別讓“配置錯(cuò)誤”毀了你的云安全！送你7個(gè)安全錦囊

由于管理員忘記打開(kāi)基本的安全控制功能，導(dǎo)致人為錯(cuò)誤，是云端數(shù)據(jù)泄露的主要原因之一。無(wú)論你使用的是亞馬遜網(wǎng)絡(luò)服務(wù)、微軟Azure還是谷歌云平臺(tái)，請(qǐng)記住本文介紹的這些規(guī)則以保護(hù)企業(yè)的云工作負(fù)載。

某一天，由于基于云的系統(tǒng)配置錯(cuò)誤，又發(fā)生了一起數(shù)據(jù)泄露事件。今年夏天，臭名昭著的Capital One泄露事件就是最突出的一個(gè)例子。該泄露事件是由一個(gè)配置錯(cuò)誤的開(kāi)源Web應(yīng)用防火墻(WAF)造成的，這家金融服務(wù)公司在其托管在亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)上的業(yè)務(wù)中使用了WAF。

配置錯(cuò)誤的WAF顯然被允許列出所有AWS數(shù)據(jù)存儲(chǔ)桶中的所有文件，并允許讀取每個(gè)文件的內(nèi)容。據(jù)安全博客Krebs稱，這一錯(cuò)誤的配置使得入侵者能夠欺騙防火墻，把請(qǐng)求轉(zhuǎn)發(fā)到AWS上的一個(gè)關(guān)鍵后端資源上。博文解釋說(shuō)，該資源“負(fù)責(zé)向云服務(wù)器分發(fā)臨時(shí)信息，包括從安全服務(wù)發(fā)送的當(dāng)前證書(shū)，用于訪問(wèn)該服務(wù)器可以訪問(wèn)的云中的任何資源”。

此次泄露事件影響了大約1億美國(guó)公民，大約14萬(wàn)個(gè)社會(huì)保險(xiǎn)號(hào)碼和8萬(wàn)個(gè)銀行賬戶號(hào)碼被盜，最終可能導(dǎo)致Capital One損失高達(dá)1.5億美元。

讓我們來(lái)看看為什么錯(cuò)誤配置仍然是云服務(wù)的常見(jiàn)挑戰(zhàn)，然后介紹用來(lái)降低風(fēng)險(xiǎn)的7種云安全控制舉措。

錯(cuò)誤配置很嚴(yán)重，而且可能會(huì)越來(lái)越糟

那么，云系統(tǒng)配置錯(cuò)誤的問(wèn)題有多嚴(yán)重呢?Gartner曾經(jīng)做過(guò)估計(jì)：到2022年，至少95%的云安全故障都是由客戶造成的，原因是錯(cuò)誤配置和管理不善。

Gartner稱：“挑戰(zhàn)不在于云本身的安全性，而在于安全方面的政策和技術(shù)，以及對(duì)技術(shù)的控制。在幾乎所有情況下，是用戶而不是云提供商未能管理好用于保護(hù)企業(yè)數(shù)據(jù)的控件，首席信息官的問(wèn)題不應(yīng)該是‘云是否安全?’，而是‘我是否安全地在使用云?’”

有很多因素導(dǎo)致并加劇了配置錯(cuò)誤的問(wèn)題。

誤解和假設(shè)。人們常常認(rèn)為是由云服務(wù)供應(yīng)商負(fù)責(zé)云環(huán)境的安全，不完全是這樣。亞馬遜、微軟和谷歌等基礎(chǔ)設(shè)施即服務(wù)(IaaS)提供商負(fù)責(zé)其物理數(shù)據(jù)中心和運(yùn)行虛擬機(jī)的服務(wù)器硬件的安全?？蛻魟t負(fù)責(zé)保護(hù)其虛擬機(jī)和應(yīng)用程序的安全。云供應(yīng)商提供了安全服務(wù)和工具來(lái)保證客戶工作負(fù)載的安全，而實(shí)際是由客戶的管理員去實(shí)施必要的防護(hù)措施。如果客戶不能保護(hù)他們自己的網(wǎng)絡(luò)、用戶和應(yīng)用程序，云供應(yīng)商提供再多的安全防御措施也是徒勞。

常識(shí)與現(xiàn)實(shí)的脫節(jié)。2019年9月，McAfee公司對(duì)11個(gè)國(guó)家1000家企業(yè)進(jìn)行的調(diào)查發(fā)現(xiàn)，在IaaS環(huán)境中發(fā)生了很多泄露事件，這些事件不同于人們熟悉的“惡意軟件滲透”方法。在大多數(shù)情況下，這類泄露事件“是對(duì)云環(huán)境配置錯(cuò)誤所留下的數(shù)據(jù)進(jìn)行的機(jī)會(huì)性攻擊。”

在調(diào)查的同時(shí)，McAfee還檢查了數(shù)百萬(wàn)云用戶和數(shù)十億事件中客戶匿名的、匯總的事件數(shù)據(jù)。數(shù)據(jù)顯示，使用IaaS環(huán)境的企業(yè)意識(shí)到了有錯(cuò)誤配置，但更多的是那些沒(méi)有引起他們注意的錯(cuò)誤配置，這之間存在著巨大差距。調(diào)查對(duì)象表示，他們平均每月能發(fā)現(xiàn)37起錯(cuò)誤配置事件，但McAfee的客戶數(shù)據(jù)顯示，這些企業(yè)每月實(shí)際發(fā)生大約3500起錯(cuò)誤配置事件，每年同比增長(zhǎng)54%。換句話說(shuō)，根據(jù)McAfee的數(shù)據(jù)，企業(yè)IaaS環(huán)境中99%的錯(cuò)誤配置都沒(méi)有被發(fā)現(xiàn)。

有很多工具能夠發(fā)現(xiàn)并利用配置錯(cuò)誤的云服務(wù)。據(jù)賽門鐵克2019年的《互聯(lián)網(wǎng)威脅報(bào)告》，2018年，AWS S3存儲(chǔ)桶成為很多企業(yè)的致命弱點(diǎn)，7000多萬(wàn)條記錄因配置不當(dāng)而被盜或者泄露。潛在的攻擊者可以利用大量的工具，發(fā)現(xiàn)互聯(lián)網(wǎng)上配置錯(cuò)誤的云資源。除非企業(yè)采取措施來(lái)適當(dāng)?shù)乇Ｗo(hù)他們的云資源，比如按照亞馬遜的建議來(lái)保護(hù)S3存儲(chǔ)桶，否則他們將很容易受到攻擊。

越來(lái)越復(fù)雜的企業(yè)IT環(huán)境。McAfee指出，企業(yè)越來(lái)越多地采用多云環(huán)境，再加上對(duì)企業(yè)所有正在使用的云服務(wù)缺乏全面的認(rèn)識(shí)，這加劇了配置錯(cuò)誤的問(wèn)題。在最近的研究中，76%的企業(yè)報(bào)告稱采用了多云環(huán)境，但一項(xiàng)對(duì)客戶數(shù)據(jù)的檢查發(fā)現(xiàn)，實(shí)際上這些環(huán)境中有92%是多云的，每年同比增長(zhǎng)18%。

雖然多云環(huán)境具有優(yōu)勢(shì)，但在監(jiān)管、管理和控制方面非常復(fù)雜。McAfee的產(chǎn)品營(yíng)銷總監(jiān)Dan Flaherty評(píng)論說(shuō)：“負(fù)責(zé)IaaS平臺(tái)數(shù)據(jù)安全的安全從業(yè)人員一直非常忙碌，他們沒(méi)有一種自動(dòng)化的方法來(lái)監(jiān)視并自動(dòng)糾正所有云服務(wù)中的錯(cuò)誤配置。”

此外，在不斷增長(zhǎng)的IaaS市場(chǎng)上，激烈的競(jìng)爭(zhēng)促使亞馬遜、微軟和谷歌都在各自的產(chǎn)品中添加了新功能。云安全聯(lián)盟全球研究副總裁John Yeoh指出：“僅AWS今年就增加了大約1800項(xiàng)功能，而其推出的第一年只有大約28項(xiàng)功能。”因此，對(duì)于安全從業(yè)人員來(lái)說(shuō)，跟上新特性和功能的快速發(fā)展是很大的挑戰(zhàn)，而這反過(guò)來(lái)又會(huì)導(dǎo)致錯(cuò)誤的配置。Yeoh說(shuō)：“在復(fù)雜的多云環(huán)境中，所使用的每一個(gè)平臺(tái)或者服務(wù)都應(yīng)該有相應(yīng)的專家，以確保采取了適當(dāng)?shù)陌踩胧?rdquo;

CloudKnox安全公司首席執(zhí)行官Balaji Parimi指出，此外，云技術(shù)最近不斷進(jìn)步，例如，無(wú)服務(wù)器應(yīng)用程序和架構(gòu)、K8s容器化的工作負(fù)載和服務(wù)，以及越來(lái)越多地使用連接各種云服務(wù)的應(yīng)用程序編程接口(API)，等等，如果不采取預(yù)防措施，也沒(méi)有持續(xù)監(jiān)視和調(diào)整訪問(wèn)權(quán)限，那么，錯(cuò)誤配置的可能性會(huì)非常高。他補(bǔ)充道，“人們還只是剛剛開(kāi)始了解這些新的云技術(shù)和趨勢(shì)非常危險(xiǎn)的一面。他們往往根據(jù)靜態(tài)角色和有關(guān)訪問(wèn)權(quán)限的假設(shè)，將數(shù)十年前的安全方法應(yīng)用于這些新技術(shù)。”

Yeoh指出，關(guān)鍵是：越來(lái)越復(fù)雜的IT環(huán)境使得在整個(gè)環(huán)境中很難實(shí)現(xiàn)簡(jiǎn)單的安全控制措施，而這些措施有助于發(fā)現(xiàn)并防止錯(cuò)誤配置問(wèn)題。

以下介紹的是企業(yè)應(yīng)采用的7種云安全控制舉措。

1.明了你要負(fù)責(zé)什么

所有云服務(wù)都不盡相同，要負(fù)的責(zé)任也有所不同。軟件即服務(wù)(SaaS)供應(yīng)商會(huì)確保他們的應(yīng)用程序受到保護(hù)，數(shù)據(jù)被安全地傳輸和存儲(chǔ)，而IaaS環(huán)境并非總是如此。例如，企業(yè)應(yīng)完全負(fù)責(zé)其AWS彈性計(jì)算云(EC2)、亞馬遜EBS和亞馬遜虛擬私有云(VPC)實(shí)例，包括配置操作系統(tǒng)、管理應(yīng)用程序、保護(hù)數(shù)據(jù)等。

相反，亞馬遜維護(hù)S3的操作系統(tǒng)和應(yīng)用程序，而企業(yè)負(fù)責(zé)管理數(shù)據(jù)、訪問(wèn)控制和身份識(shí)別策略。亞馬遜提供了為S3數(shù)據(jù)加密的工具，但這取決于企業(yè)在進(jìn)入和離開(kāi)服務(wù)器時(shí)是否啟用了保護(hù)功能。

應(yīng)與IaaS供應(yīng)商仔細(xì)核實(shí)誰(shuí)負(fù)責(zé)每一項(xiàng)云安全控制措施。

2.控制誰(shuí)有權(quán)訪問(wèn)

企業(yè)應(yīng)控制好誰(shuí)可以使用他們的云服務(wù)。例如，根據(jù)Redlock云安全情報(bào)(CSI)部門2018年5月的研究，超過(guò)一半(51%)的企業(yè)意外地暴露了至少一項(xiàng)云存儲(chǔ)服務(wù)，例如，AWS S3存儲(chǔ)驅(qū)動(dòng)器。盡管亞馬遜和其他云提供商都警告說(shuō)，應(yīng)避免任何有互聯(lián)網(wǎng)連接的人訪問(wèn)存儲(chǔ)驅(qū)動(dòng)器內(nèi)容。

一般而言，只有負(fù)載均衡器和防護(hù)主機(jī)能夠直接出現(xiàn)在互聯(lián)網(wǎng)上。很多管理員在公共子網(wǎng)中使用0.0.0.0/0，錯(cuò)誤地啟用了服務(wù)器的全局權(quán)限。連接完全放開(kāi)了，每臺(tái)計(jì)算機(jī)都能夠進(jìn)行連接。

另一個(gè)常見(jiàn)的錯(cuò)誤是，允許從互聯(lián)網(wǎng)直接進(jìn)行安全Shell(SSH)連接，這意味著任何能找到服務(wù)器地址的人都可以繞過(guò)防火墻，直接訪問(wèn)數(shù)據(jù)。2019年，Palo Alto網(wǎng)絡(luò)公司42威脅研究部在公有云中搜索暴露的服務(wù)。在發(fā)現(xiàn)的暴露主機(jī)和服務(wù)中，有32%提供了開(kāi)放的SSH服務(wù)。報(bào)告指出：“盡管SSH是最安全的一種協(xié)議，但將這項(xiàng)強(qiáng)大的服務(wù)暴露給整個(gè)互聯(lián)網(wǎng)還是太危險(xiǎn)了。任何錯(cuò)誤配置或者存在漏洞/泄漏的證書(shū)都可能導(dǎo)致主機(jī)被攻破。”

主要云供應(yīng)商都會(huì)提供身份識(shí)別和訪問(wèn)控制工具，請(qǐng)使用它們，應(yīng)知道誰(shuí)在何時(shí)訪問(wèn)了哪些數(shù)據(jù)。在創(chuàng)建身份識(shí)別和訪問(wèn)控制策略時(shí)，把最高權(quán)限限制在最小范圍內(nèi)，只在需要時(shí)臨時(shí)授予額外權(quán)限。盡可能把安全組配置為最窄安全權(quán)限，并在可能的情況下使用參考安全組ID?？紤]使用CloudKnox之類的工具，這些工具支持企業(yè)根據(jù)用戶活動(dòng)數(shù)據(jù)設(shè)置訪問(wèn)控制權(quán)限。

3.保護(hù)數(shù)據(jù)

另一常見(jiàn)的錯(cuò)誤是數(shù)據(jù)沒(méi)有經(jīng)過(guò)加密便放在了云上。選民信息和敏感的五角大樓文件之所以被泄露，是因?yàn)閿?shù)據(jù)沒(méi)有被加密，未授權(quán)方也能夠訪問(wèn)服務(wù)器。把敏感數(shù)據(jù)存儲(chǔ)在云中而沒(méi)有對(duì)服務(wù)器的訪問(wèn)進(jìn)行適當(dāng)控制，以便保護(hù)數(shù)據(jù)，這樣做是不負(fù)責(zé)任的，也是危險(xiǎn)的。

盡可能控制好加密密鑰。雖然可以讓云服務(wù)供應(yīng)商提供訪問(wèn)密鑰，但保護(hù)數(shù)據(jù)的責(zé)任在于企業(yè)。

即使云供應(yīng)商提供了加密工具和管理服務(wù)，很多企業(yè)實(shí)際上并沒(méi)有使用。加密是一種安全保障措施——即使安全配置失敗，數(shù)據(jù)落入未授權(quán)方的手中，他們也不能使用數(shù)據(jù)。

4.保護(hù)證書(shū)

正如2017年OneLogin泄露事件所展示的，AWS訪問(wèn)密鑰被泄露的情況并不少見(jiàn)。這些密鑰會(huì)出現(xiàn)在公共網(wǎng)站、源代碼庫(kù)、未受保護(hù)的K8s儀表板，以及其他一些論壇上。把AWS訪問(wèn)密鑰視為最敏感的寶貴資產(chǎn)，教育開(kāi)發(fā)人員避免在公共論壇中泄露此類密鑰。

為每一個(gè)外部服務(wù)創(chuàng)建唯一的密鑰，并遵循最小特權(quán)原則限制對(duì)其訪問(wèn)，確保密鑰沒(méi)有太多的訪問(wèn)權(quán)限。密鑰如果落在犯罪分子手中，可以用來(lái)訪問(wèn)敏感資源和數(shù)據(jù)。創(chuàng)建IAM角色來(lái)分配特殊特權(quán)，例如進(jìn)行API調(diào)用。

務(wù)必定期輪換密鑰，以避免攻擊者有時(shí)間截獲被攻破的密鑰，冒充特權(quán)用戶滲透到云環(huán)境中。

不要使用root用戶賬戶，即使是要用于管理任務(wù)。使用root用戶來(lái)創(chuàng)建具有指定權(quán)限的新用戶。鎖定root賬戶(可以通過(guò)添加多重身份驗(yàn)證來(lái)實(shí)現(xiàn))，僅用于具體的賬戶和服務(wù)管理任務(wù)。對(duì)于其他的賬戶，為用戶提供適當(dāng)?shù)臋?quán)限。

檢查用戶賬戶，查找那些未被使用的賬戶，并禁用它們。如果沒(méi)有人使用這些賬戶，何必給攻擊者留下攻擊的后門呢。

5.保證環(huán)境安全仍然很重要

對(duì)于云環(huán)境防護(hù)，深層防御尤其重要，因?yàn)榧词挂豁?xiàng)控制措施失敗了，也會(huì)有其他安全措施保持應(yīng)用程序、網(wǎng)絡(luò)和數(shù)據(jù)的安全。

MFA在用戶名和密碼的基礎(chǔ)上提供了額外的保護(hù)層，使得攻擊者很難攻入。應(yīng)啟用MFA，限制對(duì)管理控制臺(tái)、儀表板和特權(quán)帳戶的訪問(wèn)。

6.深度監(jiān)視

主要云供應(yīng)商都提供某種級(jí)別的日志記錄工具，因此一定要啟用安全日志記錄和監(jiān)視功能，看看是否有未經(jīng)授權(quán)的訪問(wèn)和其他問(wèn)題。例如，亞馬遜為審查AWS環(huán)境提供了CloudTrail，但很多企業(yè)并沒(méi)有使用該服務(wù)。當(dāng)啟用后，CloudTrail會(huì)記錄所有AWS API調(diào)用的歷史，包括API調(diào)用者的身份、調(diào)用的時(shí)間、調(diào)用者的源IP地址、請(qǐng)求參數(shù)，以及AWS服務(wù)返回的響應(yīng)數(shù)據(jù)。它還可以用于變更跟蹤、資源管理、安全性分析和合規(guī)審查等。

7.采用前移方法以保證安全

前移方法提倡在開(kāi)發(fā)過(guò)程中盡早考慮安全因素，而不是在開(kāi)發(fā)的最后階段增加安全措施。McAfee的Flaherty說(shuō)：“企業(yè)不僅應(yīng)該監(jiān)控IaaS平臺(tái)上的東西，還應(yīng)該在平臺(tái)上線前檢查所有進(jìn)入平臺(tái)的代碼。采用前移方法，能夠在潛在的錯(cuò)誤配置發(fā)展為問(wèn)題之前進(jìn)行審核并解決問(wèn)題。”尋找能夠與Jenkins、K8s等其他工具相集成的安全工具，自動(dòng)審核并更正過(guò)程。

不過(guò)，Threat Stack公司的首席安全官Sam Bisbee指出，僅有前移方法還不夠。Bisbee說(shuō)：“應(yīng)該在運(yùn)行前掃描代碼并執(zhí)行配置檢查，但人們往往忘記檢查工作負(fù)載在投入運(yùn)行后是否符合要求。如果根據(jù)我當(dāng)時(shí)知道的情況，進(jìn)行了掃描，然后部署我的代碼，這樣是可以的。但是工作負(fù)載會(huì)持續(xù)運(yùn)行數(shù)月甚至數(shù)年，會(huì)發(fā)現(xiàn)新的漏洞，并且隨著時(shí)間的推移，代碼中的風(fēng)險(xiǎn)也會(huì)增加。如果不持續(xù)監(jiān)控，就不會(huì)受到保護(hù)。”

了解企業(yè)的基礎(chǔ)設(shè)施

Bisbee建議，不要像受過(guò)培訓(xùn)的很多網(wǎng)絡(luò)安全專業(yè)人員那樣，總是去尋找已知的威脅，而是應(yīng)該努力了解企業(yè)完整的基礎(chǔ)設(shè)施，以及在其上運(yùn)行的內(nèi)容。

誠(chéng)然，在當(dāng)今日益復(fù)雜的多云環(huán)境中，這可能是很大的挑戰(zhàn)。“但是，要知道某個(gè)東西應(yīng)該是怎樣表現(xiàn)的，然后觀察它什么時(shí)候發(fā)生變化，這要比不斷地和入侵者進(jìn)行‘打地鼠游戲’容易得多。如果你非常了解自己的環(huán)境，并且知道預(yù)期會(huì)發(fā)生什么，那就能夠更有效地檢測(cè)出錯(cuò)誤配置等威脅，并主動(dòng)補(bǔ)救風(fēng)險(xiǎn)。歸根結(jié)底，安全在于深度監(jiān)視，而不是控制。”

網(wǎng)頁(yè)標(biāo)題：別讓“配置錯(cuò)誤”毀了你的云安全！送你7個(gè)安全錦囊
文章位置：http://www.bm7419.com/news22/204522.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)建站、微信公眾號(hào)、面包屑導(dǎo)航、網(wǎng)站制作、搜索引擎優(yōu)化、營(yíng)銷型網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)