根据Accurics的最新报告，伴随托管基础设施的云服务快速增长，“云水坑攻击”呈现爆发式增长。

　　所谓水坑攻击就是黑客利用平台弱点，预先“蹲点埋伏”，向使用平台服务（例如网站等公共网络资源）的最终用户分发恶意软件，未经授权访问其生产环境、数据或完全破坏目标环境。

　　根据报告，在已经发现的所有“云水坑攻击”事件中，有23％针对配置不当的托管服务产品，所谓的配置不当，主要指使用默认安全配置或提供过多权限的错误配置。

　　研究人员指出，在云环境中，水坑攻击可造成更大的破坏，因为托管的云中开发流程暴露于互联网中，而不是像内部环境中的开发流程那样被隐藏在组织内部。

　　当不法分子成功利用云端开发管道中的错误配置时，不仅会给公司造成灾难，还会给客户造成灾难。为缓解此风险，企业应假定整个开发过程都易于被非法访问，并遵循最小化权限原则，将访问权限限制为仅向需要它的用户开放。

　　开发上云已经是不可逆转的趋势，越来越多的团队正在加速采用托管服务，这肯定会提高生产力并提升开发速度。但不幸的是，这些团队的安全意识和能力无法跟上相关的风险——例如使用默认的安全配置文件和过度授权。

　　报告指出：根据历史经验，就像几年前存储桶业务所经历那样，消息服务和FaaS也正进入网络安全问题集中爆发的危险阶段，这些服务的不安全配置将导致更多的违规行为。

　　研究表明，在所有环境中，威胁缓解的平均时间（MTTR）为25天，这给潜在的攻击者留出了极为宽松的时间窗口。MTTR对于云安全来说特别重要，因为它与偏离（drift）有关，当运行时（runtime）的配置发生变更时，会导致云风险状况偏离已建立的安全基准，而偏离安全基准的MTTR约为8天。

　　甚至随着时间的流逝，那些在配置基础设施时已经建立安全基准的组织也会产生偏离，一个广为人知的案例是亚马逊AWS S3存储桶。2015年AWS S3存储桶被添加到云环境时的配置是正确的，但五个月后，为解决问题而进行的配置更改在工作完成后并未正确重置，直到近五年后，这种偏离才被发现并得到解决。

　　云基础架构面临的主要风险：

　　尝试部署基于角色的访问控制（RBAC）的Kubernetes用户往往未能以适当的粒度定义角色。这增加了账户重用和滥用的机会。实际上，有35％的企业和机构在这方面表现糟糕。

　　在Helm图表中，有48％的问题是由不安全的默认值引起的。最常见的错误是对默认名称空间的不正确使用（在其中运行系统组件），这可能使攻击者可以访问系统组件或机密。

　　报告首次在生产环境中发现通过基础结构即代码（IaC）定义的身份和访问管理，并且此报告中检测到的IAM偏离中有超过三分之一（35％）源自IaC。这表明IAM即代码（IAM as Code）正在快速流行，但可能导致角色配置错误的风险。

　　硬编码的机密信息几乎占违规行为的10％，其中23％是因为用户错误配置了托管服务产品。

　　在接受调查的企业中，有10％实际上为从未启用付费购买高级安全功能。

　　虽然修复基础设施配置错误的平均时间约为25天，但基础设施中最关键的部分通常需要花费最多的时间来修复。例如，负载平衡服务平均需要149天的时间才能修复。由于所有面向用户的数据都需要流经负载均衡服务，因此理想情况下，应该优先以最快的速度修复此类资产。

　　总结

　　保护云基础架构需要一种全新的方法，必须在开发生命周期的早期阶段嵌入安全性，并始终保持安全状态。企业需要持续监控云基础设施运行时段配置变更并评估风险。

　　在配置变更带来风险时，必须根据安全基准重新部署云基础架构，这样可以确保意外或恶意进行的任何更改都会被自动覆盖。