linux保护云安全中错误配置的后果以及示例是什么?

那么，云系统配置错误的问题有多严重呢?Gartner曾经做过估计：到2022年，至少95%的云安全故障都是由客户造成的，原因是错误配置和管理不善。

Gartner称：“挑战不在于云本身的安全性，而在于安全方面的政策和技术，以及对技术的控制。在几乎所有情况下，是用户而不是云提供商未能管理好用于保护企业数据的控件，首席信息官的问题不应该是‘云是否安全?’，而是‘我是否安全地在使用云?’”

有很多因素导致并加剧了配置错误的问题。

误解和假设。人们常常认为是由云服务供应商负责云环境的安全，不完全是这样。亚马逊、微软和谷歌等基础设施即服务(IaaS)提供商负责其物理数据中心和运行虚拟机的服务器硬件的安全。客户则负责保护其虚拟机和应用程序的安全。云供应商提供了安全服务和工具来保证客户工作负载的安全，而实际是由客户的管理员去实施必要的防护措施。如果客户不能保护他们自己的网络、用户和应用程序，云供应商提供再多的安全防御措施也是徒劳。 常识与现实的脱节。2019年9月，McAfee公司对11个国家1000家企业进行的调查发现，在IaaS环境中发生了很多泄露事件，这些事件不同于人们熟悉的“恶意软件渗透”方法。在大多数情况下，这类泄露事件“是对云环境配置错误所留下的数据进行的机会性攻击。” 在调查的同时，McAfee还检查了数百万云用户和数十亿事件中客户匿名的、汇总的事件数据。数据显示，使用IaaS环境的企业意识到了有错误配置，但更多的是那些没有引起他们注意的错误配置，这之间存在着巨大差距。调查对象表示，他们平均每月能发现37起错误配置事件，但McAfee的客户数据显示，这些企业每月实际发生大约3500起错误配置事件，每年同比增长54%。换句话说，根据McAfee的数据，企业IaaS环境中99%的错误配置都没有被发现。

有很多工具能够发现并利用配置错误的云服务。据赛门铁克2019年的《互联网威胁报告》，2018年，AWS S3存储桶成为很多企业的致命弱点，7000多万条记录因配置不当而被盗或者泄露。潜在的攻击者可以利用大量的工具，发现互联网上配置错误的云资源。除非企业采取措施来适当地保护他们的云资源，比如按照亚马逊的建议来保护S3存储桶，否则他们将很容易受到攻击。 越来越复杂的企业IT环境。McAfee指出，企业越来越多地采用多云环境，再加上对企业所有正在使用的云服务缺乏全面的认识，这加剧了配置错误的问题。在最近的研究中，76%的企业报告称采用了多云环境，但一项对客户数据的检查发现，实际上这些环境中有92%是多云的，每年同比增长18%。 虽然多云环境具有优势，但在监管、管理和控制方面非常复杂。McAfee的产品营销总监Dan Flaherty评论说：“负责IaaS平台数据安全的安全从业人员一直非常忙碌，他们没有一种自动化的方法来监视并自动纠正所有云服务中的错误配置。” 此外，在不断增长的IaaS市场上，激烈的竞争促使亚马逊、微软和谷歌都在各自的产品中添加了新功能。云安全联盟全球研究副总裁John Yeoh指出：“仅AWS今年就增加了大约1800项功能，而其推出的第一年只有大约28项功能。”因此，对于安全从业人员来说，跟上新特性和功能的快速发展是很大的挑战，而这反过来又会导致错误的配置。Yeoh说：“在复杂的多云环境中，所使用的每一个平台或者服务都应该有相应的专家，以确保采取了适当的安全措施。”

CloudKnox安全公司首席执行官Balaji Parimi指出，此外，云技术最近不断进步，例如，无服务器应用程序和架构、K8s容器化的工作负载和服务，以及越来越多地使用连接各种云服务的应用程序编程接口(API)，等等，如果不采取预防措施，也没有持续监视和调整访问权限，那么，错误配置的可能性会非常高。他补充道，“人们还只是刚刚开始了解这些新的云技术和趋势非常危险的一面。他们往往根据静态角色和有关访问权限的假设，将数十年前的安全方法应用于这些新技术。”

Yeoh指出，关键是：越来越复杂的IT环境使得在整个环境中很难实现简单的安全控制措施，而这些措施有助于发现并防止错误配置问题。

以下介绍的是企业应采用的7种云安全控制举措。