在云架构中识别和修复安全漏洞与在本地环境中区别大吗？

大多数在云中运行的部署技术也会在本地运行，例如虚拟机（VM）和容器。此外，一般来说，现代管理工具既支持基于云的环境，同样也支持本地环境。然而，即使云环境的部署流程和工具看似与本地基础架构基本相同，但也有许多容易被忽略的细微差异。如果您无法理解和解释这些差异，错误配置会在您的云架构中造成安全盲点。

这些盲点可能会以多种不同方式出现。其中一些是由于云工作负载的短暂性造成的，这是云和本地环境之间的主要差别之一。还有一些差别是云特有的服务产品，例如身份和访问管理（IAM）。也有一些与工具相关的因素，例如基础架构即代码（IaC），这在大规模云环境中很常见，尽管可能是用于本地配置。

为了帮助企业识别他们在云环境中可能会忽略的云安全盲点，本期【网安必读】为大家分享《云安全盲点：检测并修复云错误配置》，为您提供实用指导，帮助设计能够抵御易受忽视的安全威胁的体系结构，还可检测您已经部署的工作负载中的错误配置。

什么是安全盲点？

‍安全盲点是指存在潜在漏洞的所有类型的配置、工具或流程，这些内容通常看似安全，因而也很容易遭到忽略。在IT环境中，安全盲点类似于锁上前门，看似安全，但是却忘记了入侵者可以轻易使用门垫下的备用钥匙破门而入。这就像配置家庭安全系统，但忽略了一个事实，即此系统只监控房子的一楼，对从二楼窗户爬进来的入侵者毫无防备。

‍安全盲点与众所周知的、容易识别的配置正好相反。例如，未能为您的云服务配置IAM策略不属于安全盲点，而是公然的安全疏忽。将登录凭据存储在公共文件服务器上托管的明文文件中也是如此。每个称职的管理员都知道不能犯此类错误。

相比之下，安全盲点是指即使是老练的管理员也经常无法发现的错误配置，例如IAM配置在多云环境中漂移。要避免此类风险，需要了解在设置云环境或向其中部署工作负载时通常会出现的疏忽。

此外，通过审核可以帮助您在部署服务后检测安全盲点。然而，采取少量预防措施即可换取显著的预防效果。首先，了解需要避免哪些类型的错误将极大地降低安全盲点的风险。

云安全盲点：五大常见示例

为了说明安全盲点在实践中的特点，请查看以下五个示例。

不理解责任共担 

公有云提供商根据所谓的责任共担模式运营。虽然此类模式的细节因云服务提供商而异，但可以归结为同一概念，即云提供商只负责保护他们能够控制的资源，例如托管基础架构即服务（IaaS）的底层服务器，而云最终用户负责保护在云服务中部署的工作负载。

责任共担在理论上听起来很简单，但是，如果用户对云服务提供商的安全责任的起止位置做出不正确的假设，就可能会产生安全盲点。因此，用户可能无法保护其工作负载的某些内容，因为他们误认为云提供商会进行处理

这是使用新型云服务时一个极易出现的错误。当您使用传统的公有云服务（例如虚拟机或对象存储）时，描述责任共担非常简单：您的云提供商负责保护底层主机服务器，您负责保护在其中部署的虚拟机或数据。

‍然而，当您使用更复杂的新型云服务时，将面临更棘手的问题。例如，在公有云中运行的托管 Kubernetes® 服务。在此类服务中，云提供商可自动执行配置，并在一定程度上监控您的Kubernetes集群。因此，很容易假设云提供商也负责管理安全性，但实际情况更为复杂。尽管云提供商要负责保护主机基础构和配置工具，但他们无法解决在这种情况下可能出现的其他重要安全风险，例如，在群集中部署的不受信任容器映像中的恶意软件，或者可能导致违规的错误配置访问控制策略。如果您忽略这些风险类型，而又未能实施自己的解决方案来解决这些风险，那么，最终会在基于云的Kubernetes策略中形成安全盲点。 

杂乱无章、影子IT和技术安全漏洞‍

如今，IT团队面临着前所未有的压力，他们不仅需要尽早交付软件，同时还要敞开怀抱去接受快速变化的“在失败中前行”的文化。这种策略可以加快创新速度并提高敏捷性，但也增加了IT团队在快速发展的过程中出现错误或疏忽的几率，从而导致出现云安全盲点的风险。

具体地说，高度依赖云且快速发展的团队容易产生三种类型的盲点：

● 杂乱无章：云服务很容易启动，但很难以合乎逻辑的方式进行管理和整合。

● 影子IT：无独有偶，团队或个人可能会启动所谓的影子IT，或者只有他们自己知道，但没有与中央IT管理系统集成的工作负载。

● 技术安全漏洞：为了快速创新，团队可能会忽略其安全态势中的弱点，从而导致安全团队在寻找和修复漏洞时花费的时间和精力增加。

此类风险是当今以快速发展文化为主导的IT部门所固有的，尤其是那些将云作为快速启动工作负载的简单且高度可扩展方式的部门。然而，这并不意味着您必须承担这些风险作为快速创新的必要权衡。通过自动化审核实施强大的IT监管策略，您可以发现偏离企业最佳实践或未连接到中央管理系统的工作负载。

基础架构即代码错误配置

‍为了自动执行云环境配置流程，许多企业开始使用IaC工具。借助这些解决方案，管理员可以说明应如何配置环境。然后，这些工具可自动应用配置，无需手动设置每个服务器和云服务等。

从效率的角度来看，IaC很实用。然而，从安全角度来看，这可能产生灾难性后果，因为这意味着可能会在大量服务器或主机中自动应用不安全的配置。事实上，2020年Unit42云威胁报告中详细介绍的研究发现，为了搭配使用热门的IaC工具CloudFormation，在创建的配置文件中，近一半都包含可能导致安全漏洞的错误配置（例如，缺乏合适的访问控制）。

这并不意味着您应该避免使用IaC工具；相反，这些工具对于管理大规模环境而言至关重要。但是，您要仔细审核IaC配置，确保遵守最低权限等策略，这是一种安全最佳实践，其中每个用户或服务帐户都可以获得执行特定任务所需的最低权限或零信任，另一个最佳实践要求每个设备、应用和微服务都对自身的安全负责。

IAM错误

大多数企业都深知，使用云IAM系统来管理访问控制是确保基础云安全性的一项要求。但是，IAM策略很容易出现配置错误，尤其是在大规模环境中。

为了提高效率，团队可能会授予用户高于实际所需级别的权限，最终造成过度授权。如果用户的访问需求发生变化，可能会减少日后更新IAM配置的需要，但也会产生安全风险，因为忽略了最低权限原则。

瞬息万变的云环境

现代云工作负载通常依赖于本质上短暂的部署架构，例如容器。容器实例可以在几秒钟内启动，然后在几分钟后销毁，以响应不断变化的需求。

这不仅意味着云环境在不断变化，而且说明很难确定特定工作负载的具体位置。如果您在Kubernetes中部署应用，编排器将根据在特定时刻最有效率的配置在不同节点中自动调度容器。这导致很难了解在特定时间点中，什么服务在什么服务器中托管。同样，云环境中的网络端点会随着主机数量的波动而不断变化，这导致对流量路由的跟踪变得极其复杂。从安全角度来看，云环境不断变化的特点及其难以具体了解的状态意味着，导致许多传统安全策略难以应对。如果您的网络配置不断变化，则不能依靠简单的防火墙来阻止恶意流量。如果您的工作负载不停在不同的服务器之间转移，就无法通过部署安全工具来监控操作系统日志中的违规信号。

相反，您需要部署云原生安全工具，以提供对现代云的动态、短暂的可视性。依赖传统安全策略很容易出现盲点，因为您可能认为自己已经采取了相应措施来保护云工作负载，而事实上，这些工具在云中成效甚微。

同样，企业可能会建立IAM策略，该策略会对整个类别的用户应用相同权限，为所有员工或设备授予相同类型的同一访问权限。这种策略缺乏精细度，是过度授权的象征。

这里重要的一点是，正如为PC设置密码只是保护设备的第一步，简单实施IAM策略并不能保证云资源可得到切实保护。您必须审核IAM策略，确保这些策略具有足够的限制以防止出现滥用。

阻止、发现并解决云安全盲点

如何防止我们所描述的云安全疏忽问题？这个问题的答案部分取决于您在云之旅中所处的位置。

‍如果您可以使用云原生技术，从头开始构建所有云工作负载，则会比较容易避免安全盲点。不幸的是，很少有企业能够享有这种自由。相反，为了在云端运行，大多数企业都在调整现有工作负载。在这种情况下，您必须采取其他措施来避免产生安全盲点。考虑遵循一些最佳实践。

避免盲点和转移‍

这种方法指的是，在做出最小改动的情况下，将在本地运行的工作负载迁移到云中，这样，出现盲点的的风险就会很高。在云中，本地环境中可实现安全的配置的安全性可能没那么高。因此，在将工作负载迁移到云之前，仔细评估直接迁移策略的安全意义至关重要。

自动化配置审核

每当您编写任何类型的新配置文件（无论是IaC模板、IAM策略还是其他内容）时，都应该在应用之前自动审核潜在的安全风险。此外，您要持续审核正在运行的工作负载，以检测在部署工作负载之后，对配置的更改可能带来的风险。

承担最大责任

为每个云资源实施最低权限访问是一种最佳实践，同样，企业应努力承担保护云工作负载的最大责任。这样可以避免误解云提供商的责任共担政策，最大限度降低因疏忽而产生的相关风险。如果有工具或流程可以帮助您保护云服务的方方面面，请放心使用。超越责任共担范围比达不到范围更好。

采用云原生安全平台

归根结底，由于云的短暂性和高度可扩展性，云安全与本地安全完全不同。因此，在云中管理安全责任需要云原生安全平台（CNSP)，该平台是专门为应对云原生开发的挑战而构建的，并且可与现有工具和流程进行集成。

无论您部署哪种云架构或工作负载，Palo Alto Networks（派拓网络）的Prisma® Cloud都可以提供对复杂堆栈的深度可视性。Prisma Cloud是业界最全面的CNSP，可解决云软件开发生命周期所有阶段的安全需求，无论您使用哪种云服务或如何进行管理。

借助Prisma Cloud，团队可以自动检测训练有素的安全工程师也难以手动发现的漏洞。Prisma Cloud还可以强制实施最佳实践，确保在将工作负载部署到云时，所有团队成员以安全的方式进行操作。