2022-10-11 分類: 網(wǎng)站建設(shè)
由于管理員忘記打開基本的安全控制功能,導(dǎo)致人為錯誤,是云端數(shù)據(jù)泄露的主要原因之一。無論你使用的是亞馬遜網(wǎng)絡(luò)服務(wù)、微軟Azure還是谷歌云平臺,請記住本文介紹的這些規(guī)則以保護(hù)企業(yè)的云工作負(fù)載。
某一天,由于基于云的系統(tǒng)配置錯誤,又發(fā)生了一起數(shù)據(jù)泄露事件。今年夏天,臭名昭著的Capital One泄露事件就是最突出的一個例子。該泄露事件是由一個配置錯誤的開源Web應(yīng)用防火墻(WAF)造成的,這家金融服務(wù)公司在其托管在亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)上的業(yè)務(wù)中使用了WAF。
配置錯誤的WAF顯然被允許列出所有AWS數(shù)據(jù)存儲桶中的所有文件,并允許讀取每個文件的內(nèi)容。據(jù)安全博客Krebs稱,這一錯誤的配置使得入侵者能夠欺騙防火墻,把請求轉(zhuǎn)發(fā)到AWS上的一個關(guān)鍵后端資源上。博文解釋說,該資源“負(fù)責(zé)向云服務(wù)器分發(fā)臨時信息,包括從安全服務(wù)發(fā)送的當(dāng)前證書,用于訪問該服務(wù)器可以訪問的云中的任何資源”。
此次泄露事件影響了大約1億美國公民,大約14萬個社會保險號碼和8萬個銀行賬戶號碼被盜,最終可能導(dǎo)致Capital One損失高達(dá)1.5億美元。
讓我們來看看為什么錯誤配置仍然是云服務(wù)的常見挑戰(zhàn),然后介紹用來降低風(fēng)險的7種云安全控制舉措。
錯誤配置很嚴(yán)重,而且可能會越來越糟
那么,云系統(tǒng)配置錯誤的問題有多嚴(yán)重呢?Gartner曾經(jīng)做過估計:到2022年,至少95%的云安全故障都是由客戶造成的,原因是錯誤配置和管理不善。
Gartner稱:“挑戰(zhàn)不在于云本身的安全性,而在于安全方面的政策和技術(shù),以及對技術(shù)的控制。在幾乎所有情況下,是用戶而不是云提供商未能管理好用于保護(hù)企業(yè)數(shù)據(jù)的控件,首席信息官的問題不應(yīng)該是‘云是否安全?’,而是‘我是否安全地在使用云?’”
有很多因素導(dǎo)致并加劇了配置錯誤的問題。
誤解和假設(shè)。人們常常認(rèn)為是由云服務(wù)供應(yīng)商負(fù)責(zé)云環(huán)境的安全,不完全是這樣。亞馬遜、微軟和谷歌等基礎(chǔ)設(shè)施即服務(wù)(IaaS)提供商負(fù)責(zé)其物理數(shù)據(jù)中心和運(yùn)行虛擬機(jī)的服務(wù)器硬件的安全??蛻魟t負(fù)責(zé)保護(hù)其虛擬機(jī)和應(yīng)用程序的安全。云供應(yīng)商提供了安全服務(wù)和工具來保證客戶工作負(fù)載的安全,而實(shí)際是由客戶的管理員去實(shí)施必要的防護(hù)措施。如果客戶不能保護(hù)他們自己的網(wǎng)絡(luò)、用戶和應(yīng)用程序,云供應(yīng)商提供再多的安全防御措施也是徒勞。
常識與現(xiàn)實(shí)的脫節(jié)。2019年9月,McAfee公司對11個國家1000家企業(yè)進(jìn)行的調(diào)查發(fā)現(xiàn),在IaaS環(huán)境中發(fā)生了很多泄露事件,這些事件不同于人們熟悉的“惡意軟件滲透”方法。在大多數(shù)情況下,這類泄露事件“是對云環(huán)境配置錯誤所留下的數(shù)據(jù)進(jìn)行的機(jī)會性攻擊。”
在調(diào)查的同時,McAfee還檢查了數(shù)百萬云用戶和數(shù)十億事件中客戶匿名的、匯總的事件數(shù)據(jù)。數(shù)據(jù)顯示,使用IaaS環(huán)境的企業(yè)意識到了有錯誤配置,但更多的是那些沒有引起他們注意的錯誤配置,這之間存在著巨大差距。調(diào)查對象表示,他們平均每月能發(fā)現(xiàn)37起錯誤配置事件,但McAfee的客戶數(shù)據(jù)顯示,這些企業(yè)每月實(shí)際發(fā)生大約3500起錯誤配置事件,每年同比增長54%。換句話說,根據(jù)McAfee的數(shù)據(jù),企業(yè)IaaS環(huán)境中99%的錯誤配置都沒有被發(fā)現(xiàn)。
有很多工具能夠發(fā)現(xiàn)并利用配置錯誤的云服務(wù)。據(jù)賽門鐵克2019年的《互聯(lián)網(wǎng)威脅報告》,2018年,AWS S3存儲桶成為很多企業(yè)的致命弱點(diǎn),7000多萬條記錄因配置不當(dāng)而被盜或者泄露。潛在的攻擊者可以利用大量的工具,發(fā)現(xiàn)互聯(lián)網(wǎng)上配置錯誤的云資源。除非企業(yè)采取措施來適當(dāng)?shù)乇Wo(hù)他們的云資源,比如按照亞馬遜的建議來保護(hù)S3存儲桶,否則他們將很容易受到攻擊。
越來越復(fù)雜的企業(yè)IT環(huán)境。McAfee指出,企業(yè)越來越多地采用多云環(huán)境,再加上對企業(yè)所有正在使用的云服務(wù)缺乏全面的認(rèn)識,這加劇了配置錯誤的問題。在最近的研究中,76%的企業(yè)報告稱采用了多云環(huán)境,但一項對客戶數(shù)據(jù)的檢查發(fā)現(xiàn),實(shí)際上這些環(huán)境中有92%是多云的,每年同比增長18%。
雖然多云環(huán)境具有優(yōu)勢,但在監(jiān)管、管理和控制方面非常復(fù)雜。McAfee的產(chǎn)品營銷總監(jiān)Dan Flaherty評論說:“負(fù)責(zé)IaaS平臺數(shù)據(jù)安全的安全從業(yè)人員一直非常忙碌,他們沒有一種自動化的方法來監(jiān)視并自動糾正所有云服務(wù)中的錯誤配置。”
此外,在不斷增長的IaaS市場上,激烈的競爭促使亞馬遜、微軟和谷歌都在各自的產(chǎn)品中添加了新功能。云安全聯(lián)盟全球研究副總裁John Yeoh指出:“僅AWS今年就增加了大約1800項功能,而其推出的第一年只有大約28項功能。”因此,對于安全從業(yè)人員來說,跟上新特性和功能的快速發(fā)展是很大的挑戰(zhàn),而這反過來又會導(dǎo)致錯誤的配置。Yeoh說:“在復(fù)雜的多云環(huán)境中,所使用的每一個平臺或者服務(wù)都應(yīng)該有相應(yīng)的專家,以確保采取了適當(dāng)?shù)陌踩胧?rdquo;
CloudKnox安全公司首席執(zhí)行官Balaji Parimi指出,此外,云技術(shù)最近不斷進(jìn)步,例如,無服務(wù)器應(yīng)用程序和架構(gòu)、K8s容器化的工作負(fù)載和服務(wù),以及越來越多地使用連接各種云服務(wù)的應(yīng)用程序編程接口(API),等等,如果不采取預(yù)防措施,也沒有持續(xù)監(jiān)視和調(diào)整訪問權(quán)限,那么,錯誤配置的可能性會非常高。他補(bǔ)充道,“人們還只是剛剛開始了解這些新的云技術(shù)和趨勢非常危險的一面。他們往往根據(jù)靜態(tài)角色和有關(guān)訪問權(quán)限的假設(shè),將數(shù)十年前的安全方法應(yīng)用于這些新技術(shù)。”
Yeoh指出,關(guān)鍵是:越來越復(fù)雜的IT環(huán)境使得在整個環(huán)境中很難實(shí)現(xiàn)簡單的安全控制措施,而這些措施有助于發(fā)現(xiàn)并防止錯誤配置問題。
以下介紹的是企業(yè)應(yīng)采用的7種云安全控制舉措。
1.明了你要負(fù)責(zé)什么
所有云服務(wù)都不盡相同,要負(fù)的責(zé)任也有所不同。軟件即服務(wù)(SaaS)供應(yīng)商會確保他們的應(yīng)用程序受到保護(hù),數(shù)據(jù)被安全地傳輸和存儲,而IaaS環(huán)境并非總是如此。例如,企業(yè)應(yīng)完全負(fù)責(zé)其AWS彈性計算云(EC2)、亞馬遜EBS和亞馬遜虛擬私有云(VPC)實(shí)例,包括配置操作系統(tǒng)、管理應(yīng)用程序、保護(hù)數(shù)據(jù)等。
相反,亞馬遜維護(hù)S3的操作系統(tǒng)和應(yīng)用程序,而企業(yè)負(fù)責(zé)管理數(shù)據(jù)、訪問控制和身份識別策略。亞馬遜提供了為S3數(shù)據(jù)加密的工具,但這取決于企業(yè)在進(jìn)入和離開服務(wù)器時是否啟用了保護(hù)功能。
應(yīng)與IaaS供應(yīng)商仔細(xì)核實(shí)誰負(fù)責(zé)每一項云安全控制措施。
2.控制誰有權(quán)訪問
企業(yè)應(yīng)控制好誰可以使用他們的云服務(wù)。例如,根據(jù)Redlock云安全情報(CSI)部門2018年5月的研究,超過一半(51%)的企業(yè)意外地暴露了至少一項云存儲服務(wù),例如,AWS S3存儲驅(qū)動器。盡管亞馬遜和其他云提供商都警告說,應(yīng)避免任何有互聯(lián)網(wǎng)連接的人訪問存儲驅(qū)動器內(nèi)容。
一般而言,只有負(fù)載均衡器和防護(hù)主機(jī)能夠直接出現(xiàn)在互聯(lián)網(wǎng)上。很多管理員在公共子網(wǎng)中使用0.0.0.0/0,錯誤地啟用了服務(wù)器的全局權(quán)限。連接完全放開了,每臺計算機(jī)都能夠進(jìn)行連接。
另一個常見的錯誤是,允許從互聯(lián)網(wǎng)直接進(jìn)行安全Shell(SSH)連接,這意味著任何能找到服務(wù)器地址的人都可以繞過防火墻,直接訪問數(shù)據(jù)。2019年,Palo Alto網(wǎng)絡(luò)公司42威脅研究部在公有云中搜索暴露的服務(wù)。在發(fā)現(xiàn)的暴露主機(jī)和服務(wù)中,有32%提供了開放的SSH服務(wù)。報告指出:“盡管SSH是最安全的一種協(xié)議,但將這項強(qiáng)大的服務(wù)暴露給整個互聯(lián)網(wǎng)還是太危險了。任何錯誤配置或者存在漏洞/泄漏的證書都可能導(dǎo)致主機(jī)被攻破。”
主要云供應(yīng)商都會提供身份識別和訪問控制工具,請使用它們,應(yīng)知道誰在何時訪問了哪些數(shù)據(jù)。在創(chuàng)建身份識別和訪問控制策略時,把最高權(quán)限限制在最小范圍內(nèi),只在需要時臨時授予額外權(quán)限。盡可能把安全組配置為最窄安全權(quán)限,并在可能的情況下使用參考安全組ID??紤]使用CloudKnox之類的工具,這些工具支持企業(yè)根據(jù)用戶活動數(shù)據(jù)設(shè)置訪問控制權(quán)限。
3.保護(hù)數(shù)據(jù)
另一常見的錯誤是數(shù)據(jù)沒有經(jīng)過加密便放在了云上。選民信息和敏感的五角大樓文件之所以被泄露,是因?yàn)閿?shù)據(jù)沒有被加密,未授權(quán)方也能夠訪問服務(wù)器。把敏感數(shù)據(jù)存儲在云中而沒有對服務(wù)器的訪問進(jìn)行適當(dāng)控制,以便保護(hù)數(shù)據(jù),這樣做是不負(fù)責(zé)任的,也是危險的。
盡可能控制好加密密鑰。雖然可以讓云服務(wù)供應(yīng)商提供訪問密鑰,但保護(hù)數(shù)據(jù)的責(zé)任在于企業(yè)。
即使云供應(yīng)商提供了加密工具和管理服務(wù),很多企業(yè)實(shí)際上并沒有使用。加密是一種安全保障措施——即使安全配置失敗,數(shù)據(jù)落入未授權(quán)方的手中,他們也不能使用數(shù)據(jù)。
4.保護(hù)證書
正如2017年OneLogin泄露事件所展示的,AWS訪問密鑰被泄露的情況并不少見。這些密鑰會出現(xiàn)在公共網(wǎng)站、源代碼庫、未受保護(hù)的K8s儀表板,以及其他一些論壇上。把AWS訪問密鑰視為最敏感的寶貴資產(chǎn),教育開發(fā)人員避免在公共論壇中泄露此類密鑰。
為每一個外部服務(wù)創(chuàng)建唯一的密鑰,并遵循最小特權(quán)原則限制對其訪問,確保密鑰沒有太多的訪問權(quán)限。密鑰如果落在犯罪分子手中,可以用來訪問敏感資源和數(shù)據(jù)。創(chuàng)建IAM角色來分配特殊特權(quán),例如進(jìn)行API調(diào)用。
務(wù)必定期輪換密鑰,以避免攻擊者有時間截獲被攻破的密鑰,冒充特權(quán)用戶滲透到云環(huán)境中。
不要使用root用戶賬戶,即使是要用于管理任務(wù)。使用root用戶來創(chuàng)建具有指定權(quán)限的新用戶。鎖定root賬戶(可以通過添加多重身份驗(yàn)證來實(shí)現(xiàn)),僅用于具體的賬戶和服務(wù)管理任務(wù)。對于其他的賬戶,為用戶提供適當(dāng)?shù)臋?quán)限。
檢查用戶賬戶,查找那些未被使用的賬戶,并禁用它們。如果沒有人使用這些賬戶,何必給攻擊者留下攻擊的后門呢。
5.保證環(huán)境安全仍然很重要
對于云環(huán)境防護(hù),深層防御尤其重要,因?yàn)榧词挂豁椏刂拼胧┦×耍矔衅渌踩胧┍3謶?yīng)用程序、網(wǎng)絡(luò)和數(shù)據(jù)的安全。
MFA在用戶名和密碼的基礎(chǔ)上提供了額外的保護(hù)層,使得攻擊者很難攻入。應(yīng)啟用MFA,限制對管理控制臺、儀表板和特權(quán)帳戶的訪問。
6.深度監(jiān)視
主要云供應(yīng)商都提供某種級別的日志記錄工具,因此一定要啟用安全日志記錄和監(jiān)視功能,看看是否有未經(jīng)授權(quán)的訪問和其他問題。例如,亞馬遜為審查AWS環(huán)境提供了CloudTrail,但很多企業(yè)并沒有使用該服務(wù)。當(dāng)啟用后,CloudTrail會記錄所有AWS API調(diào)用的歷史,包括API調(diào)用者的身份、調(diào)用的時間、調(diào)用者的源IP地址、請求參數(shù),以及AWS服務(wù)返回的響應(yīng)數(shù)據(jù)。它還可以用于變更跟蹤、資源管理、安全性分析和合規(guī)審查等。
7.采用前移方法以保證安全
前移方法提倡在開發(fā)過程中盡早考慮安全因素,而不是在開發(fā)的最后階段增加安全措施。McAfee的Flaherty說:“企業(yè)不僅應(yīng)該監(jiān)控IaaS平臺上的東西,還應(yīng)該在平臺上線前檢查所有進(jìn)入平臺的代碼。采用前移方法,能夠在潛在的錯誤配置發(fā)展為問題之前進(jìn)行審核并解決問題。”尋找能夠與Jenkins、K8s等其他工具相集成的安全工具,自動審核并更正過程。
不過,Threat Stack公司的首席安全官Sam Bisbee指出,僅有前移方法還不夠。Bisbee說:“應(yīng)該在運(yùn)行前掃描代碼并執(zhí)行配置檢查,但人們往往忘記檢查工作負(fù)載在投入運(yùn)行后是否符合要求。如果根據(jù)我當(dāng)時知道的情況,進(jìn)行了掃描,然后部署我的代碼,這樣是可以的。但是工作負(fù)載會持續(xù)運(yùn)行數(shù)月甚至數(shù)年,會發(fā)現(xiàn)新的漏洞,并且隨著時間的推移,代碼中的風(fēng)險也會增加。如果不持續(xù)監(jiān)控,就不會受到保護(hù)。”
了解企業(yè)的基礎(chǔ)設(shè)施
Bisbee建議,不要像受過培訓(xùn)的很多網(wǎng)絡(luò)安全專業(yè)人員那樣,總是去尋找已知的威脅,而是應(yīng)該努力了解企業(yè)完整的基礎(chǔ)設(shè)施,以及在其上運(yùn)行的內(nèi)容。
誠然,在當(dāng)今日益復(fù)雜的多云環(huán)境中,這可能是很大的挑戰(zhàn)。“但是,要知道某個東西應(yīng)該是怎樣表現(xiàn)的,然后觀察它什么時候發(fā)生變化,這要比不斷地和入侵者進(jìn)行‘打地鼠游戲’容易得多。如果你非常了解自己的環(huán)境,并且知道預(yù)期會發(fā)生什么,那就能夠更有效地檢測出錯誤配置等威脅,并主動補(bǔ)救風(fēng)險。歸根結(jié)底,安全在于深度監(jiān)視,而不是控制。”
網(wǎng)頁名稱:別讓“配置錯誤”毀了你的云安全!送你7個安全錦囊
標(biāo)題路徑:http://www.rwnh.cn/news/204522.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供商城網(wǎng)站、外貿(mào)建站、做網(wǎng)站、網(wǎng)頁設(shè)計公司、品牌網(wǎng)站制作、營銷型網(wǎng)站建設(shè)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容