6個常見的雲安全錯誤及避免的方法

雲端運算為各種規模的IT服務提供更大的靈活性與可靠性，同時更能降低成本。然而對於許多企業來說，雲端安全性一直都是許多決策者最頭痛的問題。

根據2022年一項針對大型企業安全專業人員的調查，81％的受訪者表示過去一年中曾出現雲端安全事件，此外超過一半的受訪者表示，他們認為雲端安全風險比本地IT的安全問題更高（Townsend，2022）。

近年來，許多公司忽略雲端安全遭受嚴重的財務、法律和聲譽損失的警示案例，時有所聞。即使是最基本的錯誤也可能導致毀滅性的雲端數據泄漏。

例如2017年10月，網路安全風險管理公司UpGuard發現，咨詢和管理公司Accenture至少有四個在Amazon Web Services的雲端存儲桶未受保護，任何人都可以下載（UpGuard，2017）。內容包括密碼、API訪問密鑰和軟件配置設置，然後泄漏到暗網上，並使用戶被勒索。

許多雲端數據泄漏和攻擊都可以追溯到一些最常見的雲端安全錯誤。本文將討論六個最大的雲端安全錯誤，從配置錯誤到不良安全實踐，以及如何解決每個錯誤。

1.設定錯誤

在建立、供應和管理雲端資源時，可能會發生設定錯誤，對雲端安全造成嚴重後果。根據美國國家安全局（NSA）的報告，雲端設定錯誤是“最普遍的雲端漏洞”（National Security Agency, 2020），可能導致帳戶被盜用或是遭受阻斷服務攻擊等問題。

雲端環境可能包含數百或數千個軟體應用程式、硬體設備和其他 IT 資產。由於攻擊面龐大，使用者很容易在storage bucket、security group或防火牆等資產上設定錯誤，攻擊者可以利用這個漏洞進入或擴散到整個環境。

解決方案：

企業必須建立適當的變更管理和監控流程，以防止設定錯誤成為雲端安全威脅，包括定期檢視和更新存取控制、修改安全設定，以及測試和審核安全設定的正確性。

2.過度授權的雲端資源

雲端資源也可能存在過多權限的問題，例如使用預設的安全設定而沒有針對特定的雲端環境進行調整或了解後果。在雲端中運行的容器可能會收到主機權限，使他可以去存取原本應該受限制的其他機器上的資源。

解決方案：

您可以遵循最小授權原則(least privilege)的網路安全原則來避免雲端資源過度授權的問題（Gegick＆Barnum，2013）。在這個原則中，使用者和角色只被授予其工作所需的存取權限。如果攻擊者入侵了使用者帳戶或竊取了其憑證，遵循least privilege可以限制他們造成的損害。

3.權限管理不足

另一個造成雲端安全威脅的主要原因是權限管理不足。例如密碼可能太弱、易於猜測或被多個使用者共享。即使是更先進的數位憑證方法，例如權杖和密碼，如果未經授權的人員獲得存取權也可能會失敗。

解決方案：

組織應該實施強大的密碼政策以防止權限管理問題，密碼必須獨特且難以猜測。最佳方法是將憑證存儲在安全的密碼管理器中，並用強大的存取控制來保護密鑰和安全權杖。在可能的情況下使用多重要素驗證 (MFA)，這需要使用者通過其他媒介 (例如文本、電子郵件或移動應用程式) 驗證其他登錄嘗試。

4.不安全的 API

API (應用程式介面) 對於雲端運算非常有用，使不同的雲端系統和資源能夠交換資訊。然而如果 API 沒有正確保護，它就可能成為一個攻擊點，駭客可以利用API 中的漏洞來獲得未經授權的資料。

解決方案：

保護 API 需要實施適當的身份驗證和授權控制。API 的最佳做法包括使用 HTTPS 和安全協定，例如 OAuth 和 OpenID Connect。監控 API 的不正常活動也有助於檢測基於 API 的雲端安全攻擊。

5.糟糕的安全實踐

除了上述提到的問題，企業可能會陷入幾種糟糕的雲安全實踐中。例如系統管理員可能會忽略軟體更新或必要的安全設定。此外使用者可能會在雲端存儲中意外洩露數據，或者以違反HIPAA和GDPR等法規的方式處理敏感和個人數據。

解決方案：

企業應該制定並實施全面的雲安全計劃，以加強其雲安全實務，確保所有使用者遵守該計劃。文檔內容可能包括教育和培訓計劃，安全評估以及應對和減輕安全事件的策略。

6.未能理解共同責任劃分

在雲計算中，共享責任模型定義了雲服務提供商（CSP）和客戶保障雲環境的責任。CSP通常負責保障雲基礎架構，處理網路安全問題。同時客戶負責保障雲環境，包括配置操作系統和應用程式以及存取控制。

未能理解共享責任模型可能導致雲安全問題。例如，如果客戶認為CSP負責存取控制，可能會導致疏忽和權限不當。為解決這個問題，企業應該了解他們在該模型下的責任並解決由於缺乏理解而出現的漏洞。

您如何透過 C|CSE 課程掌握雲端安全概念？

透過 C|CSE 這個首屈一指的認證，您可以精通雲端安全實施和管理，這個認證既具有廠商中立性，也具有廠商特定性。EC-Council 的「認證雲端安全工程師」(C|CSE) 是一個實務導向的學習認證，提供實際操作工具、安全實務和技術的學習，並教導您如何配置 AWS、Azure 和 GCP 等熱門雲端供應商的環境，足以應對企業在確保雲端安全方面所面臨的挑戰。

詳細介紹👉 EC-Council CCSE雲端資安工程師認證課程

講師課程介紹影片👉

文章出處：https://www.eccouncil.org/cybersecurity-exchange/cloud-security/common-cloud-security-mistakes/

References

Gegick, M., & Barnum, S. (2013, May 10). Least Privilege. CISA. https://www.cisa.gov/uscert/bsi/articles/knowledge/principles/least-privilege

NSA. (2020, January 22). Mitigating Cloud Vulnerabilities. https://media.defense.gov/2020/Jan/22/2002237484/-1/-1/0/CSI-MITIGATING-CLOUD-VULNERABILITIES_20200121.PDF

Townsend, K. (2022, September 29). More Than Half of Security Pros Say Risks Higher in Cloud Than On Premise. SecurityWeek.com. https://www.securityweek.com/more-half-security-pros-say-risks-higher-cloud-premise

UpGuard. (2017, October 10). System Shock: How A Cloud Leak Exposed Accenture’s Business. https://www.upguard.com/breaches/cloud-leak-accenture

About the Author

David Tidmarsh is a programmer and writer. He has worked as a software developer at MIT, holds a BA in history from Yale, and is currently a graduate student in computer science at UT Austin.