当前位置:主页 >企鹅电竞网页版网址

企鹅电竞网页版网址:基础架构即代码模板是许多云基础设施脆弱的根源。

发布时间:02月07日 阅读:676



原标题:根基架构即代码模板是许多云根基举措措施脆弱的根源

在云谋略期间,必要快速扩展或支配根基举措措施以满意赓续变更的组织需求,新办事器和节点的设置设置设备摆设摆设是完全自动化的。作为根基举措措施即代码(IaC)或继续设置设置设备摆设摆设自动化(CCA)等历程的一部分,这是用机械可读的定义文件或模板来完成的。

PaloAltoNetworks的钻研职员对从GitHub存储库和其他地方网络的IaC模板进行了一项新的阐发,发清楚明了近20万个包孕不安然设置设置设备摆设摆设选项的此类文件。应用这些模板可能会导致严重的破绽,从而使IaC支配的云根基举措措施及其保存的数据面临风险。

钻研职员说:“就像你忘怀锁上汽车或关好车窗,进击者可以使用这些差错的设置设置设备摆设摆设绕过防御系统。这个数字说清楚明了为什么在之前的一份申报中,我们发明65%的云变乱是因为用户的差错设置设置设备摆设摆设造成的。假如一开始就没有安然的IaC模板,云情况就已经企鹅电竞网页版网址具备了被进击的前提。”

广泛的IaC问题

有多种IaC框架和技巧,最常见的是KubernetesYAML(39%)、TerraformbyHashiCorp(37%)和AWSCloudFormation(24%)。此中,42%的CloudFormation模板、22%的Terraform模板和9%的KubernetesYAML设置设置设备摆设摆设文件存在破绽。

PaloAltoNetworks的阐发注解,应用AWSCloudFormation模板的根基举措措施支配中有一半的设置设置设备摆设摆设是不安然的。申报进一步按受影响的AWS办事的类型进行了分类:AmazonElasticComputeCloud(AmazonEC2)、AmazonRelationalDatabase(RDS)、AmazonSimpleStorageService(AmazonS3)或AmazonElasticContainerService(AmazonECS)。

例如,模板中定义的S3存储桶有10%以上是公开的。而安然性不高的S3存储桶是许多公开申报的数据泄露的根源。

缺少数据库加密和日志记录(对付保护数据和查询造访潜在的未经授权的造访异常紧张),这也是CloudFormation模板中常见的问题。此中一半不启用S3日志记录,另一半不启用S3办事器端加密。

亚马逊的Redshift数据仓库办事也呈现了类似的环境。11%的设置设置设备摆设摆设文件天生公开的Redshift实例,43%没有启用加密,45%没有打开日志记录。

支持多个云供给商和技巧的Terraform模板并没有体现得更好。大年夜约66%的Terraform设置设置设备摆设摆设的S3bucket没有启用日志记企鹅电竞网页版网址录,26%的AWSEC2实例将SSH(端口22)公开到因特网,17%的模板定义的AWSSecurityGroups默认容许所有入站流量。

在Terraform模板中发明的其他常见差错设置设置设备摆设摆设包括:

——AWS身份和造访治理(IAM)密码不相符行业最低标准(40%)

——没有CPU或内存资本限定的容器(64%)

——具有公开SSH的Azure收集安然组(NSG)(51%)

——未启用日志记企鹅电竞网页版网址录的谷歌云平台存储(58%)

——未启用安然传输的Azure存储(97%)。

KubernetesYAML文件的不安然设置设置设备摆设摆设起码,但都很关键。在发明的不安然的YAML文件中,有26%的Kubernetes设置设置设备摆设摆设以根用户或特权帐户运行。

PaloAltoNetworks的钻研职员说:“容许容器作为根目录的设企鹅电竞网页版网址置设置设备摆设摆设为进击者供给了一个时机,让他们险些拥有该容器的任何方面。这也使得履行容器转义进击的历程更轻易,从而使主机系统轻易受到其他潜在要挟。安然和DevOps团队应确保容器不应用根帐户或特权帐户运行。”

实际支配中反应的IaC差错设置设置设备摆设摆设

IaC模板差错设置设置设备摆设摆设的类型及其普遍性(缺少数据库加密和日志记录或公开的办事)与PaloAltoNetworks在以企鹅电竞网页版网址前的申报中发明并涵盖的实际云根基举措措施支配中的问题类型同等:

——76%的组织容许公共造访端口22(SSH)

——69%的组织容许公共造访3389端口(RDP)

——64%无法为其数据存储启用日志记录

——62%不启用数据存储的加密

——47%的组织不应用无办事器功能的跟踪功能

这注解,在自动化根基举措措施支配历程中应用IaC模板时,不首先反省它们是否存在不安然设置设置设备摆设摆设或其他破绽,是导致云易受进击的一个紧张身分。

收集犯罪集团平日以云根基举措措施为目标,支配加密挖矿恶意软件。有一些人还将被进击的云节点用于其他恶意目的。

“很显着,进击者正在应用由懦弱或不安然的IaC设置设置设备摆设摆设模板实现的默认设置设置设备摆设摆设差错,绕过防火墙、安然组或VPC策略,将云情况裸露给进击者。shift-left安然性是指将安然性移到开拓历程中可能的最早阶段。在云支配中持之以恒地实施shift-left实践和历程的组织可以迅速跨越竞争对手。与DevOps团队相助,将安然标准嵌入到IaC模板中。这是DevOps和安然的双赢。”

滥觞:搜狐



上一篇:雷竞技下载官方版:一棵小草的坚守新闻频道中国青年网
下一篇:电竞下载app送彩金:《环球时报》社评:向李文亮医生致以敬意