关于云服务器安全性的最大误解

 

 

去年夏天，美国第一资本投资集团 Capital One (美国第 5 大银行)成为大规模数据泄露的受害者，该数据泄露涉及超过 1 亿张信用卡申请和 14 万个社会安全号码。缘由是：一名攻击者发起服务端伪造请求或 SSRF，诱使服务器链接到本不该该链接的服务器。这是一种新的网络安全漏洞，它起源于云计算。

　　事实上，SSRF 已成为使用公共云服务器的企业所面临的最严重的漏洞之一。SSRF 攻击的潜在危害因为提供公共云服务器而变得更加严重。然而，在此次事件中，尽管遭到破坏的服务器和数据位于 AWS 的基础设施上，但 Capital One 对此事件负有所有责任。和全部其余云服务器同样，当用户使用云服务器时，服务商只负责保护基础架构，而用户则负责保护其数据和应用程序。

　　目前，关于云服务器最大的误解是，使用云服务器，意味着保护你的数据和应用程序不受威胁。根据国际知名调查机构 EMA 最近一项调查发现，有 53%的人认为云服务器供应商应对大多数或全部公共云服务器的安全负责。

　　1、 过度随意的权限控制和操做是云服务器安全性的最大漏洞

　　问题不在于云服务器自己。如今，大多数安全专家都认为，云基础架构至少与最佳企业数据中心同样安全。相反，问题出在过于随意的人为处理方式。

　　基本上，云服务器与本地部署的服务器没多少不一样。可是不少企业从未完善地控制使用云服务器的权限。

　　许多企业都将云服务器做为一种便捷的方式，来知足其开发人员和最终用户对快速调配和对他们的应用程序的更好控制的需求。云提供商使那些仅具备中等技术技能的人能够轻松地安装应用程序和上传数据。

　　可是易用性也会形成虚假的安全感。云服务器使管理方式变得更加友好的同时，也可能使你经过一键式操做形成严重灾难。目前的现状是，不少企业在不具有确保安全使用的能力以前就已经开始启用云服务器，他们的安全运营团队甚至不老是参与其中。缺少安全性程序或简单的粗枝大叶，甚至蒙蔽会使那些最精通网络的企业。

　　这些数据泄露事件都不是大型云提供商的错，它们都提供了世界一流的安全控制。可是，每一个公司对产品的定义都有些不一样，许多服务须要额外付费。控件也不必定易于理解。两年前，因为对嵌套和重叠权限的混淆，无数客户无心中使机密数据公开暴露，从而使 Amazon 全面改革了其 S3 云存储服务的安全控制。

　　诸如此类的事件凸显了企业在使用云服务器时须要更好地了解其职责并开发保护用户免受自身伤害的程序的需求。有关调查机构预计，在将来六年中，云安全故障的 99%将是人为错误形成的，90%没法控制公共云服务器规范使用的企业将不恰当地共享敏感数据。

 

　　2、内部安全风险与云服务配置错误

　　近年来，人们对云安全的认识发生了明显变化。总的来讲，云服务器比大多数企业自身的数据中心更加安全。云服务器供应商将资源投入网络安全建设中，这使其相比绝大多数企业自身维护网络安全来讲更加专业和安全，例如，云服务器供应商能够更好地应对 “零日” 漏洞或迄今未发现的潜在威胁，由于它们能够监控许多攻击点。

　　如今，云安全性的质量是如此之高，以致于很容易被认为供应商会处理全部事情。可是，正如 AWS 的 “共享责任模型” 所说明的那样，有明确的界线。云服务器相似一栋公寓楼。房东保护建筑物周边，但将单个公寓的安全性留给租户。云服务器供应商以相似的方式捍卫他们的云计算平台所在的基础设施，但将系统软件、应用程序和数据的控制权留给客户。

　　最多见的云服务器安全风险与公司内部部署服务器的风险相同。可是，云服务器能够采起密码保护措施。长期以来，弱密码一直是企业要解决的最顽固的问题之一，可是，当受保护的资产是云管理账户时，对企业的风险可能会更大。若是咱们能够进入云服务器的控制台，则能够不受限制地访问该账户上的全部服务器。多因素身份验证，是全部云提供商都提供的相对简单的补救措施，但默认状况下没有强加于人。

　　近年来，更大的问题是配置了错误的云服务，如 Capital One 漏洞根源。IBM 公司在 2019 年表示，因为配置错误而致使的云安全事件数量在 2018 年上升了 20%。McAfee 调查发现，用户每个月平均识别 37 次配置错误事件。可是研究人员还估计，大约有 99%的错误配置未被注意到。

　　3、怎样提升云服务器的安全性?

　　全部这些因素并不能构成反对使用公共云服务器的理由。云服务器提供商在增强服务方面已取得了长足的进步，其创新步伐将继续超过大多数客户。

　　“葵芳科技” 建议用户实施严格的访问控制，对访问权限进行微细分，始终对数据进行加密，并了解企业所控制的基础架构：任何使用公共云服务器的人员都应熟悉 “责任共担模型”，要强调云服务器的安全性是客户与其云提供商之间的共同责任。

　　若是客户没有专业的技术团队，建议不要轻易尝试多云和混合云环境。管理多云和混合云环境的复杂性提升了资产管理的门槛。您必须知道您拥有什么硬件、服务和应用程序，它们在哪里运行以及如何配置。

　　可是，即便是最细致的预防措施也没法知足粗心的用户的需求。尽管云计算巨头已经为保护其客户而采起了全部措施，但最大的威胁仍是在于用户错误或不谨慎的操做。