云服务器使用过程中被忽视的安全风险

云网络在改变计算方面做得比过去 15 年来任何其他创新都多。初创公司能够快速部署在线业务，使大公司能够随着需求的起伏而进行规模化，在后疫情期间，它为远程员工队伍奠定了基础。

然而，这种便利性并非没有它自己的一组挑战，而"移动到云"的竞赛经常给企业及其用户带来一系列全新的安全挑战和数据隐私问题。

云市场充斥着预建虚拟机器图像，其中包含未修补的漏洞、过于宽松的防火墙设置，甚至包括恶意软件和硬币矿主。云提供商不会对违规/泄露监控采取积极主动的态度，在许多情况下，他们甚至不会将从外部研究人员收到的通知传递给客户。

云部署也是数据泄漏的巨大来源（S3 存储桶、打开的数据库/NoSQL 服务器），在云中运行的第三方数据提供商仍然是来自其他安全企业的数据泄漏的来源。

预建和预安装 VM 的问题

云服务器或画廊是可供客户部署的预建 VM 的存储库。虽然云提供商为客户提供上传自己的 VM 图像以方便部署和自动缩放的方法，但许多人更喜欢使用预建图像的便利性。

虽然方便，这些图像经常过时或部署与过于宽松的防火墙设置，可能会打开VM攻击后，它立即启动。另一个令人不安的趋势是引入了 VM 图像，这些图像是预安装恶意软件或加密货币矿工的， 就像 Docker Hub看到的一样。

这些攻击虽然危险，但就恶意潜在而言只是冰山一角。理论上，动机正确的攻击者可以开发 VM 图像，在预先确定的时间后，该图像将手机传回恶意软件操作员家中，并建立命令和控制 （C2） 连接。

AWS 和 Azure 等主要云自动提供内部 IPs，只有提供 VM 下运行订阅详细信息的虚拟计算机才能访问。但是，这些信息可能由恶意软件收集或由机器上的恶意操作员发现。

此外，随着混合云部署和点对点 VPN 的增多，将云环境连接到客户的本地网络，云 VM 上的滩头很容易成为通往企业网络中心的途径。

这些都是云提供商需要解决的不平凡的问题。虽然提供商在提供恶意软件之前会扫描 VM 图像，如防病毒解决方案所见，但这些类型的扫描只捕获已知的恶意代码，而不是全面的防御。在 Linux VM 上进行简单的工作或在 Windows 中执行预定任务，在准备后数天或数周内可以轻松下载辅助有效载荷。

使这种风险雪上加霜的是像 AWS 这样的云，它允许任何用户在市场上共享 VM 图像。使用这些类型的 VM 类似于移动应用商店带来的风险，但会带来企业后果。

缺乏保护和客户通知

今天的一个关键问题是，云提供商没有对违规/泄露监控采取积极主动的态度，而且在许多情况下，也不会将来自外部研究人员的通知传递给客户。

虽然云提供商不能对其客户做出的所有安全决策负责，但他们的方法主要侧重于销售额外的安全程序 ， 外部安全研究人员 （甚至云提供商的员工） 发现的违规 VM 报告经常被斥为不可诉。

这导致了这样一种情况：数百，有时数千名 VM 在协调的攻击活动中受到损害，如果客户没有立即注意到，则会持续数周或更长时间。

这方面的一个很好的例子是对安全不当的 NoSQL 数据库的持续攻击活动，该攻击活动始于 2016 年末，一直持续到今天。

针对这种攻击趋势进行的研究表明，由于 VM 上的默认防火墙设置过于宽松，加上面向互联网的网络接口启用了 NoSQL，以及默认缺乏身份验证，许多客户面临风险。2016-2019 年间，我在微软的 Azure 云中发现了近 8，000 台 VM，这些 VM 遭到破坏。

在大多数情况下，客户甚至没有意识到自己甚至接触过互联网，或者已经达成了妥协，而这些只是在发送客户通知的有限情况下。当然，这些攻击并不仅限于Azure，全球有超过10万名VM受到卡桑德拉布、弹性搜索、蒙哥德布和雷迪斯的攻击的影响。

数据泄漏风险

除了妥协的风险之外，不安全的 NoSQL 数据库一直是无数数据泄露和隐私问题的根源。2019 年末，Microsoft 意外地通过一个不安全的弹性搜索实例泄露了 2.5 亿条客户记录，这些问题继续以正常节奏在全球范围内发生。

亚马逊的S3存储桶通常没有安全感，因此开发了搜索引擎，允许错误赏金猎人（以及无意间恶意行为者）搜索暴露的S3实例，以查找有价值的数据、个人可识别信息（PII）、财务记录、数据库备份、凭据和信用卡记录。医疗保健信息是另一个常见的暴露数据集，社交媒体帐户和数据仓库公司收集的广告数据也是如此。

第三方数据聚合器和广告公司也经常是企业数据泄露的原因，这些企业本身可能对数据安全、静止加密、特权访问和限制互联网接触敏感文件有严格的政策。仅在2020年，前三个季度就曝光了360亿条记录。

更好的安全性至关重要

所有这些并不是说云网络本质上是不安全的，而是随着世界向以云为中心和混合云环境的转变，尤其是对于远程员工，企业需要认识到，他们的云安全战略、政策、控制和流程必须像在经典的本地环境中一样强大。他们不能假设，因为西雅图、雷德蒙德或湾区科技巨头运行他们的云，任何额外的安全性都被烘烤。

云提供商还应采取更加积极和主动的方法保护其客户的安全，通知他们违规情况，并在发现折衷时将虚拟机隔离。

有第三方监控服务，可实时检测互联网上发生的自动扫描，还有一些服务提供从云中发射的恶意软件信标的实时检测，提供商对此持抵制态度。最近关于四个大型云提供商的一些最新数据显示，在 180 天期间内，大量恶意软件信标被发出。

大三角洲是由于客户规模大不相同或安全态势显著差异造成的，目前还无法确定，但它有助于强调这样一个事实，即云客户正在大量受到损害，这些感染问题正在得到解决。

通过利用外部系统来对抗其内部用户对 IP 地址数据库，云提供商可以在妥协后几分钟或几小时内向客户传递通知，从而给企业在为时已晚之前提供非常需要的时间来响应、检测和驱逐攻击者。