五個(gè)常見的云計(jì)算配置誤區(qū)及解決方案_第1頁(yè)
五個(gè)常見的云計(jì)算配置誤區(qū)及解決方案_第2頁(yè)
五個(gè)常見的云計(jì)算配置誤區(qū)及解決方案_第3頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

-3-五個(gè)常見的云計(jì)算配置誤區(qū)及解決方案在存儲(chǔ)桶方面,很多云計(jì)算用戶認(rèn)為“經(jīng)過(guò)身份驗(yàn)證的用戶”僅涵蓋那些在其組織或相關(guān)應(yīng)用程序中已通過(guò)身份驗(yàn)證的用戶。不幸的是,狀況并非如此?!敖?jīng)過(guò)身份驗(yàn)證的用戶”是指具有AWS身份驗(yàn)證的任何人,實(shí)際上是任何AWS客戶。由于這種誤會(huì)以及由此導(dǎo)致的控件設(shè)置錯(cuò)誤配置,存儲(chǔ)對(duì)象最終可能完全暴露給公共訪問(wèn)。云計(jì)算如今已經(jīng)成為一個(gè)擁有眾多子行業(yè)的寬闊市場(chǎng),但是當(dāng)客戶沒(méi)有在云計(jì)算環(huán)境中正確配置和愛護(hù)自己的工作負(fù)載和存儲(chǔ)桶時(shí),就會(huì)產(chǎn)生巨大的平安隱患?,F(xiàn)在我為大家介紹一下云計(jì)算配置簡(jiǎn)單發(fā)生錯(cuò)誤的五個(gè)常見誤區(qū)及解決方案,盼望能對(duì)大家有所關(guān)心。

錯(cuò)誤一:存儲(chǔ)訪問(wèn)

在存儲(chǔ)桶方面,很多云計(jì)算用戶認(rèn)為"經(jīng)過(guò)身份驗(yàn)證的用戶'僅涵蓋那些在其組織或相關(guān)應(yīng)用程序中已通過(guò)身份驗(yàn)證的用戶。不幸的是,狀況并非如此。"經(jīng)過(guò)身份驗(yàn)證的用戶'是指具有AWS身份驗(yàn)證的任何人,實(shí)際上是任何AWS客戶。由于這種誤會(huì)以及由此導(dǎo)致的控件設(shè)置錯(cuò)誤配置,存儲(chǔ)對(duì)象最終可能完全暴露給公共訪問(wèn)。設(shè)置存儲(chǔ)對(duì)象訪問(wèn)權(quán)限時(shí),需要特殊當(dāng)心,以確保只有組織內(nèi)需要訪問(wèn)權(quán)限的人員才能訪問(wèn)它。

錯(cuò)誤二:"隱秘'管理

此配置錯(cuò)誤可能特殊損害組織。確保諸如密碼、API密鑰、管理憑據(jù)和加密密鑰之類的機(jī)密是至關(guān)重要的。人們已經(jīng)看到它們?cè)谂渲缅e(cuò)誤的云存儲(chǔ)桶、受感染的服務(wù)器、開放的GitHub存儲(chǔ)庫(kù)甚至HTML代碼中公開可用。這相當(dāng)于將家門的鑰匙放在門前。

解決方案是維護(hù)企業(yè)在云中使用的全部機(jī)密的清單,并定期檢查以查看每個(gè)機(jī)密如何得到愛護(hù)。否則,惡意行為者可以輕松訪問(wèn)企業(yè)的全部數(shù)據(jù)。更糟糕的是,他們可以掌握企業(yè)的云資源以造成無(wú)法彌補(bǔ)的損失。同樣重要的是使用隱秘管理系統(tǒng)。AWSSecretsManager、AWSParameterStore、AzureKeyVault和HashicorpVault等服務(wù)是健壯且可擴(kuò)展的隱秘管理工具的一些示例。

錯(cuò)誤三:禁用日志記錄和監(jiān)視

令人驚異的是,有多少組織沒(méi)有啟用、配置甚至檢查公共云供應(yīng)的日志和遙測(cè)數(shù)據(jù),在很多狀況下,這些數(shù)據(jù)可能特別簡(jiǎn)單。企業(yè)云團(tuán)隊(duì)中的某個(gè)人應(yīng)當(dāng)負(fù)責(zé)定期查看此數(shù)據(jù)并標(biāo)記與平安相關(guān)的大事。這個(gè)建議并不局限于基礎(chǔ)設(shè)施即服務(wù)的公共云。存儲(chǔ)即服務(wù)供應(yīng)商通常供應(yīng)類似的信息,這同樣需要定期審查。

錯(cuò)誤四:對(duì)主機(jī)、容器和虛擬機(jī)的訪問(wèn)權(quán)限過(guò)大

要留意的是,企業(yè)除了將數(shù)據(jù)中心中的物理或虛擬服務(wù)器直接連接到Internet,還需要使用過(guò)濾器或防火墻來(lái)愛護(hù)它。對(duì)此需要留意的有:

暴露在公共互聯(lián)網(wǎng)上的Kubernetes集群的ETCD(端口2379)

傳統(tǒng)端口和協(xié)議(例如在云主機(jī)上啟用的FTP)

已虛擬化并遷移到云中的物理服務(wù)器中的傳統(tǒng)端口和協(xié)議,如rsh、rexec和telnet。

確保愛護(hù)重要的端口并禁用(或至少鎖定)云中的舊的、擔(dān)心全的協(xié)議,就像在本地?cái)?shù)據(jù)中心中一樣。

錯(cuò)誤五:缺乏驗(yàn)證

最終的云計(jì)算錯(cuò)誤是一個(gè)元問(wèn)題:人們常常無(wú)法創(chuàng)建和實(shí)施系統(tǒng)來(lái)識(shí)別錯(cuò)誤配置。因此無(wú)論是內(nèi)部資源還是外部審核員,都必需負(fù)責(zé)定期驗(yàn)證服務(wù)和權(quán)限是否已正確配置和應(yīng)用。設(shè)置時(shí)間表以確保這種狀況像發(fā)條一樣發(fā)生,由于隨著環(huán)境的變化,錯(cuò)誤是不行避開的。企業(yè)還需要建立嚴(yán)格的流程來(lái)定期審核云配置。否則,可能會(huì)冒著平安漏洞的風(fēng)險(xiǎn),惡意行為者可以利用這些漏洞。

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論