避免云端安全配置错误的关键方法

主要收获

• 根据 Verizon DBIR 报告，内部错误配置是数据泄露的主要原因之一。
• 67%的专业从业者将配置错误视为云平台安全的主要威胁。
• 传统的云安全态势管理（CSPM）工具只能被动检测配置错误，未能及时防止。
• 基于基础架构即代码（IaC）的配置自动化可以有效预防配置错误。
• Qualys 提供自动化评估工具，帮助检测 IaC 中的安全配置错误。

在过去几年中，Verizon 的数据泄露调查报告（DBIR）指出，错误配置是导致数据泄漏的主要原因之一。根据最近由 CybersecurityInsiders 进行的一项调查，603 名网络安全专业人员中有 67%
认为错误配置是云平台安全的最大威胁。这一危险并未减轻，最近有新闻报导，伦理骇客发现有 80 个错误配置的 Amazon S3存储桶，其中包含的个人身份信息（PII）数据超过 1000 GB，且超过 160 万个文件在未设置密码或加密的情况下被访问。

云安全态势管理（CSPM）工具通常用于保障公共云安全。CSPM 工具利用云服务提供商的
API，作为云基础架构的真实来源，报告资源的配置是否符合各种行业标准的最佳实践。尽管 CSPM工具有效，但它们无法阻止错误配置在生产环境中反复出现。这主要是因为 CSPM工具是被动的，即它们只能在资源部署后检测到错误配置。在错误配置被检测和修复之前，骇客有机会利用这些漏洞。对于执行严格变更政策的组织而言，检测和修复之间的时间可能会长达几天甚至几周。总体来看，传统
CSPM 工具无法有效解决这些问题，因为它们在问题发现于循环过程中太晚捕捉到这些漏洞。

真正的解决方案是从源头防止错误配置的发生。在许多情况下，这意味著要修正用于创建资源的基础设施即代码（IaC）中的错误配置。DevOps 团队越来越多地使用
IaC 来部署云原生应用和配置基础设施。IaC 语言，如 Terraform、CloudFormation（CF）、Azure ResourceManager（ARM），使表达资源配置变得简单。例如，如果您想创建一个私有 S3 存储桶，只需几行 Terraform 代码即可：

hcl resource "aws_s3_bucket" "bucket" { bucket = "my-tf-test-bucket" acl =
"private" }

上述代码看似安全——您只是创建了一个 S3存储桶并将其设置为私有。虽然初看之下没有问题，但在安全方面，您还缺少许多关键配置设置，例如启用加密或访问日志。问题在于如何防止部署这个模板。答案是把安全性转移向左，在
CI/CD 流程的每个阶段嵌入安全自动化，并实现内建的自动评估。

Qualys 已经为 IaC 建立了一个安全自动化解决方案，并将 CloudView 的能力扩展到评估云中部署的资产和资源的错误配置及非标准部署。IaC评估可以分析 Terraform、CF 和 ARM 文件，并识别 AWS、Azure 和 GCP 的资源和服务的安全性错误配置。IaC评估可以在整个管道中进行——从代码进入源代码库时的源代码，整合阶段以及部署之前