五个常见的云计算配置误区及解决方案

-3-五个常见的云计算配置误区及解决方案在存储桶方面，很多云计算用户认为“经过身份验证的用户”仅涵盖那些在其组织或相关应用程序中已通过身份验证的用户。不幸的是，状况并非如此。“经过身份验证的用户”是指具有AWS身份验证的任何人，实际上是任何AWS客户。由于这种误会以及由此导致的控件设置错误配置，存储对象最终可能完全暴露给公共访问。云计算如今已经成为一个拥有众多子行业的宽阔市场，但是当客户没有在云计算环境中正确配置和爱护自己的工作负载和存储桶时，就会产生巨大的平安隐患。现在我为大家介绍一下云计算配置简单发生错误的五个常见误区及解决方案，盼望能对大家有所关心。

错误一：存储访问

在存储桶方面，很多云计算用户认为"经过身份验证的用户'仅涵盖那些在其组织或相关应用程序中已通过身份验证的用户。不幸的是，状况并非如此。"经过身份验证的用户'是指具有AWS身份验证的任何人，实际上是任何AWS客户。由于这种误会以及由此导致的控件设置错误配置，存储对象最终可能完全暴露给公共访问。设置存储对象访问权限时，需要特殊当心，以确保只有组织内需要访问权限的人员才能访问它。

错误二："隐秘'管理

此配置错误可能特殊损害组织。确保诸如密码、API密钥、管理凭据和加密密钥之类的机密是至关重要的。人们已经看到它们在配置错误的云存储桶、受感染的服务器、开放的GitHub存储库甚至HTML代码中公开可用。这相当于将家门的钥匙放在门前。

解决方案是维护企业在云中使用的全部机密的清单，并定期检查以查看每个机密如何得到爱护。否则，恶意行为者可以轻松访问企业的全部数据。更糟糕的是，他们可以掌握企业的云资源以造成无法弥补的损失。同样重要的是使用隐秘管理系统。AWSSecretsManager、AWSParameterStore、AzureKeyVault和HashicorpVault等服务是健壮且可扩展的隐秘管理工具的一些示例。

错误三：禁用日志记录和监视

令人惊异的是，有多少组织没有启用、配置甚至检查公共云供应的日志和遥测数据，在很多状况下，这些数据可能特别简单。企业云团队中的某个人应当负责定期查看此数据并标记与平安相关的大事。这个建议并不局限于基础设施即服务的公共云。存储即服务供应商通常供应类似的信息，这同样需要定期审查。

错误四：对主机、容器和虚拟机的访问权限过大

要留意的是，企业除了将数据中心中的物理或虚拟服务器直接连接到Internet，还需要使用过滤器或防火墙来爱护它。对此需要留意的有：

暴露在公共互联网上的Kubernetes集群的ETCD（端口2379）

传统端口和协议（例如在云主机上启用的FTP）

已虚拟化并迁移到云中的物理服务器中的传统端口和协议，如rsh、rexec和telnet。

确保爱护重要的端口并禁用（或至少锁定）云中的旧的、担心全的协议，就像在本地数据中心中一样。

错误五：缺乏验证

最终的云计算错误是一个元问题：人们常常无法创建和实施系统来识别错误配置。因此无论是内部资源还是外部审核员，都必需负责定期验证服务和权限是否已正确配置和应用。设置时间表以确保这种状况像发条一样发生，由于随着环境的变化，错误是不行避开的。企业还需要建立严格的流程来定期审核云配置。否则，可能会冒着平安漏洞的风险，恶意行为者可以利用这些漏洞。