常见的云安全错误认知以及应对方法！

随着云和混合云趋势的发展，过去传统的云安全策略显然已经不适应新的云环境。尽管许多企业一直非常重视云安全问题，但其中许多风险点并没有真正得到解决。大多数企业仍然在过去的本地环境中采用云安全措施，导致云安全策略不一致，增加了应用程序风险和漏洞！最严重的问题是，许多私有云部署环境的安全问题不需要黑客入侵，而是缺乏安全知识！

@

许多安全问题无法控制！即使在理想的环境中，也很容易发生重大安全事故。此外，您的系统本身也有问题，这相当于为攻击者打开了一扇门。因此，为了确保云环境中的一切都是安全的，我们不仅要努力研究云安全措施，还要提高对安全常识问题的警惕！

首先，不要忽略“僵尸负载”。

许多企业经常忽略系统架构上运行的僵尸负载。尤其是在企业应用的高峰期，一旦遇到严重的安全问题，“僵尸负载”将首先被排除并被忽略。

事实上，许多别有用心的人利用僵尸资源窃取密码。虽然僵尸工作负载并不重要，但它建立在企业的整体基础架构上，如果管理不当，更容易受到入侵。天盒安全2018年的一份报告显示，密码劫持是网络攻击的主要方式。DevOps团队应确保应用程序资源不受威胁，并采取有效的安全措施来防止所有恶意行为，如托管加密货币。

其次，对AWS S3 Buckets的泄露问题，要足够重视。

AWS云服务，尤其是S3水桶，是最古老的云本地服务之一。它还保留了过去的安全保护方法和规则，因此成为敲诈软件攻击的主要目标。统计数据显示，7%的亚马逊S3存储桶没有公共访问限制，35%的存储桶没有加密，这意味着此类问题在整个亚马逊S3服务器中很常见。

恶意参与者不仅可以通过S3桶访问企业的敏感客户数据，还可以访问云凭据。许多灾难性的数据泄漏都是由于对S3桶的无限制访问造成的。因此，定期检查AWS平台上的公共云存储字段非常重要。

其三，系统更新最好不要绕过CI/CD管道。

每个开发团队都有一种惯性思维，认为系统程序更新应该通过配置项/光盘管道传输，这样系统部署就更安全了，但这并不意味着每次运行时都必须执行该策略。为了加快部署和避免安全问题，开放人员通常通过使用开源库来绕过配置项/光盘管道。

虽然这种方法节省了开发人员发布和更新系统的时间，但它给安全团队带来了更大的负担，他们必须对异常工作负载执行额外的扫描。从长远来看，开发团队会认为安全团队没有办法防止未经授权的工作负载，而只是接受并执行它们。最终，系统的安全状况会逐渐恶化，这样恶意入侵者可以运行有害的工作负载而不会引起注意，但只有到那时才会发现为时已晚。

其四，网络访问要设限。

许多开发团队并不在分段和个人访问权限上花费大量时间，而是依赖于一整套网络配置，这些配置远远不能满足必要的访问限制。他们通常将所有工作负载放在一个VPC中，可以通过第三方流程进行访问。

公共网络访问没有限制。安全团队需要很长时间来识别和隔离恶意行为。即使在很短的时间内，DevSecOps团队也发现了一些严重的漏洞，无法在安全配置文件中及时处理它们！

其五，使用微服务时，规则设置要正确

当DevOps团队在容器中使用微服务时，他们将面临更大的挑战。分布越细，规则设置就越有可能不正确。

即使是最熟悉的规则和集群也会无意中产生大量漏洞。例如，如果允许开发人员使用特定的知识产权通过SSH远程连接到生产环境，他们可能会不知不觉地允许敏感区域访问不受限制的公共网络访问。有时，这些不正确的规则配置可以忽略数月。为了避免错误的规则支持，有必要使用亚马逊检查员的无代理监控或其他网络评估工具进行定期审计。