根據(jù)Accurics的最新報(bào)告，伴隨托管基礎(chǔ)設(shè)施的云服務(wù)快速增長，“云水坑攻擊”呈現(xiàn)爆發(fā)式增長。

　　所謂水坑攻擊就是黑客利用平臺弱點(diǎn)，預(yù)先“蹲點(diǎn)埋伏”，向使用平臺服務(wù)（例如網(wǎng)站等公共網(wǎng)絡(luò)資源）的最終用戶分發(fā)惡意軟件，未經(jīng)授權(quán)訪問其生產(chǎn)環(huán)境、數(shù)據(jù)或完全破壞目標(biāo)環(huán)境。

　　根據(jù)報(bào)告，在已經(jīng)發(fā)現(xiàn)的所有“云水坑攻擊”事件中，有23％針對配置不當(dāng)?shù)耐泄芊?wù)產(chǎn)品，所謂的配置不當(dāng)，主要指使用默認(rèn)安全配置或提供過多權(quán)限的錯(cuò)誤配置。

　　研究人員指出，在云環(huán)境中，水坑攻擊可造成更大的破壞，因?yàn)橥泄艿脑浦虚_發(fā)流程暴露于互聯(lián)網(wǎng)中，而不是像內(nèi)部環(huán)境中的開發(fā)流程那樣被隱藏在組織內(nèi)部。

　　當(dāng)不法分子成功利用云端開發(fā)管道中的錯(cuò)誤配置時(shí)，不僅會給公司造成災(zāi)難，還會給客戶造成災(zāi)難。為緩解此風(fēng)險(xiǎn)，企業(yè)應(yīng)假定整個(gè)開發(fā)過程都易于被非法訪問，并遵循最小化權(quán)限原則，將訪問權(quán)限限制為僅向需要它的用戶開放。

　　開發(fā)上云已經(jīng)是不可逆轉(zhuǎn)的趨勢，越來越多的團(tuán)隊(duì)正在加速采用托管服務(wù)，這肯定會提高生產(chǎn)力并提升開發(fā)速度。但不幸的是，這些團(tuán)隊(duì)的安全意識和能力無法跟上相關(guān)的風(fēng)險(xiǎn)——例如使用默認(rèn)的安全配置文件和過度授權(quán)。

　　報(bào)告指出：根據(jù)歷史經(jīng)驗(yàn)，就像幾年前存儲桶業(yè)務(wù)所經(jīng)歷那樣，消息服務(wù)和FaaS也正進(jìn)入網(wǎng)絡(luò)安全問題集中爆發(fā)的危險(xiǎn)階段，這些服務(wù)的不安全配置將導(dǎo)致更多的違規(guī)行為。

　　研究表明，在所有環(huán)境中，威脅緩解的平均時(shí)間（MTTR）為25天，這給潛在的攻擊者留出了極為寬松的時(shí)間窗口。MTTR對于云安全來說特別重要，因?yàn)樗c偏離（drift）有關(guān)，當(dāng)運(yùn)行時(shí)（runtime）的配置發(fā)生變更時(shí)，會導(dǎo)致云風(fēng)險(xiǎn)狀況偏離已建立的安全基準(zhǔn)，而偏離安全基準(zhǔn)的MTTR約為8天。

　　甚至隨著時(shí)間的流逝，那些在配置基礎(chǔ)設(shè)施時(shí)已經(jīng)建立安全基準(zhǔn)的組織也會產(chǎn)生偏離，一個(gè)廣為人知的案例是亞馬遜AWS S3存儲桶。2015年AWS S3存儲桶被添加到云環(huán)境時(shí)的配置是正確的，但五個(gè)月后，為解決問題而進(jìn)行的配置更改在工作完成后并未正確重置，直到近五年后，這種偏離才被發(fā)現(xiàn)并得到解決。

　　云基礎(chǔ)架構(gòu)面臨的主要風(fēng)險(xiǎn)：

　　嘗試部署基于角色的訪問控制（RBAC）的Kubernetes用戶往往未能以適當(dāng)?shù)牧６榷x角色。這增加了賬戶重用和濫用的機(jī)會。實(shí)際上，有35％的企業(yè)和機(jī)構(gòu)在這方面表現(xiàn)糟糕。

　　在Helm圖表中，有48％的問題是由不安全的默認(rèn)值引起的。最常見的錯(cuò)誤是對默認(rèn)名稱空間的不正確使用（在其中運(yùn)行系統(tǒng)組件），這可能使攻擊者可以訪問系統(tǒng)組件或機(jī)密。

　　報(bào)告首次在生產(chǎn)環(huán)境中發(fā)現(xiàn)通過基礎(chǔ)結(jié)構(gòu)即代碼（IaC）定義的身份和訪問管理，并且此報(bào)告中檢測到的IAM偏離中有超過三分之一（35％）源自IaC。這表明IAM即代碼（IAM as Code）正在快速流行，但可能導(dǎo)致角色配置錯(cuò)誤的風(fēng)險(xiǎn)。

　　硬編碼的機(jī)密信息幾乎占違規(guī)行為的10％，其中23％是因?yàn)橛脩翦e(cuò)誤配置了托管服務(wù)產(chǎn)品。

　　在接受調(diào)查的企業(yè)中，有10％實(shí)際上為從未啟用付費(fèi)購買高級安全功能。

　　雖然修復(fù)基礎(chǔ)設(shè)施配置錯(cuò)誤的平均時(shí)間約為25天，但基礎(chǔ)設(shè)施中最關(guān)鍵的部分通常需要花費(fèi)最多的時(shí)間來修復(fù)。例如，負(fù)載平衡服務(wù)平均需要149天的時(shí)間才能修復(fù)。由于所有面向用戶的數(shù)據(jù)都需要流經(jīng)負(fù)載均衡服務(wù)，因此理想情況下，應(yīng)該優(yōu)先以最快的速度修復(fù)此類資產(chǎn)。

　　總結(jié)

　　保護(hù)云基礎(chǔ)架構(gòu)需要一種全新的方法，必須在開發(fā)生命周期的早期階段嵌入安全性，并始終保持安全狀態(tài)。企業(yè)需要持續(xù)監(jiān)控云基礎(chǔ)設(shè)施運(yùn)行時(shí)段配置變更并評估風(fēng)險(xiǎn)。

　　在配置變更帶來風(fēng)險(xiǎn)時(shí)，必須根據(jù)安全基準(zhǔn)重新部署云基礎(chǔ)架構(gòu)，這樣可以確保意外或惡意進(jìn)行的任何更改都會被自動覆蓋。