云安全防护指南

关键要点

• 顶级云服务提供商采用实时监控和端到端加密来保护客户隐私，但仍然存在被黑客攻击的风险。
• 公司需要建立应急程序，以便能及时发现并应对安全漏洞。
• 具体应对包括更改密码、管理用户访问、更新访问密钥和确认资源完整性。

云服务商致力于保护客户隐私，阻止未授权用户接入受限制账户，采用实时监控和端到端加密等策略。然而，黑客依然可能突破公共云的防御，意外情况也随时可能发生。云账户可能因凭证泄露、用户终端被攻陷等错误而遭到攻击，坏人可借此获得敏感数据的无限制访问权，甚至可能完全控制账户。因此，各公司必须制定应急措施，用于快速检测并及时响应安全
breaches。

如果安全团队观察到云账户内有未授权活动，或者团队成员怀疑有未授权方接入账户，以下是团队需要采取的步骤：

步骤 1：降低账户受影响程度

发生安全漏洞后，需对公司所有云账户进行应急响应。具体操作如下：

• 更改根用户密码。
  首先，务必更改云账户的根用户密码。这可以增加入侵者访问系统的难度。如果团队成员无法找到根用户密码，请参考云服务提供商的替代方案。你可以访问。

• 轮换根账户和IAM访问密钥。
  接下来，对根账户和及访问管理（IAM）密钥进行轮换和删除。作为安全最佳实践，大多数云服务提供商定期，以缩短密钥的有效期。这可以减少业务影响，降低风险。

• 撤销用户访问权限。
  检查并删除任何可能的未授权 IAM 用户，随后为其他所有 IAM用户更改密码。这能帮助团队找到可能访问系统的疑似用户。定期审查用户访问是必要的，以确保只有授权用户才能访问企业系统。

• 删除不必要的资源。
  删除云账户中团队未创建的任何资源，包括 Amazon Elastic Compute Cloud（EC2）实例、Amazon Machine Images
  (AMIs)、Amazon Elastic Block Store(EBS) 卷和快照，以及 IAM用户。确保团队成员了解自己删除的内容，以免意外删除重要服务。

在此阶段，及时回应云支持中心可能发出的任何通知也是很重要的。

步骤 2：降低用户受到的影响

除了保护公司云账户外，团队还需要保护用户账户。以下是所需步骤：

• 删除未创建的任何 IAM 用户。
  始终保持一个正在运行的清单是一个好主意，尤其是在处理多个账户时。删除任何可能未授权的 IAM 用户，确保对公司系统的访问权限得到适当管理。

步骤 3：降低访问密钥受影响的可能性

最后，应减少对于访问密钥的潜在危害。执行以下两个步骤：

• 更新访问密钥。
  轮换并删除所有不再需要的云访问密钥。如果团队成员发现未使用或未创建的云访问密钥，应将其删除。若某个应用程序正在使用旧的访问密钥，建议换为新的密钥。

• 确认所有资源。
  登录云账户，确认所有资源均为团队所发起，而非黑客所操控。同时检查所有云地区，特别是团队从未启动资源的区域。

最后提示：寻求帮助自动化云安全监控

有效监控、检测并回应云安全事件的挑战日益增大，安全团队无需单打独斗。通过扫描未授权使用、访问和漂移的证据，可以使团队集中精力于修复工作，而非浪费时间监控后台系统的可疑活动。

特别是云漂移已成为数据泄露的主要原因之一，尤其在医疗行业。此问题通常发生在云账户变更后，导致环境与原始状态“漂移”。其原因可能包括资源更改、员工失误以及非人类错误。采取积极的云安全措施能够帮助减轻这些风险