公共云中 82%的数据库未加密,云安全岌岌可危?
随着企业忽视加密和网络安全性,个人信息和其他敏感数据将暴露无遗。
云资源的平均寿命为127分钟。但传统的安全策略无法跟上这种变化的速度,并且公有云中82%的数据库未加密。这些发现来自RedLock云安全智能(CSI)团队的“云基础设施安全趋势”报告,该报告重点关注公共云环境中的主要漏洞。
该团队分析了超过一百万个云资源,处理了12 PB的网络流量,并挖掘了公共云基础架构中的缺陷。他们发现有480万条记录被泄露,其中包括受保护的健康信息(PHI)和个人身份信息(PII),因为没有对数据进行加密存储和访问控制。
问题不在于云提供商未能保护数据中心,而在于组织机构未能保护使用云基础架构的应用程序、内容、系统、网络和用户。
研究人员发现,在公共云中未经加密的82%的数据库中,有31%接受了来自互联网的入站连接请求。公共云中超过一半(51%)的网络流量仍在默认Web端口(端口80)上,用于接收未加密的流量。Badhwar说,几乎所有(93%)的公共云资源都没有出站防火墙规则。
对网络,配置和用户层进行控制,使得攻击者很难进入,难以窃取数据,但网络控制会导致麻烦。比如:就像在说“我要打开大门和前门,希望我不会被抢劫。”
开发人员和在云中运行操作的团队需要安全访问,而研究人员却发现通常没有安全访问。
企业正在从本地环境迁移到云,在此环境中,所有内容都经过了安全审查和签核过程,然后再推向生产环境,云资源的平均寿命为2小时27分钟,是一个非常小的窗口。
在这段时间内,客户不知道如何正确获得安全性,因为开发人员正在推送代码。现有的安全工具都无法以变化的速度工作。客户无法了解推进生产的变更。
他称当前的云环境为“面向开发的世界”,其中编写代码的人有责任将其推向生产环境。问题是,那些在云环境中进行更改的人员没有经过培训的安全专业人员。
他们缺乏专业知识会带来其他的安全风险,尤其是对于像集装箱这样的新技术而言。RedLock研究人员发现,在不受密码保护的Google Cloud,Microsoft Azure和AWS上部署了285个Kubernetes仪表板(基于Web的管理界面)。在很多情况下,Kubernetes系统都拥有其他关键系统的纯文本凭据,此漏洞使关键基础架构暴露无遗。
该报告中的安全建议包括对开发人员进行有关公共云基础结构安全实践的培训,确保将服务设置为根据需要接受互联网流量,并设置默认的“拒绝所有”出站防火墙策略。在公共云中创建数据库和存储资源时自动发现它们,并监视网络流量以确保这些资源不与Internet服务直接交互。
