错误配置的云存储服务在93%的部署中很常见

据Accurics称,违反云的速度和规模可能会增加,并着重指出可以采取的缓解措施。

错误配置的云存储服务

“尽管采用诸如容器,无服务器和服务网格之类的云原生基础架构推动了创新,但错误配置正变得司空见惯,并给组织带来了严重的风险敞口,”他说。 Om Moolchandani,CTO, 精确度。 “随着云基础架构变得越来越可编程,我们认为,最有效的防御措施是将安全编码到开发管道中,并在基础架构的整个生命周期中实施它。开发人员社区对承担更多安全责任的接受程度令人鼓舞,并朝着正确的方向迈出了一步。”

错误配置的云存储:主要报告发现

错误配置的云存储服务在所分析的惊人的93%的云部署中很常见,并且大多数还具有至少一个网络暴露,安全组处于打开状态。这些问题的速度和规模都有可能增加,并且在过去两年中已经导致200多次违规。

一个新出现的问题领域是,尽管HashiCorp Vault和AWS Key Management Service(KMS)之类的工具广泛可用,但在分析的72%的部署中仍出现了硬编码的私钥。具体来说,在这些部署的一半中发现了存储在容器配置文件中的不受保护的凭据,这是一个问题,因为84%的组织使用容器。

再往上一层,有41%的组织具有与硬编码密钥相关的高特权,并被用来提供计算资源。任何涉及这些的违规行为都会暴露所有相关资源。硬编码的密钥导致了许多云破坏。

错误配置的路由规则导致的网络风险给所有组织带来了最大的风险。在100%的部署中,更改的路由规则将包含敏感资源(例如数据库)的专用子网暴露给Internet。

风险的自动检测与手动解决方案相结合会造成警报疲劳,仅解决了6%的问题。一种称为“补救作为代码”的新兴实践可以自动生成解决问题的代码,该组织使组织能够应对80%的风险。

编码安全

还需要自动威胁建模来确定是否增加了特权(如特权)之类的更改,并且路由更改是否在攻击中引入了违规路径。 云部署。随着组织将基础架构作为代码(IaC)来定义和管理云原生基础架构,将安全性整合到开发管道中成为可能,并且可以在部署云基础架构之前大大减少攻击面。

新报告提出了在将IaC设置为基准以维持云基础架构配置后保持风险态势的理由。持续评估新的云资源和相对于基准的配置更改将面临新的风险。如果更改是合法的,请更新IaC以反映该更改;如果不是,请从基准重新部署云。

分享这个