云计算有哪些配置漏洞?使用公有云应该注意什么?
云安全是公有云厂商最着力宣传的卖点之一,但是对于企业用户而言,过于信任和盲从云服务的默认配置是一件非常危险的事情,企业的安全架构师及云安全审核人员需要对云计算初始环境的安全漏洞和配置错误进行全面评估和调优。
以下,我们列举微软Azure云计算环境的TOP20常见账户和配置漏洞(初始默认配置),对企业选择其他类似公有云服务也有一定借鉴意义。
微软 Azure TOP20漏洞快速清单
1.可从Internet访问的存储账户
2.允许不安全转移的存储账户
3.特权用户缺乏多因素身份验证
4.缺少用于加入设备的多因素身份验证
5.免费基础版Azure安全中心缺少很多必要安全功能
6.具有基本DDoS保护的Azure虚拟网络
7.未加密的操作系统和数据磁盘
8.安全中心中缺少电子邮件通知
9.Azure Monitor中缺少日志警报
10.Azure NSG入站规则配置为ANY
11.公共IP地址配置为Basic SKU
12.面向公众的服务使用动态IP地址
13.可匿名读取访问的Blob存储
14.Azure AD中的访客用户数量过大
15.Azure AD中不安全的访客用户设置
16.对Azure AD管理门户的无限制访问
17.Azure身份保护功能默认被禁用
18.Azure Network Watcher默认被禁用
19.并非对所有Web应用程序流量都强制执行HTTPS
20.Azure安全中心中的监视策略
可从互联网访问的存储账户
Azure存储账户的默认设置是允许从任何地方(包括互联网)进行访问。这样的设置自然会带来潜在的未经授权的数据访问、数据泄漏、泄露等风险。
始终采用最小特权原则,并仅从选定的IP地址,网络范围或VNet(Azure虚拟网络)子网限制对每个存储账户的访问。
温馨提示: 需要上述业务或相关服务,请加客服QQ【582059487】或点击网站在线咨询,与我们沟通。
