作者：juniu网络   来源:互联网    发布时间:2022-04-20

　　跟着多云及混合云趋势的发展，过往传统的云安全策略显然已不适应新的云环境。尽管，越来越多公司一直非常重视云安全问题，但其中越来越多风险点并没有得到实际解决。大多数公司依然在选用过往本地环境下的云安全措施，导致公司出现云安全策略不一致，运用风险和漏洞增加的状态!最严重的问题是，越来越多私有云布署环境下的安全问题，并不需要黑客高手侵进，而是缺乏安全常识!

　　越来越多安全问题都是防不胜防!即使在理想的环境下，还非常容易出现重大安全事故，更何况你系统本身就有问题，那等于是在给流量攻击者开了一扇门。所以，为了确保云环境下的万无一失，大家除了在云安全措施上下功夫，还要在安全常识问题上，提高警惕!

　　首先，不要忽略“僵尸负荷”。

　　越来越多公司往往会忽略在系统框架上执行着的僵尸负荷。尤其是在公司运用峰值期，一旦遇到严重的安全问题，会首先把“僵尸负荷”排除在外，不予理会。

　　实际上，越来越多别有用心的人就是利用僵尸资源来窃取密码。尽管僵尸工作负荷并不重要，但是它组建于公司整体基础设施之上，一旦疏于管理，会更非常容易遭遇黑客侵进。skyboxsecurity 2018年的一份报告研究显示，密码劫持是主要的一种网络流量攻击手段。devops团队要像托管加密货币一样，要确保运用资源不受威胁，并选用很好地的安全防范手段，来阻止一切恶意行为。

　　其次，对aws s3 buckets的泄露问题，要足够重视。

　　aws云服务，尤其是 s3 buckets是年头最长的云本地服务之一，还保持着过往的安全防护方式和规则，因此成为勒索软件流量攻击的主要目标。有统计信息显示，7%的 amazon s3 bucket 都未做公开访问的限制，35%的 bucket 都未做加密，这意味着整个 amazon s3 服务器中都普遍存在这样的问题。

　　恶意参与者不仅可以根据s3 bucket访问公司的隐私客户信息，而且还可以访问云凭据。越来越多具备灾难性的信息泄漏，都是由于访问了不受限制的s3 bucket造成的，因此要定期检查aws平台上的公有云存放字段是非常重要的一项工作。

　　其1，系统更新最好不要绕过ci/cd管道。

　　每个devsecops团队都有一个惯性思维，认为系统程序更新时要根据ci/cd管道传递，这样的系统布署才更加安全，但这并不意味着每次执行都要强制执行这一策略。加快布署快速，避免出现安全问题，开放人员往往根据使用开放源码库的形式绕过ci/cd管道。

　　虽然这种方式为开发人员节省了系统发布和更新时间，但却给安全团队带来了更大的负担，他们必须对异常工作负荷开展额外扫描。长期下往，开发团队会认为安全团队没有办法阻止未授权的工作负荷，只是简单地接受和执行。最终，系统的安全状态会逐渐恶化，以至于恶意黑客侵进者可以在不引起注意的情况下执行有害的工作负荷，但是到那时才发现，一切为时已晚。

　　其4，网络访问要设限。

　　许多devops团队并没有花费大量的时间，用在分段和单独的访问权限上，而是依赖于一套完整的网络配置，同时这些配置远远不能满足必要的访问限制，他们通常将所有的工作负荷都放在一个单独的vpc中，这样就可以根据第1方流程访问。

　　没有对公网访问设限，安全团队要想识别和隔离恶意行为，要花很长时间。即使在短时间内，devsecops团队发现了一些严重的漏洞，也无法在安全配置文件中及时处理安全漏洞!

　　其5，使用微服务时，规则设定要正确

　　当devops团队在容器中使用微服务时，会面临更大挑战，分得越细，意味着你就越有可能出现错误的规则设定。

　　即使是最熟悉的规则和集群，也会因疏忽产生大量漏洞。例如，如果允许开发人员使用特定的ip根据ssh远程连接到生产环境时，就可能会在不知情的情况下，允许隐私区域接进无限制公网访问。有时，这些错误的规则配置会被忽略长达数月之久。为了避免错误规则兼容，使用amazon inspector的agentless开展监控，或则选用其他网络评估工具，开展定期审计，非常必要。

　　(来源：it168)