sptdream 2017-05-29
近日,一家云计算基础设施安全公司RedLock发布了“云基础设施安全趋势”报告,研究报告揭示了公有云安全的情况,发现82%的托管数据库未加密,另外还有许多其他问题。报告也指出尤以亚马逊AWS的云计算安全问题最为突出。
报告显示,“公有云计算环境(如亚马逊关系数据库服务和Amazon RedShift)中82%的数据库未加密,令人震惊。”
除了敏感数据被暴露之外,它还确定了其他几个问题,包括网络控制薄弱,治理不善,开发人员导致的安全风险和严格的合规并发症。
关于易受攻击的数据库,RedLock选择MongoDB实例作为安全从业者担心的原因。这些开源数据库是今年初勒索劫持攻击的主要目标。
报告说:“更糟糕的是,这些未加密数据库中有31%接受来自互联网的入站连接请求,而这是非常糟糕的安全措施。最值得注意的是,MongoDB实例看到重要的入站流量,27017端口是入站连接的前五大端口之一。
而且,再次提到了AWS产品的例子。报告说:“同样,RedLock的CSI研究人员还发现,40%的企业使用云存储服务,如亚马逊单一存储服务(Amazon S3),无意中对外暴露了一项或多项此类服务。2017年3月份,由于配置错误,史考特证券至少有20000份包含敏感数据的客户记录被曝光。”
报告主要亮点包括:
诸如PII[个人识别信息]和PHI[受保护的健康信息]之类的敏感数据被泄露,因为基本的数据安全性最佳做法如加密和访问控制未被执行。
网络安全被忽略,允许不受限制地访问敏感应用程序。
用户访问控制不足导致用户之间的安全情况较差。
由于缺乏安全专业知识,开发人员无意中引入了风险,特别是在容器等新技术方面。
在不断变化的环境中,实现持续合规是困难的。
RedLock表示,其研究团队已经确定了480万个具有敏感数据泄露记录,包括PII和PHI。
RedLock上个月发布了一项名为“公共共享的Amazon RDS和EBS快照暴露机密信息”的警报,AWS云上的情况相当不堪。但RedLock也强调,AWS的问题并不是由云平台本身引起的,而是由于云用户的配置实践不佳所致。
该警报特别提到,RedLock发现了属于财富50强企业的大约30万个客户电子邮件和加密密码,以及属于医疗保健供应链管理供应商的大约50万个客户和员工记录,客户包括大多数主要医疗服务提供商。
RedLock在一篇博客文章中进一步讨论了这次安全警报,并表示:“任何具有有效AWS凭证的用户都可以轻松查找和访问已被公开共享的未加密数据卷,随后访问存储在其中的所有信息,建议客户立即评估其基础架构的此漏洞,并采取适当的措施修复配置错误。”
同时,RedLock为使用公有云的企业如何提升安全意识提供了许多技巧,其中包括:
在公有云计算环境中自动发现数据库和存储资源。
实施连续配置监控,以确保为这些资源启用加密,并禁用公共访问。
监控网络流量,以确保这些资源不直接与互联网上的服务进行通信。
使用HSTS监控并将未加密的Web流量从端口80重定向到端口443。
确保服务被配置为根据需要接受来自互联网的流量。
实施“拒绝所有”默认出站防火墙策略。
RedLock CTO Gaurav Kumar表示,“公有云计算环境活力十足,我们的研究表明云资源的平均使用寿命只有127分钟,传统的安全策略无法匹配。我们的报告分析了超过100万个云资源和12 PB的网络流量,结果是企业需要有助于轻松,快速和自动化地管理安全性和合规风险的解决方案。”