開發範本漏洞多致雲端配置頻繁出錯

武漢肺炎疫情蔓延,不少機構都加速開發及採用雲運算以便員工可以在家工作。惟網絡保安企業 Palo Alto Networks 一份研究報告指出,雲端基礎架構開發期間的漏洞可造成重大安全風險。 

Unit 42 雲端威脅 2020 年春季報告調查了雲端配置頻繁出錯的原因。報告發現,隨着機構逐漸以自動化執行更多雲端基礎架構的構建程序,機構採用並建立新的「架構即程式碼 (Infrastructure as Code,IaC)」範本。若缺乏妥善的安全工具和程序輔助,這些基礎架構的構建模板將出現大量漏洞。 

主要發現包括: 

  • 開發者使用了逾 199,000 個不安全的範本:在整個調查中,Unit 42 的研究人員發現中度至高度的漏洞。Unit 42 早前的研究發現,65% 的雲端事故是由簡單的錯誤配置引起。這些新的研究數據說明了雲端的錯誤配置為何如此普遍。
  • 43% 的雲端數據庫未有加密:加密數據不僅可以防止攻擊者讀取儲存的資料,更是美國健康保險便利和責任法案(Health Insurance Portability and Accountability Act)等標準守則的要求。
  • 60% 的雲端儲存服務沒有進行日誌記錄:當嘗試判斷雲端事故的損毀程度時,儲存記錄能起至關重要的作用。
  • 網絡犯罪組織正使用雲端進行加密劫持:可能與中國有關的黑客組織,包括 Rocke、8220 Mining Group 和 Pacha 都在竊取雲端資源。這些組織正在透過公共或自己的礦池開採門羅幣(Monero)。

儘管機構因 IaC 以有系統的方式執行安全標準而受惠,但是次研究顯示這些好處尚未被充分利用。Palo Alto Networks 的公共雲首席安全主管 Matthew Chiodi 指出:「只要有一個錯誤配置即可危害整個雲端環境。我們找到了 199,000 個。但好消息是,IaC 可以為安全團隊帶來許多好處,例如將網絡安全儘早納入軟件開發過程,並將其嵌入雲端基礎架構的主要構建模板。」