安全供应商Threat Stack的一项新研究将于今天在AWS峰会上发布,揭示了用户的一系列常见安全配置错误,这些错误配置使他们的云实例面临潜在的安全风险。
Threat Stack分析了使用AWS的200家公司,以查看是否存在潜在的安全隐患-事实证明,存在许多安全隐患。最大的问题之一是发现73%的用户将Secure SHell(SSH)服务留给了云实例上的公共Internet。SSH通常用于远程管理服务器实例。
“很明显,这不是SSH中的漏洞,而是安全组(防火墙)配置不佳,” Threat Stack的CTO Sam Bisbee告诉 eWEEK。
在任何类型的服务器上进行典型的SSH安装都需要某种形式的身份验证。Bisbee解释说,他的公司在AWS上发现的问题是,安全组配置允许通过SSH从Internet上的任何源直接访问环境中的任何系统。
Bisbee说:“尽管有安全地运行这样的体系结构的技术方法,但它们通常被认为过于复杂,通常不值得付出额外的努力或风险。”
Bisbee补充说,暴露SSH服务是有风险的,因为它允许更大的面向公众的表面积,该表面积可能会受到攻击。例如,他指出,如果某个环境要公开一千个各自公开SSH的系统,则有可能将攻击分散到整个表面,以减少被检测到的机会。
Bisbee说:“比起单个主机上的一千次失败登录,很难发现每个登录失败的一千个主机。”
Bisbee补充说,根据他的经验,SSH主机会很快受到攻击。
Bisbee说:“我上次将SSH作为测试进行测试时,主机上的SSH受到攻击的时间不到10秒。”
安全漏洞的另一个方面是AWS用户缺乏多因素身份验证(MFA)。根据Threat Stack的分析,有62%的组织未使用某种形式的MFA来保护其AWS云实例。
关于为什么MFA的采用率不高,Bisbee有一些想法。
比斯比说:“我相信对MFA一无所知的技术人员人数急剧减少。” “我认为人们低估了投资,并且错误的看法是这太困难了。”
Threat Stack还发现并非所有的AWS用户都在所有AWS区域中使用AWS CloudTrail审核和合规性服务。Bisbee说,有27%的用户未在所有AWS区域中配置CloudTrail,这意味着他们可能已在至少一个区域中进行了设置。
Bisbee说:“这种行为很普遍,因为用户有条件只监视他们利用的区域中的资源,尽管它可以自由监视未使用的区域。” “这对于系统监视(CPU和硬盘驱动器)有意义,但对安全性或合规性监视则没有意义。”
例如,Bisbee说,如果组织仅在北弗吉尼亚州运行系统,则它们永远都不应在东京运行系统,并且如果这种情况发生变化,则应在深夜唤醒某人,因为这意味着它们已被破坏或错误配置了资源。
Bisbee说:“我个人认为AWS的教育策略开始显示出递减的回报,他们需要开始代表客户做出小小的选择。”
例如,他建议默认情况下应在所有区域中启用CloudTrail,而MFA应该是强制性的。
Bisbee说:“我认为,如果用户希望安全性不再可用,则可以将其作为一种功能使用,这就是拥有如此众多安全性合作伙伴的原因之一。” “不过,如果AWS默认情况下照顾更多的基础,那将是很棒的,这样我们就可以不再强调相同的基本配置错误,而专注于更棘手的问题。”
