企业需要了解公共云中可能存在的安全漏洞

发布者:上海IT外包来源:http://www.lanmon.net点击数:1053

云平台无处不在,并且正在被越来越广泛地使用。事实上,研究公司IDG的2018年云计算研究表明,73%的公司已经在云中至少放置了多个应用程序或部分基础架构。随着谷歌公司开始与微软和亚马逊竞争,公共云领域的竞争尤其激烈。
企业需要了解公共云中可能存在的安全漏洞
数字化转型是这种爆炸性增长的主要催化剂。通常,当某些工作负载转移到公共提供者(通常是不太重要的开发和测试环境)时,云采用就开始了。过了一段时间,非关键应用程序可能会迁移,然后是存储(文件和数据库),然后是更大的部署。
公共云很有吸引力,因为托管应用程序组件的基础架构和协调进程的底层部分是完全托管的,而且大多是隐藏的,例如网络功能,Internet访问,安全性,存储,服务器和计算虚拟化。化工。通过简单的用户界面或API可以轻松配置所有内容。通过使用与Internet隔离的专用网络来实现安全性。
有关在公共云中托管的专用网络的信息并不安全。这是因为即使您无法访问Internet,专用网络仍可以通过DNS与其进行通信。在大多数情况下,无需特定配置即可将推送到公共云基础架构的工作负载授予完整DNS访问权限。因此,默认情况下,大多数公共云提供商可以使用DNS隧道,DNS文件系统和数据泄漏。这不是一个安全漏洞,而是一个专用的内置功能,旨在帮助您无需服务工作负载即可访问云计算服务器,从而简化数字转换。这将使任何企业能够处理所有可能的数据泄漏。四种最可能的情况如下:
将恶意代码插入后端以执行DNS解析以提取数据。通常,访问是通过组织外部的标准方法获得的,例如SQL注入,堆溢出,已知漏洞和不安全API。
恶意代码被插入到广泛使用的库中,因此它会影响所有用户(例如供应链攻击),无论其语言如何(例如Java,Python和Node.js)。
企业中有权访问主机的人员可以修改/安装/开发使用DNS执行恶意操作的应用程序(联系命令和控件,推送数据或获取恶意软件内容)。
开发人员插入不需要更改基础结构的特定代码,并使用DNS提取生产数据,事件或帐户信息。代码将继续集成并测试质量门的一部分并自动部署到生产中。
那么组织可以做些什么呢?——特别是当它在多个云服务上部署多层应用程序时?
首先,应该为存储在由公共云托管的专用网络上的任何业务信息部署专用DNS服务,即使它是临时的。专用DNS服务将允许组织过滤不应访问的可访问内容和内容。它还允许组织定期审核任何公共云环境中所需的云架构。这需要特定的识别云模型,这对大多数系统和网络架构师来说都是新的。大多数工作负载不需要完全访问全局Internet。但有时需要——例如,当企业的DevOps团队需要更新基础架构,安装包或依赖项时,因为它简化了部署阶段。企业可以通过设计具有预构建映像,专用网络和受控入站和出站通信的“不可变基础架构”来实现这一目标。他们还应该执行测试阶段,特别是因为云提供商的选项可能会在没有集成的情况下发生变化。
其次,云计算提供商已经提出了专用网络解决方案,用于部署内部资源和后端服务,如数据库,文件存储,特定计算和后台管理。这解决了数据保护(例如,GDPR规则),数据加密或仅仅是为了防止安全和监管问题,例如将应用程序的某些部分直接暴露于因特网。但是,最好在未连接到全局Internet的子网或网络上部署计算后端资源,这只能通过已知资源完成。然后可以强制执行过滤规则以限制访问并遵守安全策略。
最后,确保将灵活的DDI(DNS-DHCP-IPAM)解决方案集成到Cloud Composer中以简化配置。启用该服务后,DDI将自动推送配置中的相应记录。这不仅可以为组织节省大量时间,还可以实施有助于保护公共云部署的策略。将应用程序移动到公
IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部