基础设备即代码模板是许多云计算基础设施弱点的根源
发布时间:2021-11-23 11:15:58 所属栏目:云计算 来源:互联网
导读:在云计算时代,需要快速扩展或部署基础设施以满足不断变化的组织需求,新服务器和节点的配置是完全自动化的。这是使用机器可读的定义文件或模板完成的,这是基础设施即代码(IaC)或连续配置自动化(CCA)的过程的一部分。 Palo Alto Networks公司的研究人员对
|
在云计算时代,需要快速扩展或部署基础设施以满足不断变化的组织需求,新服务器和节点的配置是完全自动化的。这是使用机器可读的定义文件或模板完成的,这是基础设施即代码(IaC)或连续配置自动化(CCA)的过程的一部分。 Palo Alto Networks公司的研究人员对从GitHub存储库和其他地方收集的基础设施即代码(IaC)模板进行了一项新的分析,确定了近20万个包含不安全配置选项的此类文件。使用这些模板可能会导致严重的漏洞,从而使基础设施即代码(IaC)部署的云计算基础设施及其保存的数据面临风险。 研究人员说:“就像人们忘记锁车或打开窗户一样,网络攻击者可以使用这些错误的配置来避开防御措施。如此高的数字解释了在以往的调查报告中发现65%的云计算安全事件是由于客户配置错误引起的。从一开始就没有安全的基础设施即代码(IaC)模板,云计算环境就容易受到攻击。” 广泛的IaC问题 基础设施即代码(IaC)的框架和技术有多种,最常见的基于Palo Alto公司的收集工作是Kubernetes YAML(39%)、HashiCorp的Terraform(37%)和AWS CloudFormation(24%)。其中,42%的已识别CloudFormation模板、22%的Terraform模板和9%的Kubernetes YAML配置文件存在漏洞。 Palo Alto Networks公司的分析表明,使用AWS CloudFormation模板的基础设施部署中有一半的配置是不安全的。调查报告进一步按受到影响的AWS公司的云计算服务的类型进行了分类:Amazon弹性计算云(Amazon EC2)、Amazon关系数据库服务(RDS)、Amazon简单存储服务(Amazon S3)或Amazon弹性容器服务(Amazon ECS)。 例如,模板中定义的S3存储桶的10%以上是公开的。过去,安全性不高的S3存储桶是许多调查报告中的数据泄露的根源。 缺少数据库加密和日志记录对于保护数据和调查潜在的未经授权的访问非常重要,这也是CloudFormation模板中常见的问题。其中一半不启用S3日志记录,另一半不启用S3服务器端加密。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号