根據(jù)Accurics的最新報告，伴隨托管基礎設施的云服務快速增長，“云水坑攻擊”呈現(xiàn)爆發(fā)式增長。

　　所謂水坑攻擊就是黑客利用平臺弱點，預先“蹲點埋伏”，向使用平臺服務（例如網(wǎng)站等公共網(wǎng)絡資源）的最終用戶分發(fā)惡意軟件，未經(jīng)授權訪問其生產環(huán)境、數(shù)據(jù)或完全破壞目標環(huán)境。

　　根據(jù)報告，在已經(jīng)發(fā)現(xiàn)的所有“云水坑攻擊”事件中，有23％針對配置不當?shù)耐泄芊债a品，所謂的配置不當，主要指使用默認安全配置或提供過多權限的錯誤配置。

　　研究人員指出，在云環(huán)境中，水坑攻擊可造成更大的破壞，因為托管的云中開發(fā)流程暴露于互聯(lián)網(wǎng)中，而不是像內部環(huán)境中的開發(fā)流程那樣被隱藏在組織內部。

　　當不法分子成功利用云端開發(fā)管道中的錯誤配置時，不僅會給公司造成災難，還會給客戶造成災難。為緩解此風險，企業(yè)應假定整個開發(fā)過程都易于被非法訪問，并遵循最小化權限原則，將訪問權限限制為僅向需要它的用戶開放。

　　開發(fā)上云已經(jīng)是不可逆轉的趨勢，越來越多的團隊正在加速采用托管服務，這肯定會提高生產力并提升開發(fā)速度。但不幸的是，這些團隊的安全意識和能力無法跟上相關的風險——例如使用默認的安全配置文件和過度授權。

　　報告指出：根據(jù)歷史經(jīng)驗，就像幾年前存儲桶業(yè)務所經(jīng)歷那樣，消息服務和FaaS也正進入網(wǎng)絡安全問題集中爆發(fā)的危險階段，這些服務的不安全配置將導致更多的違規(guī)行為。

　　研究表明，在所有環(huán)境中，威脅緩解的平均時間（MTTR）為25天，這給潛在的攻擊者留出了極為寬松的時間窗口。MTTR對于云安全來說特別重要，因為它與偏離（drift）有關，當運行時（runtime）的配置發(fā)生變更時，會導致云風險狀況偏離已建立的安全基準，而偏離安全基準的MTTR約為8天。

　　甚至隨著時間的流逝，那些在配置基礎設施時已經(jīng)建立安全基準的組織也會產生偏離，一個廣為人知的案例是亞馬遜AWS S3存儲桶。2015年AWS S3存儲桶被添加到云環(huán)境時的配置是正確的，但五個月后，為解決問題而進行的配置更改在工作完成后并未正確重置，直到近五年后，這種偏離才被發(fā)現(xiàn)并得到解決。

　　云基礎架構面臨的主要風險：

　　嘗試部署基于角色的訪問控制（RBAC）的Kubernetes用戶往往未能以適當?shù)牧６榷x角色。這增加了賬戶重用和濫用的機會。實際上，有35％的企業(yè)和機構在這方面表現(xiàn)糟糕。

　　在Helm圖表中，有48％的問題是由不安全的默認值引起的。最常見的錯誤是對默認名稱空間的不正確使用（在其中運行系統(tǒng)組件），這可能使攻擊者可以訪問系統(tǒng)組件或機密。

　　報告首次在生產環(huán)境中發(fā)現(xiàn)通過基礎結構即代碼（IaC）定義的身份和訪問管理，并且此報告中檢測到的IAM偏離中有超過三分之一（35％）源自IaC。這表明IAM即代碼（IAM as Code）正在快速流行，但可能導致角色配置錯誤的風險。

　　硬編碼的機密信息幾乎占違規(guī)行為的10％，其中23％是因為用戶錯誤配置了托管服務產品。

　　在接受調查的企業(yè)中，有10％實際上為從未啟用付費購買高級安全功能。

　　雖然修復基礎設施配置錯誤的平均時間約為25天，但基礎設施中最關鍵的部分通常需要花費最多的時間來修復。例如，負載平衡服務平均需要149天的時間才能修復。由于所有面向用戶的數(shù)據(jù)都需要流經(jīng)負載均衡服務，因此理想情況下，應該優(yōu)先以最快的速度修復此類資產。

　　總結

　　保護云基礎架構需要一種全新的方法，必須在開發(fā)生命周期的早期階段嵌入安全性，并始終保持安全狀態(tài)。企業(yè)需要持續(xù)監(jiān)控云基礎設施運行時段配置變更并評估風險。

　　在配置變更帶來風險時，必須根據(jù)安全基準重新部署云基礎架構，這樣可以確保意外或惡意進行的任何更改都會被自動覆蓋。