文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

基础设施即代码模板是许多云计算基础设施弱点的根源

2024-12-24 19:40

关注

[[315896]]

在云计算时代,需要快速扩展或部署基础设施以满足不断变化的组织需求,新服务器和节点的配置是完全自动化的。这是使用机器可读的定义文件或模板完成的,这是基础设施即代码(IaC)或连续配置自动化(CCA)的过程的一部分。

Palo Alto Networks公司的研究人员对从GitHub存储库和其他地方收集的基础设施即代码(IaC)模板进行了一项新的分析,确定了近20万个包含不安全配置选项的此类文件。使用这些模板可能会导致严重的漏洞,从而使基础设施即代码(IaC)部署的云计算基础设施及其保存的数据面临风险。

研究人员说:“就像人们忘记锁车或打开窗户一样,网络攻击者可以使用这些错误的配置来避开防御措施。如此高的数字解释了在以往的调查报告中发现65%的云计算安全事件是由于客户配置错误引起的。从一开始就没有安全的基础设施即代码(IaC)模板,云计算环境就容易受到攻击。”

广泛的IaC问题

基础设施即代码(IaC)的框架和技术有多种,最常见的基于Palo Alto公司的收集工作是Kubernetes YAML(39%)、HashiCorp的Terraform(37%)和AWS CloudFormation(24%)。其中,42%的已识别CloudFormation模板、22%的Terraform模板和9%的Kubernetes YAML配置文件存在漏洞。

Palo Alto Networks公司的分析表明,使用AWS CloudFormation模板的基础设施部署中有一半的配置是不安全的。调查报告进一步按受到影响的AWS公司的云计算服务的类型进行了分类:Amazon弹性计算云(Amazon EC2)、Amazon关系数据库服务(RDS)、Amazon简单存储服务(Amazon S3)或Amazon弹性容器服务(Amazon ECS)。

例如,模板中定义的S3存储桶的10%以上是公开的。过去,安全性不高的S3存储桶是许多调查报告中的数据泄露的根源。

缺少数据库加密和日志记录对于保护数据和调查潜在的未经授权的访问非常重要,这也是CloudFormation模板中常见的问题。其中一半不启用S3日志记录,另一半不启用S3服务器端加密。

亚马逊公司的Redshift数据仓库服务也观察到了类似情况。11%的配置文件生成了公开的Redshift实例,43%的用户未启用加密,45%的用户未打开日志记录。

支持多种云计算提供商和技术的Terraform模板并没有表现得更好。默认情况下,大约有66%的Terraform配置的S3存储桶未启用日志记录,26%的AWS EC2实例已将SSH(端口22)对外公开,并且有17%的模板定义的AWS安全组默认允许所有入站流量。

Terraform模板中发现的其他常见错误配置包括:

Kubernetes YAML文件中不安全配置的发生率最小,但确实如此。在发现的不安全的YAML文件中,有26%的Kubernetes配置以root用户或特权帐户运行。

Palo Alto Networks公司研究人员说:“以容器为根目标的配置为网络攻击者提供了拥有该容器几乎所有方面的机会。这也使执行攻击容器的过程更加容易,从而使主机系统面临其他潜在威胁。安全和DevOps团队应确保容器不使用root用户或特权帐户运行。”

IaC配置错误反映在实际部署中

基础设施即代码(IaC)模板配置错误的类型及其普遍性(缺少数据库加密和日志记录或公开暴露的服务)与Palo Alto Networks公司在过去的调查报告中涵盖并在实际的云计算基础设施部署中检测到的问题类型一致:

这表明在自动化基础设施部署过程中使用基础设施即代码(IaC)模板而不首先检查它们是否存在不安全的配置或其他漏洞,这是导致在观察到云计算弱点的一个重要因素。

网络犯罪组织经常将云计算基础设施作为攻击目标,以部署利用受害者所支付的处理能力的加密恶意软件。但是,一些组织中也正在冒险进行加密以外的活动,并将被黑客入侵的云计算节点用于其他恶意目的。

Palo Alto Networks公司的研究人员说,“很明显,网络攻击者正在使用由较弱或不安全的基础设施即代码(IaC)配置模板实现的默认配置错误,将会绕过防火墙、安全组或VPC策略,并不必要地将组织的云计算环境暴露给网络攻击者。左移安全性是将安全性移至开发过程中的最早点。在云计算部署中始终如一地实施左移实践和过程的组织可以迅速超越竞争对手。与DevOps团队合作,将其安全标准嵌入基础设施即代码(IaC)模板中。这对DevOps和安全来说是双赢的措施。”

 

来源:企业网D1Net内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯