如今,许多企业都面临网络攻击,这表明云计算安全是一个复杂的云网络安全技术和合同问题。
最近的一次重大云安全事件导致Capital One数据丢失,影响了美国的1亿人和加拿大的600万人。事实上,Capital One并不是唯一一家受到网络攻击的公司。与此同时,黑客佩奇·A·汤普森(Paige A.Thompson)从其他30多家公司、教育机构和其他机构窃取了数TB的数据。
正如被指控的网络攻击谈到AWS配置时所说:“许多公司在安全方面犯了错误。”
那么,这是唯一一家出现严重安全错误的公司吗?不,这不一样。首先,你必须知道一些事情。据调查,Capital One的业务严重依赖亚马逊网络服务(AWS)云计算服务。网络攻击是针对存储在Amazon Simple Storage Service(S3存储桶)中的数据。但是,这不是针对S3 Bucket的攻击,因为防火墙配置不正确,所以没有安全措施。
简而言之,这些违规行为并不是因为公司犯了愚蠢的安全错误,而是因为他们在维护自己的安全方面表现不佳。
由于Capital One的云网络安全技术Web应用程序防火墙(WAF)配置错误,网络攻击(前AWS员工)可能会伪造防火墙并将请求路由到重要的AWS后端资源。攻击者使用服务器端请求伪造(SSRF)攻击来引诱攻击者访问防火墙。
人们以后会看到更多这样的袭击。Cloudflare产品安全团队经理Evan Johnson说:“这个问题非常普遍和众所周知,但很难预防,AWS平台也没有回应或采取缓解措施。”
因此,很明显,很多人可能会指责AWS公共云服务。但正如所谓的攻击者自己谈到AWS配置时所说,许多公司在这方面都犯了错误。Gartner在调查报告中预测:“事实上,95%的云安全故障都是客户的错。”
但一些人,如参议员罗恩·怀登,将数据泄露的大部分责任归咎于AWS。AWS确实需要对此做出解释,但真正的问题是,如果该公司的云网络安全技术及安全措施不好,受到攻击可能会造成严重损失。云服务的规模越大,损失就越大。
正如安全专家Brian Krebs指出的那样,该漏洞不是由以前未知的“零天”缺陷或内部攻击造成的,而是由已知的错误攻击造成的。
但在这一系列的安全灾难中,谁真的犯了云网络安全技术错误或者运维安全错误?是云计算供应商还是使用云服务的公司?答案是他们都有责任。
