企业迁移到云,好处多多:更大的灵活性、敏捷性、扩展性以及更具成本优势。但是,公有云基础设施也会放大安全风险和合规挑战。近日,Unit 42发布了最新报告《云安全趋势与提示:确保AWS, Azure以及Google云环境安全的主要体会》,在这个报告中,Unit 42对2018年5月末至9月初这一时间段内新出现的和已经存在的威胁进行了梳理,并提醒企业如何做才能实现风险与效率的最佳平衡。
报告中主要涉及的话题包括,
· 账户攻击的规模与速度上升:Unit 42 研究显示,29%的组织面临潜在的账户攻击风险,27% 允许根用户活动,41%在最近90天内没有修改过接入密钥。凭证攻击变得更加普遍,组织需要切实加强在监管与接入习惯方面的工作。企业运营应该把账户攻击考虑在内,开展监测工作,以便于快速检测可疑用户行为并做出快速响应。
· 合规工作任重而道远: 数据更能说明问题:32%的组织其云存储服务至少暴露过一次,49%的数据没有加密,32%的组织没有通过GDPR合规验证,而合规问题则是当今全球运营环境里最为关注的部分。人们很早就知道,风险资源配置会导致大型泄露事件。尽管有迹象表明对云存储服务的保护相比以前要好很多,但随着《通用数据保护条例》和《加州消费者隐私法》的有力执行,许多组织在云环境全面合规和监管方面仍旧有相当多的工作要做。
· 挖矿型网络攻击渐趋降温: Unit 42 发现 11%的组织都在其环境里遭受过挖矿攻击,虽然依旧严重,但总比五月份报告的25%要好很多。超过四分之一(26%) 的组织不会限制其出站流量,有28%的组织不会限制接收来自互联网的入站数据。显然,加密货币的价值在逐渐减小,再加之以更好检测功能的投入使用,挖矿攻击日渐减少,给人们提供了一个绝好机会,可以在下一波攻击到来之前启用更好的反制措施。
· 漏洞管理,势在必行:正如今年早些时候,Spectre 和 Meltdown两个处理器漏洞引起业务崩盘一样,最近的漏洞包括L1 Terminal Fault 和Apache Struts 2中远程代码执行(Remote Code Execution, RCE)缺陷正在影响着Intel处理器的性能,给人们带来了烦恼:有23% 的组织没有对云中主机的关键补丁进行过修补。云服务提供商通过对基础设施和服务两方面升级来提供第一线防御,而客户则应该识别主机漏洞并对其打补丁,这些如果只使用漏洞扫描工具是不能独立完成的,因为这些工具的设计不是针对云基础设施。
· 为容器模式提供保护:无疑容器技术正在被大量采用,有三分之一的组织正在使用原生或者托管的Kubernetes 编排技术,有四分之一的组织使用包括Amazon Elastic Container Service for Kubernetes (EKS) , Google Kubernetes Engine (GKE), 以及Azure Kubernetes Service (AKS) 在内的云托管服务。这类平台可以帮助开发者更加容易地对容器化应用进行部署、管理和扩展。Unit 42 报告发现,有46% 的组织可以接收来自全部源头的流量到Kubernetes Pod,有15%的组织不会使用身份识别和访问管理(Identity and Access Management, IAM)策略来控制对Kubernetes instances的访问。从这点来看,组织需要采用网络策略来隔离pod并强制执行访问控制。
如欲了解更多安全趋势以及可行性建议来保护您的云环境,敬请点击以下链接下载Unit 42报告《云安全趋势与提示:确保AWS, Azure以及Google云环境安全的主要体会》
https://researchcenter.paloaltonetworks.com/2018/12/unit-42-cloud-security-trends-tips/