写回答
-
企业应控制好谁可以使用他们的云服务。例如,根据Redlock云安全情报(CSI)部门2018年5月的研究,超过一半(51%)的企业意外地暴露了至少一项云存储服务,例如,AWS S3存储驱动器。尽管亚马逊和其他云提供商都警告说,应避免任何有互联网连接的人访问存储驱动器内容。
一般而言,只有负载均衡器和防护主机能够直接出现在互联网上。很多管理员在公共子网中使用0.0.0.0/0,错误地启用了服务器的全局权限。连接完全放开了,每台计算机都能够进行连接。
另一个常见的错误是,允许从互联网直接进行安全Shell(SSH)连接,这意味着任何能找到服务器地址的人都可以绕过防火墙,直接访问数据。2019年,Palo Alto网络公司42威胁研究部在公有云中搜索暴露的服务。在发现的暴露主机和服务中,有32%提供了开放的SSH服务。报告指出:“尽管SSH是最安全的一种协议,但将这项强大的服务暴露给整个互联网还是太危险了。任何错误配置或者存在漏洞/泄漏的证书都可能导致主机被攻破。”
主要云供应商都会提供身份识别和访问控制工具,请使用它们,应知道谁在何时访问了哪些数据。在创建身份识别和访问控制策略时,把最高权限限制在最小范围内,只在需要时临时授予额外权限。尽可能把安全组配置为最窄安全权限,并在可能的情况下使用参考安全组ID。考虑使用CloudKnox之类的工具,这些工具支持企业根据用户活动数据设置访问控制权限。
2021-12-05 23:42:37赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
