Исследователи призывают к использованию подхода CVE для облачных сервисов

 

В прошлом году несколько исследователей провели тестирование безопасности облачных сервисов Amazon Web Services. Оказалось, что в системе есть проблемы, которые нарушают изоляцию между различными клиентскими сервисами AWS. В частности, это позволило бы злоумышленнику считывать данные в S3-хранилище другого клиента или отправлять данные из своего аккаунта в другой.

Проблемы, которые компания исправила их в начале текущего года, крылись в AWS Config, CloudTrail и AWS Serverless Config. Однако они лишь отражают общую тенденцию — наличие серьёзных проблем с безопасностью облачных сервисов. По мнению исследователей, нужно создать репозиторий по образу CVE, где облачные провайдеры и исследователи могут обмениваться информацией об уязвимостях. Ведь подобные проблемы присущи всей отрасли, а не только сервисам AWS.

Появление такого репозитория обеспечит формальный учёт уязвимостей в облаках и добавит их рейтинги серьёзности, что позволит оценивать приоритетность решения тех или иных проблем. И в этом плане ситуация с AWS показательна. Хотя проблема и была исправлена, настройки многих аккаунтов до сих пор не являются корректными. По данным Verizon, облака уязвимее on-premise систем, но «виноват» в этом в первую очередь человеческий фактор.

В данном случае нюанс в том, что в Amazon назвали найденные проблемы не уязвимостями, а всего лишь вариантами конфигураций, которые одни клиенты используют, а другие — нет. Аналогичные проблемы наблюдаются и у других облачных провайдеров. Исследователи надеются, что создание единой базы ускорит выявления и исправление подобных брешей, поскольку стремительно растущие облачные сервисы становятся всё более комплексными и взаимосвязанными.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER. | Можете написать лучше? Мы всегда рады новым авторам.

Источник:

Постоянный URL: https://servernews.ru/1046494

Комментарии

Система Orphus