不仅在寻求物理基础架构的更具成本效益的替代方案的小型公司中，而且在希望利用其灵活性的大型企业中，云的采用也在稳步上升。但是，组织（尤其是那些刚刚迁移到云中的组织）面临的挑战之一是，对云的运行方式以及与纯本地系统的不同之处缺乏了解。云设置通常不仅仅涉及一个实施；相反，它们通常结合物理数据中心结合来自不同云提供商的不同服务。

此挑战扩展到安全性-存在无法充分保护云部署并存在不熟悉云服务的配置细节的风险。许多因素可能导致工作负载和应用程序遭受攻击，包括配置错误，技术使用不当，对云系统进行操作和保护的经验不足，甚至仅仅是开发人员或云工程师的疏忽。云系统的组件以多种方式相互连接，使得潜在的攻击向量难以映射。对于刚开始使用云平台和服务的IT安全人员来说，安全是一项艰巨的任务。

在我们题为“解开云安全威胁的网络”的论文中，我们提供了组织迁移到云或使用云服务时可能面临的威胁和风险的示例。无论是云服务还是平台，我们发现的共同主题是，错误配置仍然是云安全性的主要陷阱之一，影响了订阅云服务的公司和托管在云上的软件的用户。

世界可写的Amazon S3存储库

凭借各种产品，亚马逊网络服务（AWS）已成为云行业的主要参与者。在AWS稳定版中的产品中，Amazon Simple Storage Service（Amazon S3）可能是最受欢迎的产品。Netflix，Reddit和Pinterest等公司正在使用其基础架构。

我们在研究Amazon S3存储桶时看到的一贯趋势是，许多组织将它们放置在世界范围内—一种错误配置，允许未经授权的用户写入存储桶。一个举世闻名的例子涉及《洛杉矶时报》，该杂志以前有一个网络访问控制列表（ACL），该列表被配置为允许对写入其杀人网站的存储桶进行公共写访问。这使攻击者可以在JavaScript代码中添加加密货币矿工。

遥测从趋势科技Akamai的数据收集TM智能防护网络TM架构还表明，对一些具有全球可写的桶网站攻击期间大部分的2019发生了-与涉及的恶意代码注入一些攻击，最终的漏出网站表单中的数据。我们遇到的另一个问题是存储在Amazon S3存储桶中的归类为恶意文件。他们中的许多人都使用旧的路径样式寻址方案。这意味着存储桶使用通用的Amazon S3主机名，而不是虚拟存储方案，在虚拟托管方案中，存储桶的名称包含在主机名中。

这会给安全筛选器带来问题，因为阻止使用路径样式方案的恶意网站的主机名也同样会阻止其他非恶意站点。

云中可用的第二项主要服务是计算，目前这些服务主要用于容器技术。像一般的云细分市场一样，在过去几年中，容器的采用率也很高。Docker，Kubernetes和AWS Lambda之类的软件帮助推动了容器技术的发展，为希望简化其开发操作的组织提供了轻便高效的云部署。但是，配置失误或错误很常见，这会使利用这些错误配置的系统受到攻击的风险。

凭证管理不当

凭据使用尽管经常被忽略，但却是云计算最重要的方面之一。由于组织无法像数据中心一样在物理上保护云系统，因此对强大的凭证安全性的需求甚至变得更大。在保护凭据方面面临的一个挑战是许多流程通常需要访问需要身份验证的数据和其他资源。这意味着用户需要保护数据和凭据免受泄露。

程序员经常犯的一个错误是，他们无意间在GitHub等公共存储库上泄露了凭证信息。有时会在在线发布的代码段中找到诸如API密钥之类的敏感数据，然后攻击者就可以使用这些代码片段来接管凭据所使用的帐户。遭到破坏的帐户可以用于多种恶意目的，例如盗窃客户数据，然后可以在地下出售这些数据。

我们发现的另一个问题是，许多经验不足的程序员经常遵循误导性的云教程，其中许多教程鼓励在代码本身内部对凭证进行硬编码。如果以及何时将代码发布到任何人都可以访问的存储库中，这将成为一个问题。

随着云服务采用率的增长，企业需要充分了解其面临的威胁，并做好适当的准备以保护其云系统。如果没有可靠的安全实施措施，云的好处就无法实现。我们在研究中分析的威胁并未涵盖云中所有潜在的威胁和风险，但其中包括一些最重要的威胁。对于需要了解云的结构以及保护云的策略的IT和安全人员而言，这尤其重要。

阅读我们完整的报告“ 了解云安全威胁的网络 ”，该报告深入研究了我们在此处讨论的威胁，并提供了如何防御这些威胁的建议。

AWS Lambda

AWS Lambdas是无服务器事件驱动的流程，可为应用程序提供轻量级且经济高效的解决方案，而无需设置利用率模式。一个常见的误解是Lambda受攻击者无法直接检索函数名的保护。这种误解通常会导致在没有适当身份验证的情况下执行功能。

但是，攻击者可以通过多种方法找到Lambda，例如，使用嗅探器侦听网络流量，或者通过检查使用Lambda并运行API网关的站点的源代码。如果没有安全的Lambda身份验证，则敏感信息有暴露的危险。

另外，由于开发人员如何编码它们，许多基于Python的Lambda函数在给定不正确的参数时会打印堆栈跟踪，这可能导致攻击者了解Lambda实现的基本知识。