常见Cloud 漏洞和安全风险解析

Cloud 漏洞是安全盲点或入口点，可被恶意行为者利用。

在传统环境中，漏洞通常出现在外围层面（如防火墙），而云漏洞则可能来自多个方面，如错误配置、访问控制、未定义的责任分担模式、影子 IT 等。

云环境本质上与多个用户、合作伙伴、应用程序和供应商相互关联。

如此广泛的攻击面意味着云资产面临着来自账户劫持、恶意内部人员、账户劫持、身份和凭证管理不善以及不安全 API 的威胁。

威胁和漏洞的一个明显区别在于它们的紧迫性。

如果说漏洞代表的是一个处于待开发状态的弱点，那么威胁则是一个通常发生在当下、需要紧急干预的恶意或负面事件。

其次，该漏洞是组织首次受到云安全威胁的原因。

例如，云配置错误就是一个漏洞，可能导致访问控制薄弱，最终引发网络攻击威胁。

简而言之，漏洞就是弱点，威胁就是可能利用这一弱点的潜在行动或事件。如果云是一扇上了锁的门，那么漏洞就是一把有弱点的锁，而威胁就是有人强行打开这扇门。

云基础设施的核心是建立在不同层次和组件上的，每一层都可能存在漏洞。

错误配置是不正确或过度放任设置的直接后果，会降低系统的安全性。它们可能发生在基于云的容器（如配置错误的 S3 存储桶）、防火墙或未打补丁的虚拟机中。

错误配置的例子包括本应是私人的公共读写权限、过时或未打补丁的权限，甚至缺乏加密设置。

人为失误、知识匮乏或自动化脚本编写不当都可能导致配置错误，从而导致数据丢失或泄漏、在受到攻击时名誉受损以及无法遵守监管标准。

2019 年，CapitalOne 公司就是这种情况，当时，由于网络应用程序防火墙配置不当，未经授权就访问了一个 S3 存储桶，其中包含 1 亿多客户的敏感数据（包括社会安全号码）。CapitalOne 不得不为此支付 8000 万美元的罚款。

顾名思义，云环境是快速移动、分散的，而且往往不受安全团队的完全控制，因此在一定程度上缺乏可见性。

出现这种情况的原因可能是提供商只提供基本的可视性工具，更深入的监控需要额外费用；也可能是企业内部的团队捉襟见肘，不具备真正监控基础设施所需的适当云计算技能。

组织倾向于追求速度而非安全性也是一个原因。

然而，当可视性被视为一种成本而非价值驱动因素时，对手就会渗透到云基础设施中，并在更长的时间内不被察觉。

云网络内有如此之多的工具、仪表盘和日志，很难将它们关联起来，并对正在发生的事情获得可操作的洞察力。

访问管理定义了哪个用户或应用程序可以访问云资产。

它涉及管理数字身份和控制对云服务、应用程序和数据的访问。

需要设置一些界限和限制，以确保敏感信息不会落入授权者手中。仅在美国，就有7700 多万人受到账户被接管的影响，在这种情况下，一些做法就变得至关重要：

• 实施 MFA（多因素身份验证）
• 执行最小权限访问原则（仅在任务需要时才授予访问权限）
• 使用基于角色的访问控制，根据工作职能管理访问权限

否则，企业将面临数据泄露、不遵守法规和运营中断的风险。

攻击者可以通过被劫持的账户侵入系统，利用不完善的访问策略，他们可以移动到更高级别的资源或系统；目的是获得对系统的更多控制权，并可能造成重大损失。

在云基础设施内部，API 可以让不同的系统、服务或应用程序与云环境进行交互。

这意味着 API 可以控制对数据、基础设施和功能的访问。

不安全的API 可能意味着它不需要有效的用户或令牌来访问它，它授予的访问权限超出了需要，或者它记录了敏感数据。

如果应用程序接口配置不当或暴露，攻击者即使没有完整的凭证也能访问数据（用户信息、财务、医疗记录）。

2021 年，Peloton 的API 出现漏洞，允许任何人访问用户账户数据，甚至是私人配置文件。Pen Test Partners 发现，该漏洞允许未经验证的请求通过，暴露了年龄、性别、位置、体重、锻炼统计和生日等详细信息。

访问如此复杂的数据库可能会进一步升级为 "dxxing"、身份盗用或社交工程攻击。

影子 IT 是指在 IT 或安全部门不知情、未批准或未控制的情况下，在组织内部使用软件、硬件或其他 IT 系统。

或出于方便，或出于恶意，员工可能会寻求官方提供之外的其他工具，从而给组织带来重大的网络安全风险。

影子 IT 在实践中可能是这样的

• 员工将敏感工程文件上传到个人云存储。
• 有人使用未经授权的远程访问工具（如 AnyDesk）来排除工业系统故障或访问关键基础设施中的 SCADA 环境。
• 通过未经审核的平台（如 WhatsApp）而非企业标准进行视频通话。

在关键基础设施或高度安全的环境中，影子 IT 可能会造成危险的盲点--为数据泄漏、恶意软件引入或不遵守法规开辟道路。

由于相关用户或系统的可信性质，恶意、疏忽或受损的内部人员可能更难被发现。

这些人带来的潜在危害可能导致数据泄露、服务中断、违反法规和经济损失。

零日漏洞是一种以前未知的安全漏洞，在被发现时还没有可用的修复方法，在供应商意识到之前就可以被利用。

在云环境中，这包括云平台 API、容器协调系统、SaaS 应用程序或云托管工作负载中的漏洞。

云的动态、互联和多租户特性使得缺陷可以迅速扩散并影响许多资源，而用户却缺乏对基础设施的必要可见性来进行快速检测。

此外，给云系统打补丁需要时间，这就增加了零日的风险窗口。

根据这份报告，从 2023 年开始，防止云配置错误成为一半以上公司的首要关注点，这显示了其可能造成的后果的严重性。

云漏洞最严重的后果之一就是敏感数据的暴露或丢失。

企业通常依靠云存储解决方案来保存客户记录、专有信息或运营数据。

因此，漏洞可能意味着个人身份、财务信息、知识产权甚至商业机密被盗。

除直接影响外，此类事件还可能导致长期声誉受损和客户信任崩溃。

受影响的个人可能会放弃服务，合作伙伴可能会重新考虑业务关系。

即使漏洞很快得到控制，调查、补救、客户通知和潜在诉讼的成本也可能高达数百万美元，这还不包括生产力损失和品牌受损的机会成本。

大多数行业都受严格的合规框架（如 GDPR、HIPAA、PCI DSS 或 CCPA）管辖，这些框架决定了数据必须如何存储、访问和保护。

如果漏洞导致未经授权的访问或对敏感数据的控制不力，公司就有可能被发现违反这些法律。监管机构可能会处以巨额罚款、提起法律诉讼或实施运营限制。

例如，在欧盟等司法管辖区，GDPR 规定的处罚额度最高可达全球年收入的 4%，即使是单一事件也会成为高风险事件。

Cloud 漏洞已经存在了足够长的时间，以至于企业可以开发出一整套旨在降低漏洞风险的方法。

Cloud 基础设施是高度动态的，因为会定期部署新服务并添加集成。

这些变化都有可能导致配置错误或漏洞暴露，因此漏洞评估是一项持续性任务。

即使企业发现了漏洞并开始打补丁，一些系统也可能无法正常运行更新的版本。

在这种情况下，为了保持业务的连续性，必须保留某些薄弱环节，因此必须进行管理。

安全团队需要一种结构化的方法来记录这些例外情况，评估相关风险，并采用适当的控制策略，如将漏洞与网络隔离。

CSPM 包括对基础设施进行扫描，以发现配置错误、政策违规和过于放任的访问控制。

CSPM 的重点不是软件缺陷，而是解决可能导致数据暴露或合规失败的架构和配置风险（配置错误的 S3 存储桶、未加密的存储或 IAM 传输）。

CSPM 提供对云环境的实时可视性，根据合规性框架（如 CIS、PCI 或 GDPR）进行自动检查，并对错误配置发出警报。

CNAPP 平台将云安全态势管理Cloud 工作负载保护平台 (CWPP) 和漏洞管理结合到一个框架中，从而统一了多层保护，增强了Cloud 安全。

它们能深入洞察整个应用生命周期，从基础架构配置到工作负载行为和运行时威胁。

通过将基于主机的检测、行为监控和漏洞扫描直接嵌入虚拟机、容器和无服务器环境，CNAPP 可以与其他安全工具集成。

在内部部署环境中，漏洞最有可能出现在外围层面，即组织内部安全网络与外部（通常是不受信任的）网络之间的边界。

企业内部的安全漏洞可能意味着软件过时、服务器配置错误、硬件故障甚至物理安全漏洞。

然而，在云环境中，防火墙和网络不再构成稳定的边界，因为身份成为第一道也是最关键的安全边界。

即使基本的安全原则仍然适用，云技术也会带来新的动态变化，特别是在责任、可见性和资产的不稳定性方面。

Cloud 环境主要面临动态、API威胁，而内部部署环境的危险则在于公认的风险，如未经授权的物理访问、内部攻击或外围漏洞。

主要差异包括：配置错误是造成漏洞的主要原因之一，短时资源（容器、无服务器功能）的存在往往会躲避传统扫描工具，基于身份的攻击越来越频繁，也越来越受到攻击者的青睐。

此外，云中的安全责任也会发生转移，这主要是由于前面讨论过的责任分担模式。

在这一框架中，组织负责确保数据、应用程序、配置和身份的安全，包括与文件处理有关的所有逻辑：

• 对上传的文件进行验证和消毒。
• 在对象或桶级别配置访问权限。
• 对传输中和静态数据进行加密。
• 在云存储交互中实施监控和威胁检测。

最后，为了跟上云的发展速度和复杂性，安全领导者必须了解威胁的语言和不断变化的性质。

在 DevOps、安全和领导团队中共享词汇是协调防御的基础，所有团队成员都应围绕关键行业术语（如："DevOps"、"安全 "和 "领导"）进行协调：