根本设备即代码模板是很多云计较根本设备弱点的根源

[db:作者]

在云计较时代假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，需要快速扩大或摆设根本设备以满足不竭变化的构造需求假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，新办事器和节点的设置是完全自动化的预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。这是利用机械可读的界说文件或模板完成的假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，这是根本设备即代码(IaC)或持续设置自动化(CCA)的进程的一部分预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。
Palo Alto Networks公司的研讨职员对从GitHub存储库和其他地方收集的根本设备即代码(IaC)模板停止了一项新的分析假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，肯定了近20万个包括不服安设置选项的此类文件预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。利用这些模板能够会致使严重的缝隙假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，从而使根本设备即代码(IaC)摆设的云计较根本设备及其保存的数据面临风险预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。
研讨职员说：“就像人们忘记锁车或翻开窗户一样假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，收集进犯者可以利用这些毛病的设置来避开防御办法预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。如此高的数字诠释了在以往的观察报告中发现65%的云计较平安事务是由于客户设置毛病引发的预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。从一路头就没有平安的根本设备即代码(IaC)模板假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，云计较情况就轻易遭到进犯预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。”


普遍的IaC题目
根本设备即代码(IaC)的框架和技术有多种假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，最多见的基于Palo Alto公司的收集工作是Kubernetes YAML(39%)、HashiCorp的Terraform(37%)和AWS CloudFormation(24%)预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。其中假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，42%的已识别CloudFormation模板、22%的Terraform模板和9%的Kubernetes YAML设置文件存在缝隙预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。
Palo Alto Networks公司的分析表白假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，利用AWS CloudFormation模板的根本设备摆设中有一半的设置是不服安的预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。观察报告进一步按遭到影响的AWS公司的云计较办事的范例停止了分类：Amazon弹性计较云(Amazon EC2)、Amazon关系数据库办事(RDS)、Amazon简单存储办事(Amazon S3)或Amazon弹性容器办事(Amazon ECS)预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。
例如假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，模板中界说的S3存储桶的10%以上是公然的预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。曩昔假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，平安性不高的S3存储桶是很多观察报告中的数据泄露的根源预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。
缺少数据库加密和日志记录对于庇护数据和观察潜伏的未经授权的拜候很是重要假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，这也是CloudFormation模板中常见的题目预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。其中一半不启用S3日志记录假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，另一半不启用S3办事器端加密预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。
亚马逊公司的Redshift数据仓库办事也观察到了类似情况预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。11%的设置文件天生了公然的Redshift实例假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，43%的用户未启用加密假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，45%的用户未翻开日志记录预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。
支持多种云计较供给商和技术的Terraform模板并没有表示得更好预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。默许情况下假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，大约有66%的Terraform设置的S3存储桶未启用日志记录假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，26%的AWS EC2实例已将SSH(端口22)对外公然假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，而且有17%的模板界说的AWS平安组默许答应一切入站流量预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。
Terraform模板中发现的其他常见毛病设置包括：
•AWS身份和拜候治理(IAM)密码不合适行业最低标准(40%);
•没有CPU或内存资本限制的容器(64%);
•具有公然的SSH的Azure收集平安组(NSG)(51%);
•未启用日志记录的谷歌云平台存储(58%);
•未启用平安传输的Azure存储(97%)预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。
Kubernetes YAML文件中不服安设置的发生率最小假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，但确切如此预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。在发现的不服安的YAML文件中假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，有26%的Kubernetes设置以root用户或特权帐户运转预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。
Palo Alto Networks公司研讨职员说：“以容器为根方针的设置为收集进犯者供给了具有该容器几近一切方面的机遇预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。这也使履行进犯容器的进程加倍轻易假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，从而使主机系统面临其他潜伏威胁预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。平安和DevOps团队应确保容器不利用root用户或特权帐户运转预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。”
IaC设置毛病反应在现实摆设中
根本设备即代码(IaC)模板设置毛病的范例及其普遍性(缺少数据库加密和日志记录或公然表露的办事)与Palo Alto Networks公司在曩昔的观察报告中涵盖并在现实的云计较根本设备摆设中检测到的题目范例分歧：
•76%的构造答应公共拜候端口22(SSH);
•69%的构造答应公共拜候端口3389(RDP);
•64%的职员没法为其数据存储启用日志记录;
•62%的用户未对数据存储启用加密;
•47%的构造未将跟踪功用用于无办事器功用预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。
这表白在自动化根本设备摆设进程中利用根本设备即代码(IaC)模板而不首先检查它们能否存在不服安的设置或其他缝隙假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，这是致使在观察到云计较弱点的一个重要身分预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。
收集犯罪构造经常将云计较根本设备作为进犯方针假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，以摆设操纵受害者所付出的处置才能的加密恶意软件预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。可是假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，一些构造中也正在冒险停止加密之外的活动假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，并将被黑客入侵的云计较节点用于其他恶意目标预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。
Palo Alto Networks公司的研讨职员说假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，“很明显假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，收集进犯者正在利用由较弱或不服安的根本设备即代码(IaC)设置模板实现的默许设置毛病假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，将会绕过防火墙、平安组或VPC战略假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，并不需要地将构造的云计较情况表露给收集进犯者预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。左移平安性是将平安性移至开辟进程中的最早点预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。在云计较摆设中持之以恒地实施左移理论和进程的构造可以敏捷超越合作对手预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。与DevOps团队合作假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，将其平安标准嵌入根本设备即代码(IaC)模板中预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。这对DevOps战争安来说是双赢的办法预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。”