차례:
비디오: Nhạc Piano Êm Dịu Và Hay Nhất - “Always” sáng tác bởi Peder B. Helland (십월 2024)
SANS Institute의 2019 Cloud Security Survey는 냉정합니다 (읽기 위해서는 무료 회원 가입이 필요합니다). 2019 년 4 월 Dave Shackleford에 의해 작성된이 보고서는 실망스러운 사실과 수치를 보여줍니다. 예를 들어, 최근의 모든 위반 보고서 후에 클라우드 리소스를 보호하는 것이 더 나을 것이라고 생각할 것입니다. 그러나 우리는 여전히 그것에 대해 꽤 나쁠뿐만 아니라 큰 문제는 기술조차도 아닙니다. 여전히 사람들입니다. 계정 또는 자격 증명 하이재킹으로 시작하여 클라우드 서비스 및 리소스를 잘못 구성한 두 번째 이유는 보고서의 주요 공격 유형 목록에 명확하게 표시됩니다.
물론 자격 증명을 도용 할 수있는 여러 가지 방법이 있습니다. 피싱은 단순히 최신 버전이거나 경우에 따라 처리하기 가장 어려운 방법입니다. 그러나 사람들이 필요한 정보를 더 이상 기억하지 못하도록 동일한 자격 증명을 재사용 할 수 있기 때문에 다른 침입 데이터에서 자격 증명을 수집 할 수도 있습니다. 또한, 스티커 메모에 로그인 정보를 작성하고 키보드 옆에 붙여 넣는 오랜 전통이 여전히 남아 있습니다.
클라우드 서비스의 잘못된 구성은 사람들이 취약한 또 다른 영역입니다. 여기서 차이점은 사람들은 자신이하고있는 일을 전혀 모른 채 클라우드 서비스를 시작한 다음이를 보호하지 않고 데이터를 저장하는 데 사용한다는 점입니다.
Sprunger는“먼저 클라우드 도입에서 클라우드를 세우는 것이 얼마나 쉬운 지에 대한 비현실적인 기대가있었습니다. "사람들은 실수를 저지르며, 컨테이너에 대한 보안을 정의하기 위해 무엇을해야하는지 명확하지 않습니다."
보안의 모호함은 좋지 않습니다
문제의 일부는 클라우드 공급자가 보안 옵션이 작동하는 방식을 설명하는 적절한 작업을 수행하지 않는다는 것입니다 (최근에 IaaS (Infrastructure-as-a-Service) 또는 IaaS 솔루션을 검토 할 때 알게 됨), 추측하거나 전화해야합니다 도움을받는 공급 업체. 예를 들어 많은 클라우드 서비스에서 방화벽을 켤 수 있습니다. 그러나 일단 실행되면 구성하는 방법을 찾는 것은 명확하게 설명되지 않을 수 있습니다. 조금도.
SANS 보고서의 작성자 인 Shackleford가 보호되지 않은 Amazon Simple Storage Service (S3) 버킷 목록으로 보고서를 시작하여이 문제가 발생하여 문제가 발생했습니다. "이 수치를 믿으려면 S3 버킷의 7 %가 전 세계에 널리 개방되어 있고 다른 35 %는 암호화 (서비스에 내장 된)를 사용하지 않습니다." 테스트 결과에 따라 Amazon S3는 훌륭한 스토리지 플랫폼입니다. 이와 같은 문제는 단순히 사용자가 서비스를 잘못 구성했거나 특정 기능이 존재하는지 완전히 알지 못하기 때문에 발생합니다.
특권 사용 남용은이 목록에 있으며 사람들로부터 발생하는 또 다른 문제입니다. Sprunger는 직원이 포함되어 있지만 불만을 품은 직원 이상이라고 말했습니다. "권리를 가진 제 3자가 놓친 부분이 많다"고 설명했다. "서비스 계정 액세스를 훨씬 쉽게 수행 할 수 있습니다. 일반적으로 암호가 하나 인 단일 계정이므로 책임이 없습니다."
서비스 계정은 일반적으로 지원 또는 서비스를 제공하기 위해 액세스해야하는 공급 업체 또는 계약 업체 인 타사를 위해 제공됩니다. Sprunger는 "HVAC (Heating, Ventilation, Air Conditioning) 계약자 (HVAC) 계약자에 속하는 서비스 계정으로 2014 년에 목표 위반으로 이어질 수있는 약점이었습니다." 공격자의 주요 대상.
보안 취약점 극복
그렇다면이 취약점들에 대해 어떻게해야합니까? 짧은 대답은 훈련이지만 그보다 더 복잡합니다. 예를 들어, 사용자는 피싱 이메일을 찾도록 교육을 받아야하며, 피싱의 미묘한 징후조차도 인식 할 수있을 정도로 교육이 완료되어야합니다. 또한 직원들이 그러한 공격을보고 있다고 의심되는 경우 취해야 할 조치도 포함해야합니다. 여기에는 전자 메일의 링크가 실제로 어디로 가는지 확인하는 방법이 포함되지만 이러한 전자 메일을보고하는 절차도 포함되어야합니다. 교육에는 의심스러워 보이는 전자 메일로 지시를받지 못한 데 어려움을 겪지 않을 것이라는 믿음이 포함되어야합니다.
마찬가지로, 임의의 직원이 외출하거나 자체 클라우드 서비스 계정을 설정하지 않도록 일정 수준의 기업 지배 구조가 필요합니다. 여기에는 개인 신용 카드로 클라우드 서비스 요금에 대한 경비 보고서 바우처 시청이 포함됩니다. 그러나 이는 클라우드 서비스의 가용성을 다루는 방법에 대한 교육을 제공해야 함을 의미합니다.
권한있는 사용자 학대 처리
일부 공급 업체는 광범위한 권한으로 액세스를 요구하기 때문에 권한있는 사용자 악용을 다루는 것도 어려울 수 있습니다. 네트워크를 세그먼트 화하여이 중 일부를 처리 할 수 있으므로 액세스는 관리중인 서비스에만 액세스 할 수 있습니다. 예를 들어 HVAC 컨트롤러가 자체 세그먼트에 있도록 세그먼트를 분할하고 해당 시스템을 유지 관리하는 공급 업체는 네트워크의 해당 부분에만 액세스 할 수 있습니다. 이를 달성하는 데 도움이 될 수있는 또 다른 방법은 강력한 ID 관리 (IDM) 시스템을 배포하는 것입니다.이 시스템은 계정을 더 잘 추적 할뿐만 아니라 누가 계정과 액세스 권한을 가지고 있는지를 추적합니다. 이러한 시스템을 사용하면 액세스를보다 신속하게 일시 중지하고 계정 활동에 대한 감사 내역을 제공 할 수 있습니다. 그리고 한 번에 큰 돈을 쓸 수는 있지만 Microsoft AD (Active Directory) 트리가 활성화 된 Windows Server 상점이라면 이미 한 번 돈을 버는 것입니다.
- 2019 년 최고의 보안 제품군 2019 년 최고의 보안 제품군
- 2019 년 최고의 비즈니스 클라우드 스토리지 및 파일 공유 제공자 2019 년 최고의 비즈니스 클라우드 스토리지 및 파일 공유 제공자
- 2019 년 최고의 비즈니스 용 클라우드 백업 서비스 2019 년 최고의 비즈니스 용 클라우드 백업 서비스
또한 공급 업체가 최소 권한으로 액세스 권한을 부여하여 자신의 계정이 관리하고있는 소프트웨어 나 어플라이언스에 대한 권한 만 부여하고 IDM 시스템을 많이 사용하는 것만 허용해야합니다. 그들에게 다른 것에 대한 임시 접근을 요구할 수 있습니다.
이것들은 상당히 긴 보안 문제 목록에서 상위 몇 가지 항목에 불과하며, SANS 보안 설문 보고서 전체를 읽어 볼 가치가 있습니다. 이 목록은 보안 취약점에 접근하는 방법에 대한 로드맵을 제공하며 취할 수있는 더 많은 단계를 실현하는 데 도움이됩니다. 그러나 결론은 SANS가보고 한 문제에 대해 아무 것도하지 않으면 클라우드 보안에 악영향을 미치게되고 클라우드가 본격적으로 확장되면서 클라우드 소용돌이에 휩싸 일 수 있습니다 위반.
