2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
根據(jù)Oracle和畢馬威的一份新報(bào)告,每個(gè)人都很難保證云部署的安全。 《2020年威脅報(bào)告:應(yīng)對(duì)不斷變化的國(guó)家中的安全配置》發(fā)現(xiàn),92%的IT專業(yè)人員認(rèn)為他們的組織沒有做好確保公共云服務(wù)的充分準(zhǔn)備。
兩個(gè)最大的安全風(fēng)險(xiǎn)是擁有太多特權(quán)的管理帳戶和管理不善的云秘密,如密鑰、帳戶憑據(jù)和密碼。
報(bào)告還發(fā)現(xiàn):.
以下是對(duì)超特權(quán)帳戶的問題的回顧,以及關(guān)于如何在軟件開發(fā)中實(shí)現(xiàn)DevSec操作方法可以關(guān)閉云部署中的安全漏洞的建議。
今年的云威脅報(bào)告的一個(gè)關(guān)鍵線索是特權(quán)云憑據(jù)是壞演員的新切入點(diǎn)。 甲骨文/畢馬威的報(bào)告發(fā)現(xiàn),59%的受訪者認(rèn)為,擁有特權(quán)云賬戶的團(tuán)隊(duì)成員的證書因釣魚攻擊而受到損害。
SEE:谷歌云平臺(tái):內(nèi)部人士指南(免費(fèi)PDF)
報(bào)告建議執(zhí)行最小權(quán)限訪問策略,特別是在多云環(huán)境中。 這是不容易的,因?yàn)槌橄蟮沫h(huán)境具有“用戶、帳戶和云之間多對(duì)多關(guān)系的矩陣可以說使實(shí)現(xiàn)最小特權(quán)變得復(fù)雜,正如我們的研究結(jié)果所證明的那樣?!?/p>
同時(shí),調(diào)查發(fā)現(xiàn),過度特權(quán)賬戶是配置錯(cuò)誤最多的云服務(wù),37%的受訪者認(rèn)為這個(gè)問題是最大的問題。 這一清單還包括:
最常被引用的配置錯(cuò)誤的云服務(wù),即特權(quán)過高的帳戶,與未受保護(hù)的云秘密直接相關(guān),這是報(bào)告確定的另一個(gè)重大云威脅。
這些特權(quán)云憑據(jù)是攻擊者所需要的,因?yàn)橛泻芨弑壤慕M織報(bào)告了旨在竊取這些憑據(jù)的矛釣魚攻擊。 被盜的特權(quán)云憑據(jù)可以用來訪問額外的云密,從那里可以訪問許多其他服務(wù),包括數(shù)據(jù)存儲(chǔ),如數(shù)據(jù)庫(kù)和對(duì)象存儲(chǔ)。 答復(fù)者指出,在未受保護(hù)的地點(diǎn)發(fā)現(xiàn)了秘密,例如:
報(bào)告的作者指出,這個(gè)問題——將云的秘密存儲(chǔ)在沒有保護(hù)的地方的清晰文本中——是相互競(jìng)爭(zhēng)的目標(biāo)的副產(chǎn)品:開發(fā)團(tuán)隊(duì)行動(dòng)迅速,沒有考慮他們將秘密放在哪里。 實(shí)現(xiàn)最小權(quán)限策略和使用硬件存儲(chǔ)模型或密鑰庫(kù)可以解決這個(gè)問題。
報(bào)告指出,為了減少云部署中的安全威脅,安全必須成為一項(xiàng)業(yè)務(wù)需求和一項(xiàng)共同責(zé)任,而不是事后考慮。 采用DevOps方法進(jìn)行軟件開發(fā)是這一轉(zhuǎn)變的一部分。 該報(bào)告發(fā)現(xiàn),DevOps不再是一種僅由云計(jì)算公司使用的方法。 調(diào)查受訪者報(bào)告說,DevOps正在被廣泛采用,只有6%的受訪者表示他們沒有計(jì)劃使用這種方法。 Dev Ops正在成為主流,“近三分之一的受訪者已經(jīng)開始使用Dev Ops,近四分之一的人計(jì)劃在未來12-24個(gè)月內(nèi)這樣做,另三分之一的人有興趣這樣做?!?/p>
這一演變的下一個(gè)階段是將安全集成到日常的DevOps工作中。 公司不太贊同這一變化,因?yàn)槌^三分之一的受訪者表示,他們的組織已經(jīng)將安全納入了他們的DevOps流程。
報(bào)告作者認(rèn)為,許多公司都沒有機(jī)會(huì)從設(shè)計(jì)階段建立一種安全文化。
為了構(gòu)建一個(gè)安全的DevOps程序,通過與連續(xù)集成和連續(xù)交付(CI/CD)工具鏈的集成來實(shí)現(xiàn)網(wǎng)絡(luò)安全過程和控制的自動(dòng)化,組織必須將安全遺留到dev-time和構(gòu)建時(shí)間中。 這些工具和做法支持過渡:
46%的受訪者表示,使用DevSecOps方法的最重要原因是將安全性支持到連續(xù)傳遞工具鏈的每個(gè)階段。 協(xié)作和效率是下一個(gè)最重要的合規(guī)因素。
今年的報(bào)告是五個(gè)部分的系列報(bào)告中的第一份,后續(xù)報(bào)告提供了關(guān)于中心云安全主題的研究結(jié)果的見解,包括:
本報(bào)告提供的數(shù)據(jù)是通過企業(yè)戰(zhàn)略小組在2019年12月16日至2020年1月16日期間對(duì)北美(美國(guó)和加拿大)、西歐(英國(guó)和法國(guó))和亞太(澳大利亞、日本和新加坡)私營(yíng)和公共部門組織的750名網(wǎng)絡(luò)安全和信息技術(shù)專業(yè)人員進(jìn)行的在線調(diào)查收集的。 為了符合這項(xiàng)調(diào)查的資格,答復(fù)者必須負(fù)責(zé)評(píng)估、購(gòu)買和管理網(wǎng)絡(luò)安全技術(shù)產(chǎn)品和服務(wù),并對(duì)其組織的公共云利用有很高的熟悉程度。 所有答復(fù)者都得到了完成調(diào)查的動(dòng)力。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。