如今的科技正在快速發展。IT基礎設施正在發生變化，網絡攻擊面也在不斷增加，企業的云計算環境當然也在發展和進步。然而，隨著企業創建新的云計算部署場景以加快業務運營，面臨的風險也會發生變化。雖然很多風險并不是新的風險，但它們被重新設計以滲透到現代架構中。

　　云部署面臨的威脅

　　本文將揭示現代云部署面臨的主要威脅，提供幫助企業保持行業領先地位并預防威脅的策略。

　　(1)橫向攻擊

　　復雜的網絡攻擊事件如今屢見不鮮。它涉及在云中未被發現的橫向移動能力。網絡攻擊者深入網絡以獲取敏感數據和高價值資產，成功地做到這一點需要了解許多技術。

　　通常在橫向攻擊中，網絡攻擊者首先獲得對密鑰的訪問權，并使用特定命令設置臨時憑證，然后他們獲得對帳戶的低權限訪問。他們也可能會嘗試采用暴力攻擊以獲取權限。然后他們執行查找事件以查看可以模擬的活動，然后橫向移動以在整個系統中移動時執行這些相同的命令，以升級其功能權限和角色。他們重復這一操作，直到具有足夠的權限來泄露數據庫和其他信息。

　　為了消除在這種網絡攻擊場景中被攻擊的可能性，重要的是限制角色和資產的權限，只允許員工采取必要的操作。這降低了網絡攻擊者能夠提升其權限的風險。此外，創建警報以顯示異常行為。雖然一個警報可能不會引起關注，但一系列類似的警報可以讓企業更快地采取行動，并可能使用自動化技術來阻止網絡攻擊的執行。

　　(2)注入攻擊

　　無論是在傳統的還是現代的微服務環境中，SQL注入、操作系統命令注入、代碼注入等網絡攻擊仍然是企業面臨的風險。容器和無服務器功能添加到環境中的復雜性加劇了阻止注入攻擊的挑戰。

　　網絡攻擊的方法保持不變：應用程序處理來自不受信任來源的輸入。然而，對于微服務，輸入是通過大量事件觸發的，這很難進行人工管理。這意味著人們不能僅僅依賴安全控制和單個應用層，而且要確保代碼安全且不易受到注入攻擊。

　　由于有大量易受攻擊的代碼可以公開使用，網絡攻擊者可以很容易地利用這些代碼對微服務環境進行攻擊。例如，通過訪問環境，網絡攻擊者可以使用注入操作功能代碼來執行網絡攻擊。為了抵消這種攻擊的可能性，代碼必須具有最低權限，以確保沒有人可以執行或訪問超出要求的權限。執行自動代碼掃描以識別企業使用的任何代碼存儲庫或庫中的漏洞也很重要。

　　(3)身份驗證受損

　　使用微服務，可以單獨運行數百個不同的功能，每個功能都有自己獨特的用途，并由不同的事件觸發。這些功能中的每一個都需要自己獨特的身份驗證協議，這就留下了出錯的空間。

　　網絡攻擊者會尋找諸如被遺忘的資源或冗余代碼，或打開存在已知安全漏洞的API，以獲得對環境的訪問權限。這將允許網絡攻擊者訪問包含敏感內容或功能的網站，而無需進行正確的身份驗證。

　　雖然服務提供商可以處理大部分密碼管理和恢復工作流程，但客戶需要確保資源本身得到正確配置。但是，如果功能不是從最終用戶請求觸發的，而是在應用程序流程中觸發時，事情會變得更加復雜，會繞過身份驗證模式。

　　為了解決這個問題，對應用程序(包括應用程序流)進行持續監控非常重要，這樣就可以識別應用程序觸發器。在這一基礎上，企業的安全團隊希望在資源未包含適當權限、具有冗余權限或觸發的行為異常或不符合要求時創建警報并對其進行分類。

　　(4)安全配置錯誤

　　在傳統應用程序中，安全配置錯誤可能發生在網絡、Web服務器、應用程序服務器、容器等。對于云平臺，存儲和數據庫默認是加密的。但是，為了增強安全性，客戶可以提供自己的加密密鑰或在多租戶架構中創建更多分離。

　　而了解一些細微差別很重要。未鏈接的觸發器、未受保護的文件和目錄將如何影響企業的安全狀況?一些示例可能包括網絡攻擊者試圖識別錯誤配置的區域，以便他們可以訪問并導致拒絕服務，或泄漏敏感數據。

　　為了解決這個問題，企業需要確保利用來自其云計算提供商的內置服務以及第三方服務來掃描其云帳戶以識別公共資源。企業安全團隊查看這些資源并驗證它們是否已實施訪問控制，并遵循最佳實踐指南。創建警報并設置持續監控云計算環境的方法，因此如果檢測到異常行為或發現配置錯誤，則可以快速解決。對于微服務，需要查找未鏈接觸發器和資源。確保將進行超時設置和設置并發所需的最小值，并始終遵循配置最佳實踐。

　　(5)第三方漏洞

　　這已經在之前的一些網絡攻擊和風險領域中提到過，但需要再次呼吁。隨著微服務執行的不斷增加，開發人員對云計算基礎設施有了更多的控制權，因此在安全方面承擔了更多的責任。

　　云計算是關于敏捷性和快速移動的。企業單擊按鈕即可啟動應用程序和功能，這通常意味著正在復制代碼和API。如果代碼存儲庫中內置了隱藏的漏洞、廣泛的權限或冗余，則可以輕松地將它們合并到云計算應用程序環境中。

　　然而，這并不像建立安全門或質量保證(QA)測試那么容易。這可能減慢開發速度并降低云計算的敏捷性，而這就是系統集成和自動化發揮關鍵作用的地方。安全團隊在持續集成(CI)/持續交付(CD)早期建立自動化安全措施很重要。他們必須確保在部署之前將最佳實踐標準和合規措施集成到資源中。

　　安全系統還應確保在啟動之前掃描代碼以查找漏洞。然后在運行時，對運行時環境進行連續掃描以快速識別漏洞。并在可能的情況下自動修復問題，這一點很重要。

　　結論

　　根據調研機構451Research公司的調查，如今90%的工作負載都在云中，并且云計算基礎設施的部署方式將會繼續改進和擴展。

　　企業的安全團隊必須了解威脅格局將如何隨著新興部署模型和不斷變化的攻擊面而進行的演變。對于他們來說，進一步與跨職能團隊集成以最好地優化安全工具和程序同樣重要。這將確保提高安全性不會阻止業務發展，并且業務發展不會危及安全。