日前，Orca Security發布了《2022年公有云安全現狀報告》，對微軟Azure、谷歌云、亞馬遜AWS等全球主流公有云服務的安全狀況進行了調研。研究人員發現，雖然許多企業將云計算應用安全列為其IT建設的優先事項，但仍有許多基本的安全措施沒有得到有效的遵循：78%的已識別攻擊使用了已知漏洞作為初始訪問攻擊向量，71%的用戶仍在使用公有云服務商提供的默認業務帳號，62%的云上容器服務仍然由過時版本的Kubernetes編排運行。

報告關鍵發現

• “皇冠上的寶石”觸手可及。調查發現，公有云上數據資產的非法訪問平均只需要3步就可以實現，這意味著攻擊者只需要在公有云環境中找到三個相互連接的可利用的缺陷就可以竊取數據或勒索組織；
• 云原生安全服務有待完善。云原生服務比虛擬化應用很容易啟用，但它們必須要得到充分的安全維護和正確的配置。數據顯示，70%的企業在公有云應用時，存在可公開訪問的Kubernetes API服務器和相關應用；
• 漏洞是目前公有云安全事件中最主要的初始攻擊向量。78%的已識別攻擊路徑使用了已知漏洞（CVE）作為初始訪問攻擊向量，這突出表明企業需要更加優先考慮加強漏洞管理；
• 云上存儲資產安全性不足：在大多數共有云環境中都可以找到可公開訪問的S3存儲桶和Azure blob存儲資產，這是一種極易被攻擊者利用的違規配置，也是許多云上數據泄露的原因；
• 基本的安全實踐沒有得到遵循：公有云上的許多基本安全措施，如多因素身份驗證（MFA）、加密、強密碼和端口安全性等，仍然沒有得到有效的應用。

脆弱性管理形勢嚴峻

每天都有大量的安全漏洞被發現，很多企業組織難以跟上漏洞修復的節奏。許多組織在修補新發現的漏洞方面明顯落后，有些組織甚至還沒有解決已經存在很久的安全漏洞： 

• 10%的受訪企業還存在10年以上的已披露漏洞； 
• 受訪企業中有11%的網絡資產處于不受監管的狀態，這意味著一些IT系統資產使用了不受支持的操作系統（如CentOS 6、Linux 32位或Windows Server 2012）；
• 7%的受訪組織擁有面向互聯網的開放端口。這對公有云應用而言非常危險，因為攻擊者會不斷掃描開放端口和已知漏洞，這意味著安全災難隨時可能發生；
• 令人震驚的是，78%的已識別攻擊路徑使用已知漏洞作為初始訪問攻擊向量。

從以上數據可以發現，組織應該投入更多精力來管理漏洞。這通常不是運行更新的簡單問題，漏洞補丁需要嚴格的測試，以確保更新不會造成更多、更嚴重的問題。組織必須了解哪些漏洞構成了通往公司“皇冠上的寶石”的危險攻擊路徑，需要深入而廣泛地了解云工作負載、配置和識別風險，以及如何組合這些風險。通過這種方式，企業安全團隊才可以專注于優先修復那些最危險的漏洞。

未實現最小權限原則

身份和訪問管理的關鍵要求是堅持最小權限原則（PoLP），但是報告研究發現，許多企業在公有云環境應用中，仍然缺乏足夠PoLP措施：

• 報告發現，在44%的企業公有云應用中，至少有一個特權身份訪問管理角色。如果攻擊者獲得了特權憑據，他們不僅獲得了對系統的訪問權，而且還難以被及時發現。對特權訪問進行合理限制可以大大減少公有云應用的攻擊面；
• 71%的用戶仍在使用公有云服務商提供的默認業務帳號。這樣做并不安全，因為默認情況下，此帳戶會給予使用者Editor權限，這與PoLP的防護要求并不一致；
• 在42%被掃描的共有云資產中，管理權限被授予了超過50%的企業用戶。這表明公有云上的特權濫用情況非常普遍。

云配置錯誤大量存在

Gartner在其《2021年云安全炒作周期》中預測，到2025年，超過99%的云上數據泄露會源于終端用戶可預防的錯誤配置或錯誤。首席信息官們必須改變他們的安全建設思維方式，從“云計算安全嗎?”到“我是否在安全地使用云？”。從本次報告研究來看，再次印證了這一預測觀點：

• 8%的用戶配置了帶有公共訪問策略的KMS密鑰。這將為惡意行為者創建一個容易實現的攻擊載體；
• 51%的企業擁有谷歌存儲桶，但沒有統一的訪問管理。如果訪問級別不統一，則存儲桶的訪問既可以通過訪問控制列表（ACL）控制，也可以通過IAM控制。這樣容易出現錯誤配置，如果被惡意利用，可能會允許攻擊者橫向移動和權限升級；
• 77%的組織至少有一個RDS數據庫實例使用默認端口，其中42%是面向互聯網的。企業應該及時更改RDS數據庫的端口，因為如果潛在的攻擊者知道企業正在使用哪些端口，那么嗅探測試就會容易得多。

云原生安全仍不完善

容器、Kubernetes和無服務器等云原生服務在應用時要比虛擬機更加輕量、便捷，使用的資源更少，運行成本更低。但是，云原生應用需要得到有效的安全維護，以確保不存在可能危及云環境的潛在漏洞或錯誤配置。本次調研發現： 

• 62%的容器仍然由過時版本Kubernetes編排運行； 
• 69%的組織至少有一個無服務器函數暴露環境變量中的隱私信息； 
• 16%的容器處于被無監管狀態，這意味著它們使用不受支持的操作系統，或者已經長期沒有補丁更新。

參考鏈接：??https://orca.security/resources/blog/state-public-cloud-top-critical-cloud-security-gaps/??