云计算具备速度、可伸缩性和创新等优点。然而，对云计算日益增长的依赖改变了威胁格局，并产生了大量的脆弱点。由公开暴露、存在严重漏洞和权限过高构成的云工作负载“三重毒性”，也代表着最普遍、最危险的威胁。

根据Tenable《2024年云风险报告》，38%的企业至少拥有一个符合此描述的工作负载。接下来，我们深入将探讨为何这种毒性组合如此普遍，它们在实践中的实际含义，以及安全团队如何缓解这些风险。

“三重毒性云”是指满足以下三个高风险条件的任何云工作负载：

公开暴露：可从互联网访问，非常容易被发现。

极度脆弱：包含已知的漏洞，通常已有可利用的攻击方式。

高度特权：在云环境中具有管理或广泛的权限。

这些风险中的每一个都会造成严重后果。结合起来，更是为攻击者创造了“黄金门票”：易于访问，已知的利用路径以及用于横向移动或窃取数据的提升权限。

虽然“三重毒性云”没有单一的根本原因，但以下几个系统性问题尤为突出：

凭证泛滥：许多企业仍然依赖于长期访问密钥来实现自动化或开发人员访问。这些密钥中有很大一部分被过度使用和过度授权。

过度授权的身份：太多的云身份（无论是人还是机器）拥有广泛且通常不必要的权限。根据Tenable的报告，超过五分之一的身份具有高严重性权限级别。

可见性差距：资源的所有者是谁、它接触什么数据、或者它是否仍在使用中，这些信息并不总是清晰的。缺乏统一的可见性，风险就可能被忽视。

运维权衡：在云环境中，速度往往胜过安全性。特权容器、公共S3桶和开放的Kubernetes api都很常见，因为它们可以快速设置，但难以大规模监控。

需要强调的是，这些风险的潜在影响绝不局限于云工程师或安全分析师。当暴露的工作负载遭受攻击时，业务用户、一线员工或客户往往也会直接受损，具体表现为数据泄露、服务中断或声誉受损。这意味着安全的云基础设施必须服务于所有人，包括那些不完全了解其工作原理的人员。任何员工都不应在高效工作与安全工作之间被迫做出选择。

对抗有毒云三部曲始于更好的优先级，而不是更多的警报。实施以下五个策略，你可以提前应对这些风险。

1.寻找风险组合，而不仅仅是单个缺陷

一个单独的CVE（公共漏洞枚举）本身并不总是意味着紧急问题。然而，当一个关键的CVE出现在公共且过度授权的工作负载上时，这就成为了当务之急。企业及其合作的云安全公司应专注于修复这些叠加的风险因素，而非逐一处理每一个单独的配置错误。

2.审查和清理访问密钥

长期存在的凭证是一个严重的威胁，尤其是在权限过于宽泛的情况下。近期未使用的密钥，特别是那些具有管理员权限的密钥，应该被标记、轮换或删除。即时（JIT）访问模型可以在需要时强制执行临时的、可审计的访问。

3.缩小公共攻击面

并非每个资源都需要公开访问。定期结合数据敏感性对面向公众的资产进行审查，有助于识别那些不必要的公开资源。而当确实需要公共访问时，IP白名单、多因素认证（MFA）和Web应用防火墙（WAF）等安全防护措施应成为标准配置。

4.加强Kubernetes和容器控制

由于其编排能力，配置错误的Kubernetes环境尤其危险。企业应该寻找:

公开的API服务器（根据Tenable报告，在78%的环境中存在这个问题）

享有特权的容器

集群管理角色绑定

匿名访问Kubelet

在可能的情况下，使用细粒度的基于角色的访问控制（RBAC）、命名空间隔离和CIS基准来指导配置。

5. 让安全在整个组织内易于理解

所有安全决策必须是透明且可解释的，不仅仅是在仪表盘中，还要使用业务团队和技术团队都能理解并据此行动的语言。无论是帮助开发人员理解权限范围，还是向高管提供关于减少“毒性”工作负载的清晰指标，沟通都至关重要。

参考链接：

https://informationsecuritybuzz.com/mitigating-the-toxic-cloud-trilogy-to-empower-everyone-from-the-most-to-the-least-tech-savvy/