除非你一直生活在众所周知的岩石下,否则你可能会意识到 第一资本违约 2019年,该公司泄露了存储在亚马逊网络服务(AWS)云中超过1亿份信用申请的机密信息. 而肇事者(一名前AWS员工)很快被逮捕并起诉, 这不是一起简单的内部威胁案件.
这里有一个更深层次的问题—— 配置错误的软件 在云端. 在这种情况下, 它是一个配置错误的Web应用防火墙(WAF),允许恶意的内部人员执行破坏.
而对第一资本的黑客攻击确实需要一些专业知识来执行, 在最近的一段时间里,有很多是幼稚的简单, 只需要同一个云提供商的一个活动帐户. 一个很好的例子是 揭露了道琼斯的高风险个人名单. 这个数据, 在AWS S3桶上, 任何“经过身份验证的用户”都可以通过一个容易猜到的URL访问吗. 与典型的本地数据库不同, 亚马逊将“认证用户”定义为“拥有亚马逊AWS账户的任何用户”.“这个数字已经超过了100万,而且在免费开户后还在迅速增长. 因此,很明显,这是一个等待被利用的软件配置错误.
这只是不断增长的列表中的一个例子. 在一个名副其实的 土拨鼠日 同一个问题一遍又一遍地重复的场景, 由于配置错误,云中的数据不断暴露. 有趣的是, 即使是那些本应更了解这一点的组织也经常成为同样缺点的受害者, 事实证明 2017年6月的Verizon事件 该公司在一个配置错误的AWS S3存储桶上暴露了600万客户记录. 讽刺的是,这是同一家出版权威的公司 资料外泄调查报告(DBIR). 如果你认为只有逐利的公司有罪,那么 美国国防部 你有什么要说的吗.
虽然其中一些事件可以追溯到用户错误, 我相信还有一个文化问题在起作用:“不是我的问题”的心态. 有些人错误地认为,一旦数据在云中, 其安全性的责任在于云服务提供商(CSP)。. 然而,正如csp很快指出的那样,情况并非如此.
例如AWS, 清晰的状态 其负责“云的安全性”(包括底层基础设施),而客户负责“云中的安全性”(即.g.、配置管理、数据安全和用户管理). 谷歌云 和 微软Azure 是否有类似的语言. 正如csp所坚持的那样,这是一种“共享安全”模式,用户必须承担自己的责任. 从技术配置的角度来看, 像我的组织NCC Group自己的开源工具 童子军套件 是否专门设计用于识别云环境中的配置差距和漏洞.
远离技术控制, 云计算服务提供商(csp)确实负责托管云的基础设施的物理和环境安全. 然而, 这并不意味着在操作环境中对物理安全性的需求消失了. 我有位客户的首席执行官对我说,我逐字逐句地引用他的话, “Everything is 在云端; why do I need physical security?”
这是我的回答: “Let’s consider a hypothetical scenario: you’re logged into your AWS admin account on your laptop 和 step away for a cup of coffee; I walk in 和 walk away with your laptop. 这对你来说是个安全问题吗?” 大家可以想象, 这类似于在家里安装了最先进的警报系统,然后把钥匙留在锁里. 事实上,我在一个 早期的博客 关于云时代物理安全的重要性的帖子.
而 云技术真正实现了技术的民主化 通过允许较小的组织访问以前只有拥有数百万美元IT预算的澳门赌场官方下载才能使用的资源, 用户并没有免除他们在如何保护这些资源方面的责任. 如你所见, 作为云服务的消费者, 云中的安全不是别人的问题, 但主要是你自己的问题.
编者按: 有关ISACA的相关资源,请下载我们的 Azure审计程序 和 了解新消息 云审计与知识证书(CCAK),由ISACA和云安全联盟颁发的证书.
