基础设施即代码模板是许多云计算基础设施弱点

一份新的查询报告标明,在云核算布置中,基础设施即代码(IaC)模板装备过错的份额很高,这使它们简略遭到进犯。

云核算44

在云核算年代,需求快速扩展或布置基础设施以满意不断改变的安排需求,新服务器和节点的装备是彻底自动化的。这是运用机器可读的界说文件或模板完结的,这是基础设施即代码(IaC)或接连装备自动化(CCA)的进程的一部分。

Palo Alto Networks公司的研究人员对从GitHub存储库和其他地方搜集的基础设施即代码(IaC)模板进行了一项新的剖析,确认了近20万个包含不安全装备选项的此类文件。运用这些模板可能会导致严峻的缝隙,从而使基础设施即代码(IaC)布置的云核算基础设施及其保存的数据面对危险。

研究人员说:“就像人们忘掉锁车或翻开窗户相同,网络进犯者能够运用这些过错的装备来避开防护办法。如此高的数字解说了在以往的查询报告中发现65%的云核算安全事情是因为客户装备过错引起的。从一开端就没有安全的基础设施即代码(IaC)模板,云核算环境就简略遭到进犯。”

广泛的IaC问题

基础设施即代码(IaC)的结构和技能有多种,最常见的根据Palo Alto公司的搜集作业是Kubernetes YAML(39%)、HashiCorp的Terraform(37%)和AWS CloudFormation(24%)。其间,42%的已辨认CloudFormation模板、22%的Terraform模板和9%的Kubernetes YAML装备文件存在缝隙。

Palo Alto Networks公司的剖析标明,运用AWS CloudFormation模板的基础设施布置中有一半的装备是不安全的。查询报告进一步按遭到影响的AWS公司的云核算服务的类型进行了分类:Amazon弹性核算云(Amazon EC2)、Amazon联系数据库服务(RDS)、Amazon简略存储服务(Amazon S3)或Amazon弹性容器服务(Amazon ECS)。

例如,模板中界说的S3存储桶的10%以上是揭露的。曩昔,安全性不高的S3存储桶是许多查询报告中的数据走漏的本源。

短少数据库加密和日志记载关于维护数据和查询潜在的未经授权的拜访非常重要,这也是CloudFormation模板中常见的问题。其间一半不启用S3日志记载,另一半不启用S3服务器端加密。

亚马逊公司的Redshift数据仓库服务也调查到了相似状况。11%的装备文件生成了揭露的Redshift实例,43%的用户未启用加密,45%的用户未翻开日志记载。

支撑多种云核算供给商和技能的Terraform模板并没有体现得更好。默许状况下,大约有66%的Terraform装备的S3存储桶未启用日志记载,26%的AWS EC2实例已将SSH(端口22)对外揭露,并且有17%的模板界说的AWS安全组默许答应一切入站流量。

Terraform模板中发现的其他常见过错装备包含:

AWS身份和拜访办理(IAM)暗码不符合职业最低规范(40%);

没有CPU或内存资源约束的容器(64%);

具有揭露的SSH的Azure网络安全组(NSG)(51%);

未启用日志记载的谷歌云渠道存储(58%);

未启用安全传输的Azure存储(97%)。

Kubernetes YAML文件中不安全装备的发生率最小,但的确如此。在发现的不安全的YAML文件中,有26%的Kubernetes装备以root用户或特权帐户运转。

Palo Alto Networks公司研究人员说:“以容器为根方针的装备为网络进犯者供给了具有该容器简直一切方面的时机。这也使履行进犯容器的进程愈加简略,从而使主机体系面对其他潜在要挟。安全和DevOps团队应保证容器不运用root用户或特权帐户运转。”

IaC装备过错反映在实践布置中

基础设施即代码(IaC)模板装备过错的类型及其普遍性(短少数据库加密和日志记载或揭露露出的服务)与Palo Alto Networks公司在曩昔的查询报告中包括并在实践的云核算基础设施布置中检测到的问题类型共同:

76%的安排答应公共拜访端口22(SSH);

69%的安排答应公共拜访端口3389(RDP);

64%的人员无法为其数据存储启用日志记载;

62%的用户未对数据存储启用加密;

47%的安排未将盯梢功用用于无服务器功用。

这标明在自动化基础设施布置进程中运用基础设施即代码(IaC)模板而不首要查看它们是否存在不安全的装备或其他缝隙,这是导致在调查到云核算缺点的一个重要因素。

网络违法安排经常将云核算基础设施作为进犯方针,以布置运用受害者所付出的处理才能的加密歹意软件。可是,一些安排中也正在冒险进行加密以外的活动,并将被黑客侵略的云核算节点用于其他歹意意图。

Palo Alto Networks公司的研究人员说,“很明显,网络进犯者正在运用由较弱或不安全的基础设施即代码(IaC)装备模板完成的默许装备过错,将会绕过防火墙、安全组或VPC战略,并不必要地将安排的云核算环境露出给网络进犯者。左移安全性是将安全性移至开发进程中的最早点。在云核算布置中始终如一地施行左移实践和进程的安排能够敏捷逾越竞争对手。与DevOps团队协作,将其安全规范嵌入基础设施即代码(IaC)模板中。这对DevOps和安全来说是双赢的办法。”

个人介绍

网址:

介绍:一份新的查询报告标明,在云核算布置中,基础设施即代码(IaC)模板装备过错的份额很高,这使它们简略遭到进犯。 在云核算年代,需求快速扩展或布置基础设施以满意不断改变的安排

合作联系

邮箱:

电话:

地址: