它負責存儲Kubernetes安裝配置,并提供服務發現的存儲后端。除了Kubernetes,其他應用程序(例如CoreDNS和Rook)都使用etcd。如果將其用作數據存儲,則公開暴露的etcd可能會泄漏敏感數據,包括用于服務器和應用程序的憑據。我們使用Shodan發現了2400多個暴露的etcd服務器,包含Kubernetes和其他軟件的混合。

憑證管理不當

盡管憑據使用經常被忽略,但卻是云計算最重要的方面之一。由于企業無法像數據中心一樣在物理上保護云系統,因此對憑證安全性的需求就變得更大。在保護憑據方面面臨的一個挑戰是許多流程通常需要訪問身份驗證數據和其他資源,這意味著用戶需要保護數據和憑據免受泄露。

程序員經常犯的一個錯誤是,他們會無意間在GitHub等公共存儲庫上泄露憑證信息。有時會在網上發布的代碼段中找到諸如API密鑰之類的敏感數據,然后攻擊者就可以使用這些代碼片段來接管憑據使用的帳戶,隨后再進行犯罪活動,例如盜竊客戶數據,在暗網出售這些數據。

我們發現的另一個問題是,許多經驗不足的程序員經常遵循錯誤的云教程,其中許多教程鼓勵在代碼本身內部對憑證進行硬編碼。如果代碼發布到任何人都可以訪問的存儲庫中,這將成為一個問題。

隨著云服務采用率的增長,企業需要充分了解其面臨的威脅,并做好適當的準備,保護其云系統。如果沒有可靠的安全實施措施,云技術的好處就無法實現。本文研究分析的威脅并未涵蓋云中所有潛在的威脅和風險,包括一些最重要的威脅。對于需要了解云的結構以及保護云的策略的IT和安全人員而言,這尤其重要。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • DDoS
    +關注

    關注

    3

    文章

    169

    瀏覽量

    23043
  • 網絡安全
    +關注

    關注

    10

    文章

    3127

    瀏覽量

    59601
  • 云安全
    +關注

    關注

    0

    文章

    102

    瀏覽量

    19419
收藏 人收藏

    評論

    相關推薦

    連續兩年!優刻得獲評CSA云安全聯盟優秀會員單位

    11月15日,第八屆云安全聯盟大中華區大會圓滿落幕。優刻得作為云服務代表企業及CSA云安全聯盟重要成員單位,再次獲評“CSA云安全聯盟優秀會員單位”稱號。作為中立、安全的云計算服務商,
    的頭像 發表于 11-19 11:59 ?224次閱讀
    連續兩年!優刻得獲評CSA<b class='flag-5'>云安全</b>聯盟優秀會員單位

    航空發動機面臨的終端威脅作用機理及威脅模式解析

    威脅模式開展分析。從終端威脅產物殺傷機理(威脅機理)出發,描述了穿透物、破片、燃燒物質、爆炸沖擊波、高能激光和生化制劑等常見終端威脅產物的
    的頭像 發表于 11-18 11:13 ?189次閱讀
    航空發動機<b class='flag-5'>面臨</b>的終端<b class='flag-5'>威脅</b>作用機理及<b class='flag-5'>威脅</b>模式解析

    識別IP地址威脅,構筑安全防線

    IP地址作為網絡通信的重要標識,在網絡連接和數據傳輸中起著關鍵作用。然而,IP地址也面臨著各種安全威脅,這些威脅可能導致個人隱私泄露、網絡服務中斷、數據丟失等嚴重后果。因此我們要了解與
    的頭像 發表于 09-03 16:13 ?281次閱讀

    安數云助力某省移動部署全省云安全資源池

    集中式的管理。 云安全環境下安全形勢愈加嚴峻 在云安全環境下,傳統的安全問題仍然存在,如SQL注入、內部越權、數據泄露、數據篡改、網頁篡改、漏洞攻擊等。云環境下又不斷涌現一系列新的
    的頭像 發表于 09-03 11:32 ?334次閱讀
    安數云助力某省移動部署全省<b class='flag-5'>云安全</b>資源池

    聚徽觸控-工控主板的五大優勢分別是什么

    工控主板的五大優勢主要如下:
    的頭像 發表于 07-17 09:58 ?298次閱讀

    云安全服務加密存儲代碼怎么查

    云安全服務加密存儲代碼的查詢與實現是一個復雜的過程,涉及到多個方面,包括數據加密、密鑰管理、訪問控制等。 1. 引言 隨著云計算的快速發展,越來越多的企業和個人將數據存儲在云端。然而,數據安全問題也
    的頭像 發表于 07-02 09:28 ?325次閱讀

    云安全主要考慮的關鍵技術有哪些

    云安全是指在云計算環境中保護數據和應用免受攻擊和威脅的一系列技術和策略。隨著云計算的普及,云安全已經成為企業和個人用戶關注的焦點。本文將詳細介紹云安全的關鍵技術,包括數據加密、身份認證
    的頭像 發表于 07-02 09:27 ?546次閱讀

    云安全服務體系由哪部分組成

    云安全服務體系是一個復雜的系統,它包括多個組成部分,以確保云環境中的數據和應用程序的安全。以下是云安全服務體系的個主要部分: 云安全策略和
    的頭像 發表于 07-02 09:24 ?432次閱讀

    云安全服務可以分為哪三類服務

    云安全服務是隨著云計算技術的發展而產生的,主要目的是保障云計算環境中的數據安全、系統安全和網絡安全云安全服務可以分為三類:基礎設施
    的頭像 發表于 07-02 09:22 ?657次閱讀

    云安全的關鍵技術有哪些

    云安全是確保云計算環境中數據和應用程序安全的一種技術。隨著云計算的普及,云安全已成為企業和個人關注的焦點。本文將詳細介紹云安全的關鍵技術,包括數據加密、身份認證、訪問控制、網絡
    的頭像 發表于 07-02 09:20 ?550次閱讀

    云安全的優勢有哪些

    云安全的優勢 隨著云計算技術的快速發展,越來越多的企業和個人開始將數據和應用遷移到云端。然而,云安全問題也日益凸顯,成為人們關注的焦點。本文將詳細介紹云安全的優勢。 一、云安全的定義
    的頭像 發表于 07-02 09:19 ?483次閱讀

    工業控制系統面臨的網絡安全威脅有哪些

    ,隨著技術的發展,工業控制系統也面臨著越來越多的網絡安全威脅。本文將詳細介紹工業控制系統面臨的網絡安全
    的頭像 發表于 06-16 11:43 ?1363次閱讀

    知語云智能科技揭秘:無人機威脅如何破解?國家安全新防線!

    、國家安全新防線的構建 知語云智能科技的破解之道為構建國家安全新防線提供了有力支撐。通過綜合運用無人機偵測與追蹤技術、干擾與反制技術以及大數據分析與預警系統,我們能夠實現對無人機威脅全面
    發表于 02-27 10:41

    知語云全景監測技術:現代安全防護的全面解決方案

    可以幫助實現政務數據的安全保護,防止敏感信息泄露;對于個人用戶而言,知語云全景監測技術可以提供更加全面的網絡安全保護,防范網絡釣魚、惡意軟件等安全
    發表于 02-23 16:40

    電機的五大啟動方式

    自動化小白必學!電機的五大啟動方式
    的頭像 發表于 01-09 10:39 ?854次閱讀
    電機的<b class='flag-5'>五大</b>啟動方式