八種常見的雲配置錯誤類型及緩解方案

雲配置錯誤（Cloud misconfiguration）指的是雲環境中可能會對有價值的資訊和資産構成風險的任何錯誤、故障或缺口。當組織沒有正确配置基于雲的系統時，就會發生這種情況，造成網絡暴露、安全漏洞、内部威脅或外部黑客攻擊。

這些雲配置錯誤會導緻組織未加密或敏感的資料暴露在公共網際網路上，造成大規模的資料洩露和當機情況，進而可能導緻組織或政府實體面臨無可挽回的聲譽和财務損失。

本文将探讨雲配置錯誤的影響、最常見的類型，以及可以采取的緩解措施，以最大限度地保護雲環境安全。

雲配置錯誤對系統安全的影響

雲環境中的錯誤配置可以使攻擊者未經授權地通路系統功能和敏感資料。例如，資料庫伺服器的錯誤配置可能使資料通過基本的web搜尋通路，這可能會導緻重大的資料洩露。雲配置錯誤甚至可能導緻系統安全的完全破壞和其他嚴重後果。雖然，特定配置錯誤的業務影響取決于錯誤配置的嚴重程度，但由此導緻的資料洩露可能會使組織損失數百萬美元。

常見的雲配置錯誤類型

1. 過于寬松的通路控制

當啟用了太多的雲通路權限時，就會出現雲環境過于寬松的情況。這可能包括：

· 在雲主機上啟用遺留協定；

· 暴露面向外部的端口；

· 在缺乏适當控制措施的情況下暴露敏感的API；

· 啟用私有和公共資源之間的通信模式；

在配置應用程式時，對通路控件的過多權限可能會為攻擊者提供在系統内部垂直或橫向移動的路徑，并增加暴露的攻擊面。

2. 存儲通路配置錯誤

雲錯誤配置的另一個例子是将存儲資産暴露給外部參與者。很多時候，組織會混淆“認證”使用者和“授權”使用者，進而錯誤地授予“認證”使用者通路權限。這些經過身份驗證的“認證”使用者可以是任何具有有效憑證的用戶端或使用者，因為他們通過AWS進行了身份驗證，但卻并未得到您的組織或應用程式“授權”。一個簡單的例子是允許所有AWS使用者（而不是應用程式的所有授權使用者）通路S3桶。

組織應該隻在組織内部授予對存儲桶的通路權限。由于這種雲配置錯誤的結果，網絡犯罪分子可能會通路存儲，并在積極掃描AWS S3存儲桶和公共GitHub存儲庫時找到關鍵資訊，如API密鑰、密碼和其他憑證。是以，組織在設定存儲配置時應該格外謹慎，以確定雲存儲不被破壞或暴露。安全團隊也應該預設為存儲桶中的關鍵資料啟用強加密，監視所有标記為公共的存儲節點，并消除不必要的權限。

3. 無限制的入站和出站端口

所有對網際網路開放的入站端口都存在潛在的安全風險。當遷移至多雲（multi-cloud）基礎設施時，安全團隊應該了解開放端口的全部範圍，并将它們限制在基本系統中，鎖定那些并非十分必要的系統。

當然，不僅入站端口會帶來安全問題，當系統受到威脅時，出站端口也會通過資料滲漏、橫向移動和内部網絡掃描産生漏洞。通過各種模式（如RDP或SSH）從公共網絡甚至從您的VPN之外的網絡授予對伺服器的通路權，是一種常見的雲錯誤配置，它會使您面臨資料洩露的風險。應用程式伺服器應該将出站流量限制為“隻對基本應用程式和伺服器有效”。使用最小特權原則，并限制通過SSH對出站端口的通路，因為應用程式伺服器很少需要通過SSH與網絡中的其他遠端伺服器通信。

4. 無限制地通路非HTTP/HTTPS端口

識别和檢查所有開放端口非常重要，因為系統操作依賴于這些潛在的、易受攻擊的開放端口。組織應該開啟那些絕對需要的端口，并屏蔽那些并不必要的端口。如果這些端口配置不當，攻擊者就很容易利用或強行使用身份驗證。如果這些端口需要對網際網路開放，請確定通信是加密的，并且流量隻限制在特定的位址。

5. 禁用或未配置監控和日志記錄

即使是完善的組織有時也會缺乏嚴格且強大的監控和日志記錄機制。對雲平台上的活動進行日志記錄和定期監控至關重要。

這些日志可以用于:

· 識别可疑行為和安全盲點；

· 注意到員工未經授權的行為；

· 定期報告；

· 确認任何其他錯誤或配置錯誤；

但是，隻有在為了采取适當的操作而持續監視日志時，日志才會發揮作用。是以，請確定您對每個可能導緻安全漏洞的活動都有足夠的日志記錄和監控。此外，基于這些日志實作自動化和有針對性的警報，以便在任何可疑活動導緻破壞之前識别和處理它。

6. 系統的預設憑據

許多開發團隊會為身份驗證建立預設憑據，以簡化開發過程。例如，許多團隊對于雲執行個體、資料庫和其他服務都有一些預設憑據。這些預設憑據通常很容易被猜出和/或被太多人知道。是以，這些憑據或配置絕對不應該在生産環境中使用。

組織應該根據開發環境擁有不同的配置檔案。實作一個防止預設憑據傳播到生産環境的過程是關鍵，審計每個版本以確定該過程正在有效運作也是關鍵。

7. 生産環境中的開發設定

另一個常見的配置錯誤是在生産環境中使用開發設定。在大多數情況下，适合于開發環境的設定和配置并不适合于生産環境，原因有很多。例如，允許從任何伺服器以任何速率傳入請求在開發中似乎并沒問題，但在生産環境中卻可能會導緻重大問題。這還包括應用程式中的隐藏代碼。例如，在控制台中列印敏感的調試資訊可能很容易被忽略，但在生産環境中卻會導緻嚴重的安全漏洞。是以，在部署到生産環境之前，組織需要仔細檢查這些代碼設定并正确設定它們。

8. 不遵循第三方元件的“安全”配置

在整個開發過程中，我們會使用各種第三方庫、元件和應用程式。雖然在為各種元件選擇供應商時，進行全面的分析是至關重要的，但確定遵循第三方規定的最佳實踐和配置也同樣重要。

大多數軟體供應商——無論是商業的還是開源的——都将規定最佳實踐或推薦的安全實施标準，這些配置通常都已在其端進行過安全測試。正确地實作這些最佳實踐不僅可以降低安全漏洞的風險，而且在漏洞确實發生的情況下也能增加這些供應商的責任。

結語

配置錯誤是雲環境中安全漏洞的最常見原因之一。即使您在開發過程中遵循了所有的最佳實踐，一個簡單的配置錯誤——如果忽略了——也可能危及整個系統的安全性。雖然采取必要的預防措施來防止這種情況發生是至關重要的，但建立一個100%安全的系統是非常困難的。盡管如此，通過識别并消除本文所述的雲安全漏洞，将有助于最大限度地降低安全風險。

與所有的網絡風險一樣，雲安全工作應該圍繞優先處理和減輕與您業務最相關的威脅，将您的資源用于最需要的地方，并開展團隊合作，以有效降低真正的網絡風險。

參考及來源：

https://cloudsecurityalliance.org/blog/2022/09/27/8-common-cloud-misconfiguration-types-and-how-to-avoid-them/