公共云中 82%的數據庫未加密,云安全岌岌可危?
隨著企業忽視加密和網絡安全性,個人信息和其他敏感數據將暴露無遺。
云資源的平均壽命為127分鐘。但傳統的安全策略無法跟上這種變化的速度,并且公有云中82%的數據庫未加密。這些發現來自RedLock云安全智能(CSI)團隊的“云基礎設施安全趨勢”報告,該報告重點關注公共云環境中的主要漏洞。
該團隊分析了超過一百萬個云資源,處理了12 PB的網絡流量,并挖掘了公共云基礎架構中的缺陷。他們發現有480萬條記錄被泄露,其中包括受保護的健康信息(PHI)和個人身份信息(PII),因為沒有對數據進行加密存儲和訪問控制。
問題不在于云提供商未能保護數據中心,而在于組織機構未能保護使用云基礎架構的應用程序、內容、系統、網絡和用戶。
研究人員發現,在公共云中未經加密的82%的數據庫中,有31%接受了來自互聯網的入站連接請求。公共云中超過一半(51%)的網絡流量仍在默認Web端口(端口80)上,用于接收未加密的流量。Badhwar說,幾乎所有(93%)的公共云資源都沒有出站防火墻規則。
對網絡,配置和用戶層進行控制,使得攻擊者很難進入,難以竊取數據,但網絡控制會導致麻煩。比如:就像在說“我要打開大門和前門,希望我不會被搶劫。”
開發人員和在云中運行操作的團隊需要安全訪問,而研究人員卻發現通常沒有安全訪問。
企業正在從本地環境遷移到云,在此環境中,所有內容都經過了安全審查和簽核過程,然后再推向生產環境,云資源的平均壽命為2小時27分鐘,是一個非常小的窗口。
在這段時間內,客戶不知道如何正確獲得安全性,因為開發人員正在推送代碼。現有的安全工具都無法以變化的速度工作。客戶無法了解推進生產的變更。
他稱當前的云環境為“面向開發的世界”,其中編寫代碼的人有責任將其推向生產環境。問題是,那些在云環境中進行更改的人員沒有經過培訓的安全專業人員。
他們缺乏專業知識會帶來其他的安全風險,尤其是對于像集裝箱這樣的新技術而言。RedLock研究人員發現,在不受密碼保護的Google Cloud,Microsoft Azure和AWS上部署了285個Kubernetes儀表板(基于Web的管理界面)。在很多情況下,Kubernetes系統都擁有其他關鍵系統的純文本憑據,此漏洞使關鍵基礎架構暴露無遺。
該報告中的安全建議包括對開發人員進行有關公共云基礎結構安全實踐的培訓,確保將服務設置為根據需要接受互聯網流量,并設置默認的“拒絕所有”出站防火墻策略。在公共云中創建數據庫和存儲資源時自動發現它們,并監視網絡流量以確保這些資源不與Internet服務直接交互。
