云计算的20大常见安全漏洞与配置错误

云安全可靠是公有云供应商最狠抓宣传品的噱头众所周知，但对民营企业采用者来说，过分信赖和迷信云服务项目的预设实用性是两件十分脆弱的事，民营企业的安全可靠CTO及云安全可靠审查相关人员须要对云计算如上所述自然环境的安全可靠安全漏洞和实用性错误展开全面性评估结果和Listary。

下列，他们列出谷歌Azure云计算自然环境的TOP20常用帐户和实用性安全漏洞（如上所述预设实用性），对民营企业优先选择其它类似于公有云服务项目也有很大先进经验象征意义。

谷歌 Azure TOP20安全漏洞加速目录

1.可从Internet出访的储存帐户

2.容许不安全可靠迁移的储存帐户

3.权利采用者缺少多不利因素身份验证

4.缺少用作重新加入电子设备的多不利因素身份验证

5.完全免费此基础版Azure安全可靠服务中心缺少许多必要性安全可靠机能

6.具备基本上DDoS保护的Azure交互式互联网

7.未身份验证的作业系统和统计数据硬盘

8.安全可靠服务中心中缺少邮件通告

9.Azure Monitor中缺少笔记预警

10.Azure NSG入站准则实用性为ANY

11.公用IP门牌号实用性为Basic SKU

12.面向全国社会公众的服务项目采用静态IP门牌号

13.可匿名读取出访的Blob储存

14.Azure AD中的访客采用者数量过大

15.Azure AD中不安全可靠的访客采用者设置

16.对Azure AD管理门户的无限制出访

17.Azure身份为保护机能预设被禁用

18.Azure Network Watcher预设被禁用

19.并非对所有Web应用程序流量都强制执行HTTPS

20.Azure安全可靠服务中心中的监视策略

可从互联网出访的储存帐户

Azure储存帐户的预设设置是容许从任何地方（包括互联网）展开出访。这样的设置自然会带来潜在的未经授权的统计数据出访、统计数据泄漏、泄露等风险。

始终采用最小权利原则，并仅从选定的IP门牌号，互联网范围或VNet（Azure交互式互联网）子网限制对每个储存帐户的出访。

储存帐户的不安全可靠传输

通过此设置，可以强制执行向储存的安全可靠（身份验证）统计数据传输。这意味着任何通过不安全可靠协议（例如HTTP或SMB）但未身份验证的请求都将被拒绝。

Azure储存帐户的预设设置是接受任何协议，这不可避免地使云储存容易受到窃听攻击。位置良好的攻击者可能会窃听通信，并获得对敏感或私人信息的出访权。

显而易见，应该为所有储存帐户启用身份验证统计数据传输。

权利采用者缺少多不利因素身份验证

对任何Azure资源具备管理或写入权限的任何采用者都应该要求多不利因素身份验证（MFA），包括下列角色：

·管理员

·服务项目共同管理员

·订阅所有者

·贡献者

采用MFA为保护这些高权利帐户十分重要，因为它们极有可能成为对手的攻击目标。

启用MFA后，攻击难度大增，从而大大降低了风险。

请注意，Microsoft Azure支持各种MFA解决方案和选项，其中一些是完全免费的，其中一些是根据高级计划按订阅提供的，例如：

·Azure多重身份验证

·条件出访策略

无论如何，至少应对所有管理采用者强制执行某种MFA。

缺少针对新重新加入电子设备的多不利因素身份验证

应该要求所有采用者提供第二种身份验证方法，然后才能将电子设备重新加入Active Directory。

这是为了确保防止恶意电子设备通过被入侵帐户被添加到目录中。

风险在于，攻击者可能将不受管控、不合规的恶意电子设备重新加入民营企业互联网，然后用作出访民营企业的应用程序和其它资源。

完全免费版Azure安全可靠服务中心

与完全免费（此基础）版相比，付费增强版Azure安全可靠服务中心增加了下列一些重要的安全可靠机能：

·威胁检测和威胁情报源

·异常检测，行为分析和安全可靠预警

·能识别新型攻击和零时差攻击的机器学习机能

·整个此基础架构的安全漏洞扫描和安全漏洞管理

·高级出访和应用程序控制可阻止恶意软件和其它互联网攻击

上述这些机能无疑可以帮助抵御某些互联网攻击，尽管成本增加，但在每个生产自然环境中都应启用这些机能。

交互式互联网的此基础DDoS为保护

与此基础DDoS为保护相比，增强的标准DDoS（分布式拒绝服务项目）为保护提供了下列附加防御措施：

·近实时遥测和交通监控

·持续的攻击预警和通告

·自适应调整和流量分析

·详细的攻击分析

以上措施可以帮助防御基于互联网的DDoS攻击。在每个生产自然环境中的所有重要VNet上都应启用标准DDoS防御服务项目。

唯一的缺点是，这是一项高级机能，因此须要额外付费。

未身份验证的作业系统和统计数据硬盘

不用说，硬盘加密应该成为每个生产自然环境、工作站、服务项目器以及云自然环境的标准实用性。

在云自然环境中，有时将其称为“静态身份验证”，Azure支持Windows和Linux VM的硬盘身份验证：

·在Windows自然环境，采用BitLocker

·在Linux自然环境，采用DM-Crypt

根据Azure文档，硬盘身份验证不应影响性能，也不会增加任何成本，因此，没有任何理由不为所有硬盘启用身份验证，这包括：

·作业系统硬盘

·统计数据盘

·未连接的硬盘

安全可靠服务中心中缺少邮件通告

在Azure云上运行生产自然环境而不在Azure安全可靠服务中心中实用性邮件通告可算得上是一个重大安全可靠事故。

Azure安全可靠服务中心应始终实用性有邮件门牌号和/或电话号码，以便接收有关事件的通告，尤其是，当特定资源受到威胁时。

邮件通告应当在每个自然环境中都实用性，并始终以很高的优先级展开监视。

Azure Monitor中缺少笔记预警

Azure的监控和预警服务项目容许创建自定义预警，以针对Azure云中部署的服务项目的特定需求量身定制。

如果采用相关的预警条件对其展开了适当的实用性，则它可以提供自然环境中问题的早期指示，而不是依赖于内置的Azure安全可靠机能。

因此，在Azure体系结构审阅中，总是希望看到与自然环境相关的定义明确的自定义预警列表。

下列是他们可以采用Azure监控预警发出预警的示例列表：

·指标值

·记录搜索查询

·活动笔记事件

·此基础Azure平台的运行状况

·测试网站可用性

Azure NSG入站准则配置为ANY

在NSG（互联网安全可靠组）中定义防火墙准则时，常用的严重错误实用性是协议、源或目标实用性为“ ANY”。

这种做法可能会导致流量超出预期流量的风险。对攻击者来说，这些看似良性的实用性常常他们入侵的突破口。

最佳做法是始终坚持最小权利的原则。仅容许具备明确定义的源和目标门牌号的特定协议的方式定义防火墙准则。

请注意，强烈建议在具备应用程序感知能力的Azure中启用第7层防火墙。第7层防火墙在整个Azure互联网（包括应用程序）中提供增强的安全可靠机能。

公用IP门牌号实用性为Basic SKU

与此基础（Basic）SKU相比，在Azure中将公用IP门牌号实用性为标准SKU（库存单位）具备下列优点：

·真正的静态IP门牌号

·预设安全可靠，对入站流量不开放

·容许区域冗余和分区（区域，地理等）

·支持将来的扩展

对此基础SKU，主要的安全可靠问题是总体开放性。除非由防火墙特别为保护，否则预设情况下，分配有此基础SKU的公用IP门牌号的系统将完全暴露给外界。

不用说，这在任何生产自然环境中都是大忌。在生产自然环境中，所有公用IP门牌号都应实用性为Standard SKU，并应充分理解其互联网流量。

请注意，一旦以任何一种方式实用性了IP门牌号，就无法更改此设置。因此，解决此问题可能须要规划停机和迁移时间。

面向全国社会公众的服务项目的静态IP门牌号

这本身并不是真正的安全可靠安全漏洞，但对任何面向全国社会公众的系统，这都是一个严重的严重错误实用性。

如果IP门牌号是静态的，则意味着它可以在任何时间更改，例如在重新启动或DHCP租约续订之后。而且，当它出现在公开可用的系统上时，它可能会破坏许多东西，例如：

·DNS记录

·监控和笔记预警

·系统集成和互操作性

这可能会导致不必要性的可用性问题（例如DoS）。因此，始终强烈建议对任何面向全国社会公众的服务项目采用静态IP门牌号。

可匿名读取出访的Blob储存

Azure Blob储存是在云上共享统计数据的强大而便捷的方式。它支持下列3个出访控制（级别）选项：

1.私人（无匿名出访）

2.Blob（仅针对Blob的匿名读取出访权限）

3.容器（容器和Blob的匿名读取出访权限）

将出访级别实用性为后两个选项（匿名读取出访）会带来未经授权出访统计数据，统计数据泄漏，渗漏等安全可靠风险。

在生产自然环境中，应将所有Blob储存都设置为私有，禁止任何匿名出访。

Azure AD中的访客采用者数量很高

Azure Active Directory（AD）中的访客采用者通常是外部采用者（例如供应商、承包商、合作伙伴、客户和其它临时角色）创建的帐户。

他们只是外部人士，因此，请尽量减少他们的数量。

问题在于，随着时间的流逝，一些民营企业的访客采用者不断堆积，往往导致一些访客失效后忘记撤消其出访权限，这是十分脆弱的。

访客帐户往往会成为攻击者在互联网自然环境中的立足点，可能导致权利提权以及Azure云自然环境中的其它问题。

因此，应始终检查访客帐户的数量。实际上，CIS Benchmark甚至建议完全不采用访客采用者。

这是我们采用Azure CLI查找所有来宾采用者的方法：

az ad user list –query “[?additionalProperties.userType==Guest]”

Azure AD中不安全可靠的访客采用者设置

在Azure Active Directory中拥有访客帐户是一回事，为他们提供高权利是另一回事。

预设情况下，与完整机能的内部成员采用者相比，访客的权利十分有限，但在Azure AD中，也可以将访客实用性为具备与成员采用者相同的权利！

通过外部协作设置（例如上图所示）展开实用性。上面描述的实用性将授予访客采用者下列权限：

·枚举所有其它采用者和组（包括成员）

·读取所有已注册的民营企业应用程序的属性

·从外部邀请其它采用者重新加入组织

从安全可靠的角度来看，这当然是十分不安全可靠的，应该尽快更改，除非有十分强硬的理由。

最后，建议完全取消访客帐户。

对Azure AD管理门户的无限制出访

Azure AD管理门户包含大量敏感信息，预设情况下，Azure AD下的任何采用者都可以出访它。

这意味着可以作为标准（成员）采用者登录到https://portal.azure.com/并浏览，查看几乎所有设置，其它采用者的详细信息、组成员身份、应用程序等。

这是一个重大安全可靠风险，因此应加以限制。

Azure身份为保护机能被禁用

Azure身份为保护为Active Directory中的采用者帐户增加了一层额外的为保护，以减轻登录（登录）风险，例如：

·采用者的异常行径

·恶意软件链接的源IP门牌号

·采用者帐户泄漏

·密码喷射攻击尝试

·匿名源IP门牌号（例如Tor）

这些都是是有助于保持Azure AD自然环境更安全可靠的机能，因此强烈建议启用此机能。

唯一的缺点是，这是一项高级机能，会增加额外的费用。

Azure Network Watcher被禁用

Azure Network Watcher提供了至关重要的诊断和可视化工具，用作了解和解决Azure网络中的互联网问题。

它还为NSG（互联网安全可靠组）Azure防火墙提供互联网流分析，包括与特定VM之间的统计数据包捕获以及许多其它诊断机能。

预设情况下此机能被禁用，建议采用者对所有区域都启用此机能。

他们还可以通过下列方法采用Azure CLI检查Network Watcher的状态：

az network watcher list

未对所有Web应用程序流量强制执行HTTPS

从安全可靠的角度来看，对内部和外部（公开）的所有Web应用程序，都应仅接受安全可靠（身份验证）HTTPS连接，这也是当今的安全可靠标准。

HTTPS提供了十分必要性的安全可靠性，机密性和私密性。

启用上述设置后，对给定Azure Web服务项目的每个传入的不安全可靠（纯文本）HTTP请求都将重定向到其HTTPS端口。

应该为所有Azure Web服务项目展开HTTPS实用性。

对Azure中的统计数据库，应实施相同的策略，例如：

·MySQL服务项目器

·PostreSQL服务项目器

所有服务器都应启用“强制SSL连接”选项。

现在，您可能想知道应该优先选择哪个TLS？

NIST（美国国家标准技术研究所）和PCI（支付卡行业）都不再建议TLS版本1.0和1.1版本。因此，应始终至少优先选择TLS 1.2版。

Azure安全可靠服务中心中的监视策略

CIS基准建议启用Azure安全可靠服务中心的下列监控策略：

计算和应用程序

·系统升级

·作业系统安全漏洞

·端点为保护

·硬盘身份验证

·安全漏洞评估结果

·自适应应用程序控件

互联网

·互联网安全可靠组（NSG）

·Web应用程序防火墙（WAF）

·下一代防火墙（NGFW）

统计数据

·储存身份验证

·SQL审查

·SQL身份验证

在每个生产自然环境中都应启用所有这些策略（将其设置为“ AuditIfNotExists”）。这些策略提供了对Azure云组件的基本上安全可靠监视。

启用这些策略时，还应同时启用“自动设置监视代理程序”：

这将确保在自然环境中部署的所有现有交互式机以及将来创建的任何新交互式机上预实用性Azure监视代理。

总结

评估结果Microsoft Azure云自然环境的安全可靠状况并非易事。与任何其它云技术一样，谷歌的Azure是一个复杂的话题。要安全可靠地展开设置，须要付出巨大的努力，须要了解多个技术领域，并且须要了解Azure生态系统。您须要深入了解许多领域，而不仅仅是Azure云本身。

云安全可靠是一个静态话题，因为整个云计算生态系统不断变化和发展，引入新机能，适应新要求等。

希望本文至少能对Azure云安全可靠审计领域提供一些有用的见解，并为您审计其它公有云安全可靠时提供一些实用信息，提高云此基础架构的安全可靠性。

相关文章

微信