云安全应对常识

导读 随着多云及混合云趋势的发展,过去传统的云安全策略显然已不适应新的云环境。尽管,很多企业一直非常重视云安全问题,但其中很多风险点并没有得到实际解决。大多数企业依然在采用过去本地环境下的云安全措施,导致企业出现云安全策略不一致,应用风险和漏洞增加的状况!最严重的问题是,很多私有云部署环境下的安全问题,并不需要黑客高手侵入,而是缺乏安全常识!

很多安全问题都是防不胜防!即使在理想的环境下,还容易出现重大安全事故,更何况你系统本身就有问题,那等于是在给攻击者开了一扇门。所以,为了确保云环境下的万无一失,我们除了在云安全措施上下功夫,还要在安全常识问题上,提高警惕!

首先,不要忽略“僵尸负载”。

很多企业往往会忽略在系统架构上运行着的僵尸负载。尤其是在企业应用峰值期,一旦遇到严重的安全问题,会首先把“僵尸负载”排除在外,不予理会。

实际上,很多别有用心的人就是利用僵尸资源来窃取密码。尽管僵尸工作负载并不重要,但是它构建于企业整体基础设施之上,一旦疏于管理,会更容易遭遇入侵。SkyBoxSecurity 2018年的一份报告显示,密码劫持是主要的一种网络攻击手段。DevOps团队要像托管加密货币一样,要确保应用资源不受威胁,并采用有效的安全防范手段,来阻止一切恶意行为。

其次,对AWS S3 Buckets的泄露问题,要足够重视。

AWS云服务,尤其是 S3 Buckets是年头最长的云本地服务之一,还保持着过去的安全防护方式和规则,因此成为勒索软件攻击的主要目标。有统计数据显示,7%的 Amazon S3 bucket 都未做公开访问的限制,35%的 bucket 都未做加密,这意味着整个 Amazon S3 服务器中都普遍存在这样的问题。

恶意参与者不仅可以通过S3 bucket访问企业的敏感客户数据,而且还可以访问云凭据。很多具有灾难性的数据泄漏,都是由于访问了不受限制的S3 bucket造成的,因此要定期检查AWS平台上的公有云存储字段是非常重要的一项工作。

其三,系统更新最好不要绕过CI/CD管道。

每个DevSecOps团队都有一个惯性思维,认为系统程序更新时要通过CI/CD管道传递,这样的系统部署才更加安全,但这并不意味着每次运行都要强制执行这一策略。加快部署速度,避免出现安全问题,开放人员往往通过使用开放源码库的形式绕过CI/CD管道。

虽然这种方式为开发人员节省了系统发布和更新时间,但却给安全团队带来了更大的负担,他们必须对异常工作负载进行额外扫描。长期下去,开发团队会认为安全团队没有办法阻止未授权的工作负载,只是简单地接受和执行。最终,系统的安全状况会逐渐恶化,以至于恶意入侵者可以在不引起注意的情况下运行有害的工作负载,但是到那时才发现,一切为时已晚。

其四,网络访问要设限。

许多DevOps团队并没有花费大量的时间,用在分段和单独的访问权限上,而是依赖于一套完整的网络配置,同时这些配置远远不能满足必要的访问限制,他们通常将所有的工作负载都放在一个单独的VPC中,这样就可以通过第三方流程访问。

没有对公网访问设限,安全团队要想识别和隔离恶意行为,要花很长时间。即使在短时间内,DevSecOps团队发现了一些严重的漏洞,也无法在安全配置文件中及时处理安全漏洞!

其五,使用微服务时,规则设置要正确

当DevOps团队在容器中使用微服务时,会面临更大挑战,分得越细,意味着你就越有可能出现错误的规则设置。

即使是最熟悉的规则和集群,也会因疏忽产生大量漏洞。例如,如果允许开发人员使用特定的IP通过SSH远程连接到生产环境时,就可能会在不知情的情况下,允许敏感区域接入无限制公网访问。有时,这些错误的规则配置会被忽略长达数月之久。为了避免错误规则支持,使用Amazon Inspector的Agentless进行监控,或则采用其他网络评估工具,进行定期审计,非常必要。

本文转自:https://www.linuxprobe.com/cloud-security-knowledge.html

原文地址:https://www.cnblogs.com/it-artical/p/11794738.html

时间: 2024-11-05 15:00:03

云安全应对常识的相关文章

安全狗服云“云安全 新运维” 大科普

服云是什么? 服云实际上是服务器安全运维云平台的简称,它是由安全狗精心打造,并于2014年推出的一款基于云计算SaaS(软件即服务)模式的云服务平台,简单来说,服云就是将用户的服务器安全管理搬上云端,从而可以使用户获得多层次的安全防护能力,多批量的服务器管理能力以及多端的访问控制能力,随时随地轻松掌控服务器与网站的安全. 服云能做什么? 一.服务器实时状态不了解? 安全狗首创服务器安全PM2.5概念,通过一系列智能算法,对服务器安全状态进行实时多角度.多象限评估.主要包含以下五个方面: 1.服务

iOS开发——数据持久化OC篇&(七)CoreData高级常识

CoreData高级常识 关于CoreData貌似实际开发中很少用到,基本上是个有九个公司不会使用它,因为都说是性能不好,但是作为一个程序员,了解及其使用时必须了, 下面是我从一位大神那里搬过来的一下Core详细介绍,相信以后总有一天会帮我解决不少学习CoreData中的问题! 一.技术概览 1. Core Data 功能初窥 对于处理诸如对象生命周期管理.对象图管理等日常任务,Core Data框架提供了广泛且自动化的解决方案.它有以下特性. (注:对象图-Object graph的解释:在面

比特币勒索病毒肆虐,腾讯云安全专家给你支招

5月12日晚, WannaCry 蠕虫病毒在全球大肆爆发.据BBC.CNN等媒体报道,恶意攻击者利用 NSA(美国国家安全局)泄露的 Windows 0day 利用工具对99个国家实施了超过75000次攻击. 什么是比特币勒索蠕虫病毒? 这次攻击的始作俑者是一款名为"WannaCry"(中文名:想哭)的勒索病毒,带有加密功能,它利用 Windows 在 445 端口的安全漏洞潜入电脑并对多种文件类型加密并添加后缀(.onion)使用户无法打开,用户电脑存在文档被加密的情况,攻击者称需支

我眼中软件工程里的常识

来源:https://segmentfault.com/a/1190000006636138 作者:https://segmentfault.com/u/leftstick 背景 说起工程人员/团队应该具备的"常识",真正促使我认真思考这个问题,还是因为知乎的一篇贴跟没有常识的人聊天是一种怎样的体验?,里面笑料百出,各种由于"常识"不足导致的尴尬癌真真是忍俊不禁.但笑过之后我发现,所谓的"没常识",可能由多种原因导致,这点在知乎里多位答主都提到过

安全狗·服云用户已达数十万 打造最大的云安全

在网络安全问题逐渐由隐患转向爆发的今天,网络安全技术的发展也在逐渐加快步伐.尤其是随着众多新兴技术的出现和发展,更是为网络安全技术的发展提供了不竭的动力,云安全就是其中之一. 对于传统的安全解决方案来说,还存在着大量的单点防御问题.在去年五月,全球知名安全公司FireEye发布了一份名为<网络安全的最后防线:深度防御的实境评估>的研究报告.报告中,FireEye分析了全球1217家遭受安全攻击的企业,这些企业广泛部署了诸如防火墙.IPS.沙箱或防病毒产品,但仍有97%的企业仍被黑客成功入侵.

程序员需要掌握的最终技术是什么? “终极技术”:应对困境的方法和信念

http://www.nowamagic.net/librarys/veda/detail/2288如果将软件(开发)的复杂性比喻为一头大象,那么我们每一个人或许是正在摸象的又瞎又聋的人,我们穷一生通过“摸”的方式,在头脑中构建“象”的模样.这个比喻间接地告诉我们,“终极技术”并非是某种一成不变的内容,其中更涵盖有每个人根据自己的阅历所总结出来的在高质高效工作道路上成功应对困境的方法和信念. 最近,我在微博上看到邹欣老师发的一条微博: “不少大学同学都有一个想法:先做几年技术,然后做管理:也有一

病毒基本常识

病毒常识(一) 怎样推断计算机感染了病毒: 计算机感染病毒后会有一些明显特征,假设您发现一些异常情况,比方: ? 屏幕上显示一些奇怪的信息和图片 ? 光驱托盘莫名其妙的弹出 ? 程序自己主动打开 ? 在未经您授权的情况下,有程序试图訪问互联网 假设出现这样的情况,您的计算机上非常有可能是感染了病毒. 电子邮件类病毒感染后,也会有一些明显的特征: ? 朋友或熟人告诉您收到了您从来没有发送过的电子邮件. ? 您的收件箱内收到了大量没有发送地址和主题的邮件. 但须要注意的是,有些异常情况并不都是由病毒

混合云安全

混合云定义 美国国家标准与技术研究所(NIST)将混合云定义为至少一种私有云和至少一个公有云的合成物.混合云通常以一下两种方式之一来提供:私有云厂商和公有云提供商成为合作伙伴,或者公有云提供商同私有云厂商结盟. 混合云融合了公有云和私有云,是近年来云计算的主要模式和发展方向.我们已经知道私有云主要是面向企业用户,出于安全考虑,企业更愿意将数据存放在私有云中,但是同时又希望可以获得公有云的计算资源,在这种情况下混合云被越来越多的采用,它将公有云和私有云进行混合和匹配,以获得最佳的效果,这种个性化的

如何应对千亿元互联网金融漏洞

首届中国互联网安全领袖峰会(CSS)于2015年11月3日-11月4日在国家会议中心正式召开,与会嘉宾包括政府部门领导,知名传统企业.互联网企业.安全企业的CEO和CTO,顶尖安全技术专家.黑客,权威科研院所与机构的负责人,规模逾3000人. 安全狗作为国内知名的互联网安全厂商以及大会支持单位出席了本次峰会,4日上午CEO陈奋在大会互联网金融分会场发表了题为<基于云端构建互联网金融安全体系>的主题演讲. 在演讲过程中,陈奋针对当前互联网金融所遭遇到的安全问题进行了深度的归纳总结,从统计数据.实