企業遷移到云，好處多多：更大的靈活性、敏捷性、擴展性以及更具成本優勢。但是，公有云基礎設施也會放大安全風險和合規挑戰。近日，Unit 42發布了最新報告《云安全趨勢與提示：確保AWS, Azure以及Google云環境安全的主要體會》，在這個報告中，Unit 42對2018年5月末至9月初這一時間段內新出現的和已經存在的威脅進行了梳理，并提醒企業如何做才能實現風險與效率的最佳平衡。

[[252323]]

報告中主要涉及的話題包括，

· 賬戶攻擊的規模與速度上升：Unit 42 研究顯示，29%的組織面臨潛在的賬戶攻擊風險，27% 允許根用戶活動，41%在最近90天內沒有修改過接入密鑰。憑證攻擊變得更加普遍，組織需要切實加強在監管與接入習慣方面的工作。企業運營應該把賬戶攻擊考慮在內，開展監測工作，以便于快速檢測可疑用戶行為并做出快速響應。

· 合規工作任重而道遠： 數據更能說明問題：32%的組織其云存儲服務至少暴露過一次，49%的數據沒有加密，32%的組織沒有通過GDPR合規驗證，而合規問題則是當今全球運營環境里最為關注的部分。人們很早就知道，風險資源配置會導致大型泄露事件。盡管有跡象表明對云存儲服務的保護相比以前要好很多，但隨著《通用數據保護條例》和《加州消費者隱私法》的有力執行，許多組織在云環境全面合規和監管方面仍舊有相當多的工作要做。

· 挖礦型網絡攻擊漸趨降溫： Unit 42 發現 11%的組織都在其環境里遭受過挖礦攻擊，雖然依舊嚴重，但總比五月份報告的25%要好很多。超過四分之一(26%) 的組織不會限制其出站流量，有28%的組織不會限制接收來自互聯網的入站數據。顯然，加密貨幣的價值在逐漸減小，再加之以更好檢測功能的投入使用，挖礦攻擊日漸減少，給人們提供了一個絕好機會，可以在下一波攻擊到來之前啟用更好的反制措施。

· 漏洞管理，勢在必行：正如今年早些時候，Spectre 和 Meltdown兩個處理器漏洞引起業務崩盤一樣，最近的漏洞包括L1 Terminal Fault 和Apache Struts 2中遠程代碼執行(Remote Code Execution, RCE)缺陷正在影響著Intel處理器的性能，給人們帶來了煩惱：有23% 的組織沒有對云中主機的關鍵補丁進行過修補。云服務提供商通過對基礎設施和服務兩方面升級來提供第一線防御，而客戶則應該識別主機漏洞并對其打補丁，這些如果只使用漏洞掃描工具是不能獨立完成的，因為這些工具的設計不是針對云基礎設施。

· 為容器模式提供保護：無疑容器技術正在被大量采用，有三分之一的組織正在使用原生或者托管的Kubernetes 編排技術，有四分之一的組織使用包括Amazon Elastic Container Service for Kubernetes (EKS) , Google Kubernetes Engine (GKE), 以及Azure Kubernetes Service (AKS) 在內的云托管服務。這類平臺可以幫助開發者更加容易地對容器化應用進行部署、管理和擴展。Unit 42 報告發現，有46% 的組織可以接收來自全部源頭的流量到Kubernetes Pod，有15%的組織不會使用身份識別和訪問管理(Identity and Access Management, IAM)策略來控制對Kubernetes instances的訪問。從這點來看，組織需要采用網絡策略來隔離pod并強制執行訪問控制。

如欲了解更多安全趨勢以及可行性建議來保護您的云環境，敬請點擊以下鏈接下載Unit 42報告《云安全趨勢與提示：確保AWS, Azure以及Google云環境安全的主要體會》

https://researchcenter.paloaltonetworks.com/2018/12/unit-42-cloud-security-trends-tips/