企業(yè)應(yīng)采用的頂層云安全控制

Fahmida Y. Rashid James A. Martin Charles

某一天，由于基于云的系統(tǒng)配置錯誤，又發(fā)生了一起數(shù)據(jù)泄露事件。今年夏天，臭名昭著的Capital One泄露事件就是最突出的一個例子。該泄露事件是由一個配置錯誤的開源Web應(yīng)用防火墻（WAF）造成的，這家金融服務(wù)公司在其托管在亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）上的業(yè)務(wù)中使用了WAF。

配置錯誤的WAF顯然被允許列出所有AWS數(shù)據(jù)存儲桶中的所有文件，并允許讀取每個文件的內(nèi)容。據(jù)安全博客Krebs稱，這一錯誤的配置使得入侵者能夠欺騙防火墻，把請求轉(zhuǎn)發(fā)到AWS上的一個關(guān)鍵后端資源上。博文解釋說，該資源“負(fù)責(zé)向云服務(wù)器分發(fā)臨時信息，包括從安全服務(wù)發(fā)送的當(dāng)前證書，用于訪問該服務(wù)器可以訪問的云中的任何資源”。

此次泄露事件影響了大約1億美國公民，大約14萬個社會保險號碼和8萬個銀行賬戶號碼被盜，最終可能導(dǎo)致Capital One損失高達(dá)1.5億美元。

讓我們來看看為什么錯誤配置仍然是云服務(wù)的常見挑戰(zhàn)，然后介紹用來降低風(fēng)險的7種云安全控制舉措。

錯誤配置很嚴(yán)重，而且可能會越來越糟

那么，云系統(tǒng)配置錯誤的問題有多嚴(yán)重呢？Gartner曾經(jīng)做過估計：到2022年，至少95%的云安全故障都是由客戶造成的，原因是錯誤配置和管理不善。

Gartner稱：“挑戰(zhàn)不在于云本身的安全性，而在于安全方面的政策和技術(shù)，以及對技術(shù)的控制。在幾乎所有情況下，是用戶而不是云提供商未能管理好用于保護(hù)企業(yè)數(shù)據(jù)的控件，首席信息官的問題不應(yīng)該是‘云是否安全？，而是‘我是否安全地在使用云？”

有很多因素導(dǎo)致并加劇了配置錯誤的問題。

· 誤解和假設(shè)。人們常常認(rèn)為是由云服務(wù)供應(yīng)商負(fù)責(zé)云環(huán)境的安全，不完全是這樣。亞馬遜、微軟和谷歌等基礎(chǔ)設(shè)施即服務(wù)（IaaS）提供商負(fù)責(zé)其物理數(shù)據(jù)中心和運行虛擬機(jī)的服務(wù)器硬件的安全。客戶則負(fù)責(zé)保護(hù)其虛擬機(jī)和應(yīng)用程序的安全。云供應(yīng)商提供了安全服務(wù)和工具來保證客戶工作負(fù)載的安全，而實際是由客戶的管理員去實施必要的防護(hù)措施。如果客戶不能保護(hù)他們自己的網(wǎng)絡(luò)、用戶和應(yīng)用程序，云供應(yīng)商提供再多的安全防御措施也是徒勞。

· 常識與現(xiàn)實的脫節(jié)。2019年9月，McAfee公司對11個國家1000家企業(yè)進(jìn)行的調(diào)查發(fā)現(xiàn)，在IaaS環(huán)境中發(fā)生了很多泄露事件，這些事件不同于人們熟悉的“惡意軟件滲透”方法。在大多數(shù)情況下，這類泄露事件“是對云環(huán)境配置錯誤所留下的數(shù)據(jù)進(jìn)行的機(jī)會性攻擊?！?p>

在調(diào)查的同時，McAfee還檢查了數(shù)百萬云用戶和數(shù)十億事件中客戶匿名的、匯總的事件數(shù)據(jù)。數(shù)據(jù)顯示，使用IaaS環(huán)境的企業(yè)意識到了有錯誤配置，但更多的是那些沒有引起他們注意的錯誤配置，這之間存在著巨大差距。調(diào)查對象表示，他們平均每月能發(fā)現(xiàn)37起錯誤配置事件，但McAfee的客戶數(shù)據(jù)顯示，這些企業(yè)每月實際發(fā)生大約3500起錯誤配置事件，每年同比增長54%。換句話說，根據(jù)McAfee的數(shù)據(jù)，企業(yè)IaaS環(huán)境中99%的錯誤配置都沒有被發(fā)現(xiàn)。

· 有很多工具能夠發(fā)現(xiàn)并利用配置錯誤的云服務(wù)。據(jù)賽門鐵克2019年的《互聯(lián)網(wǎng)威脅報告》，2018年，AWS S3存儲桶成為很多企業(yè)的致命弱點，7000多萬條記錄因配置不當(dāng)而被盜或者泄露。潛在的攻擊者可以利用大量的工具，發(fā)現(xiàn)互聯(lián)網(wǎng)上配置錯誤的云資源。除非企業(yè)采取措施來適當(dāng)?shù)乇Ｗo(hù)他們的云資源，比如按照亞馬遜的建議來保護(hù)S3存儲桶，否則他們將很容易受到攻擊。

· 越來越復(fù)雜的企業(yè)IT環(huán)境。McAfee指出，企業(yè)越來越多地采用多云環(huán)境，再加上對企業(yè)所有正在使用的云服務(wù)缺乏全面的認(rèn)識，這加劇了配置錯誤的問題。在最近的研究中，76%的企業(yè)報告稱采用了多云環(huán)境，但一項對客戶數(shù)據(jù)的檢查發(fā)現(xiàn)，實際上這些環(huán)境中有92%是多云的，每年同比增長18%。

· 雖然多云環(huán)境具有優(yōu)勢，但在監(jiān)管、管理和控制方面非常復(fù)雜。McAfee的產(chǎn)品營銷總監(jiān)Dan Flaherty評論說：“負(fù)責(zé)IaaS平臺數(shù)據(jù)安全的安全從業(yè)人員一直非常忙碌，他們沒有一種自動化的方法來監(jiān)視并自動糾正所有云服務(wù)中的錯誤配置?！?/p>

此外，在不斷增長的IaaS市場上，激烈的競爭促使亞馬遜、微軟和谷歌都在各自的產(chǎn)品中添加了新功能。云安全聯(lián)盟全球研究副總裁John Yeoh指出：“僅AWS今年就增加了大約1800項功能，而其推出的第一年只有大約28項功能?！币虼耍瑢τ诎踩珡臉I(yè)人員來說，跟上新特性和功能的快速發(fā)展是很大的挑戰(zhàn)，而這反過來又會導(dǎo)致錯誤的配置。Yeoh說：“在復(fù)雜的多云環(huán)境中，所使用的每一個平臺或者服務(wù)都應(yīng)該有相應(yīng)的專家，以確保采取了適當(dāng)?shù)陌踩胧?。?/p>

CloudKnox安全公司首席執(zhí)行官Balaji Parimi指出，此外，云技術(shù)最近不斷進(jìn)步，例如，無服務(wù)器應(yīng)用程序和架構(gòu)、K8s容器化的工作負(fù)載和服務(wù)，以及越來越多地使用連接各種云服務(wù)的應(yīng)用程序編程接口（API），等等，如果不采取預(yù)防措施，也沒有持續(xù)監(jiān)視和調(diào)整訪問權(quán)限，那么，錯誤配置的可能性會非常高。他補充道，“人們還只是剛剛開始了解這些新的云技術(shù)和趨勢非常危險的一面。他們往往根據(jù)靜態(tài)角色和有關(guān)訪問權(quán)限的假設(shè)，將數(shù)十年前的安全方法應(yīng)用于這些新技術(shù)?！?/p>

Yeoh指出，關(guān)鍵是：越來越復(fù)雜的IT環(huán)境使得在整個環(huán)境中很難實現(xiàn)簡單的安全控制措施，而這些措施有助于發(fā)現(xiàn)并防止錯誤配置問題。

以下介紹的是企業(yè)應(yīng)采用的7種云安全控制舉措。

1.明了你要負(fù)責(zé)什么

所有云服務(wù)都不盡相同，要負(fù)的責(zé)任也有所不同。軟件即服務(wù)（SaaS）供應(yīng)商會確保他們的應(yīng)用程序受到保護(hù)，數(shù)據(jù)被安全地傳輸和存儲，而IaaS環(huán)境并非總是如此。例如，企業(yè)應(yīng)完全負(fù)責(zé)其AWS彈性計算云（EC2）、亞馬遜EBS和亞馬遜虛擬私有云（VPC）實例，包括配置操作系統(tǒng)、管理應(yīng)用程序、保護(hù)數(shù)據(jù)等。

相反，亞馬遜維護(hù)S3的操作系統(tǒng)和應(yīng)用程序，而企業(yè)負(fù)責(zé)管理數(shù)據(jù)、訪問控制和身份識別策略。亞馬遜提供了為S3數(shù)據(jù)加密的工具，但這取決于企業(yè)在進(jìn)入和離開服務(wù)器時是否啟用了保護(hù)功能。

應(yīng)與IaaS供應(yīng)商仔細(xì)核實誰負(fù)責(zé)每一項云安全控制措施。

2.控制誰有權(quán)訪問?

企業(yè)應(yīng)控制好誰可以使用他們的云服務(wù)。例如，根據(jù)Redlock云安全情報（CSI）部門2018年5月的研究，超過一半（51%）的企業(yè)意外地暴露了至少一項云存儲服務(wù)，例如，AWS S3存儲驅(qū)動器。盡管亞馬遜和其他云提供商都警告說，應(yīng)避免任何有互聯(lián)網(wǎng)連接的人訪問存儲驅(qū)動器內(nèi)容。

一般而言，只有負(fù)載均衡器和防護(hù)主機(jī)能夠直接出現(xiàn)在互聯(lián)網(wǎng)上。很多管理員在公共子網(wǎng)中使用0.0.0.0/0，錯誤地啟用了服務(wù)器的全局權(quán)限。連接完全放開了，每臺計算機(jī)都能夠進(jìn)行連接。

另一個常見的錯誤是，允許從互聯(lián)網(wǎng)直接進(jìn)行安全Shell（SSH）連接，這意味著任何能找到服務(wù)器地址的人都可以繞過防火墻，直接訪問數(shù)據(jù)。2019年，Palo Alto網(wǎng)絡(luò)公司42威脅研究部在公有云中搜索暴露的服務(wù)。在發(fā)現(xiàn)的暴露主機(jī)和服務(wù)中，有32%提供了開放的SSH服務(wù)。報告指出：“盡管SSH是最安全的一種協(xié)議，但將這項強大的服務(wù)暴露給整個互聯(lián)網(wǎng)還是太危險了。任何錯誤配置或者存在漏洞/泄漏的證書都可能導(dǎo)致主機(jī)被攻破?！?/p>

主要云供應(yīng)商都會提供身份識別和訪問控制工具，請使用它們，應(yīng)知道誰在何時訪問了哪些數(shù)據(jù)。在創(chuàng)建身份識別和訪問控制策略時，把最高權(quán)限限制在最小范圍內(nèi)，只在需要時臨時授予額外權(quán)限。盡可能把安全組配置為最窄安全權(quán)限，并在可能的情況下使用參考安全組ID?？紤]使用CloudKnox之類的工具，這些工具支持企業(yè)根據(jù)用戶活動數(shù)據(jù)設(shè)置訪問控制權(quán)限。

3.保護(hù)數(shù)據(jù)?

另一常見的錯誤是數(shù)據(jù)沒有經(jīng)過加密便放在了云上。選民信息和敏感的五角大樓文件之所以被泄露，是因為數(shù)據(jù)沒有被加密，未授權(quán)方也能夠訪問服務(wù)器。把敏感數(shù)據(jù)存儲在云中而沒有對服務(wù)器的訪問進(jìn)行適當(dāng)控制，以便保護(hù)數(shù)據(jù)，這樣做是不負(fù)責(zé)任的，也是危險的。

盡可能控制好加密密鑰。雖然可以讓云服務(wù)供應(yīng)商提供訪問密鑰，但保護(hù)數(shù)據(jù)的責(zé)任在于企業(yè)。

即使云供應(yīng)商提供了加密工具和管理服務(wù)，很多企業(yè)實際上并沒有使用。加密是一種安全保障措施——即使安全配置失敗，數(shù)據(jù)落入未授權(quán)方的手中，他們也不能使用數(shù)據(jù)。

4.保護(hù)證書?

正如2017年OneLogin泄露事件所展示的，AWS訪問密鑰被泄露的情況并不少見。這些密鑰會出現(xiàn)在公共網(wǎng)站、源代碼庫、未受保護(hù)的K8s儀表板，以及其他一些論壇上。把AWS訪問密鑰視為最敏感的寶貴資產(chǎn)，教育開發(fā)人員避免在公共論壇中泄露此類密鑰。

為每一個外部服務(wù)創(chuàng)建唯一的密鑰，并遵循最小特權(quán)原則限制對其訪問，確保密鑰沒有太多的訪問權(quán)限。密鑰如果落在犯罪分子手中，可以用來訪問敏感資源和數(shù)據(jù)。創(chuàng)建IAM角色來分配特殊特權(quán)，例如進(jìn)行API調(diào)用。

務(wù)必定期輪換密鑰，以避免攻擊者有時間截獲被攻破的密鑰，冒充特權(quán)用戶滲透到云環(huán)境中。

不要使用root用戶賬戶，即使是要用于管理任務(wù)。使用root用戶來創(chuàng)建具有指定權(quán)限的新用戶。鎖定root賬戶（可以通過添加多重身份驗證來實現(xiàn)），僅用于具體的賬戶和服務(wù)管理任務(wù)。對于其他的賬戶，為用戶提供適當(dāng)?shù)臋?quán)限。

檢查用戶賬戶，查找那些未被使用的賬戶，并禁用它們。如果沒有人使用這些賬戶，何必給攻擊者留下攻擊的后門呢。

5.保證環(huán)境安全仍然很重要?

對于云環(huán)境防護(hù)，深層防御尤其重要，因為即使一項控制措施失敗了，也會有其他安全措施保持應(yīng)用程序、網(wǎng)絡(luò)和數(shù)據(jù)的安全。

MFA在用戶名和密碼的基礎(chǔ)上提供了額外的保護(hù)層，使得攻擊者很難攻入。應(yīng)啟用MFA，限制對管理控制臺、儀表板和特權(quán)帳戶的訪問。

6.深度監(jiān)視?

主要云供應(yīng)商都提供某種級別的日志記錄工具，因此一定要啟用安全日志記錄和監(jiān)視功能，看看是否有未經(jīng)授權(quán)的訪問和其他問題。例如，亞馬遜為審查AWS環(huán)境提供了CloudTrail，但很多企業(yè)并沒有使用該服務(wù)。當(dāng)啟用后，CloudTrail會記錄所有AWS API調(diào)用的歷史，包括API調(diào)用者的身份、調(diào)用的時間、調(diào)用者的源IP地址、請求參數(shù)，以及AWS服務(wù)返回的響應(yīng)數(shù)據(jù)。它還可以用于變更跟蹤、資源管理、安全性分析和合規(guī)審查等。

7.采用前移方法以保證安全?

前移方法提倡在開發(fā)過程中盡早考慮安全因素，而不是在開發(fā)的最后階段增加安全措施。McAfee的Flaherty說：“企業(yè)不僅應(yīng)該監(jiān)控IaaS平臺上的東西，還應(yīng)該在平臺上線前檢查所有進(jìn)入平臺的代碼。采用前移方法，能夠在潛在的錯誤配置發(fā)展為問題之前進(jìn)行審核并解決問題。”尋找能夠與Jenkins、K8s等其他工具相集成的安全工具，自動審核并更正過程。

不過，Threat Stack公司的首席安全官Sam Bisbee指出，僅有前移方法還不夠。Bisbee說：“應(yīng)該在運行前掃描代碼并執(zhí)行配置檢查，但人們往往忘記檢查工作負(fù)載在投入運行后是否符合要求。如果根據(jù)我當(dāng)時知道的情況，進(jìn)行了掃描，然后部署我的代碼，這樣是可以的。但是工作負(fù)載會持續(xù)運行數(shù)月甚至數(shù)年，會發(fā)現(xiàn)新的漏洞，并且隨著時間的推移，代碼中的風(fēng)險也會增加。如果不持續(xù)監(jiān)控，就不會受到保護(hù)?！?h3>了解企業(yè)的基礎(chǔ)設(shè)施?

Bisbee建議，不要像受過培訓(xùn)的很多網(wǎng)絡(luò)安全專業(yè)人員那樣，總是去尋找已知的威脅，而是應(yīng)該努力了解企業(yè)完整的基礎(chǔ)設(shè)施，以及在其上運行的內(nèi)容。

誠然，在當(dāng)今日益復(fù)雜的多云環(huán)境中，這可能是很大的挑戰(zhàn)?！暗牵滥硞€東西應(yīng)該是怎樣表現(xiàn)的，然后觀察它什么時候發(fā)生變化，這要比不斷地和入侵者進(jìn)行‘打地鼠游戲容易得多。如果你非常了解自己的環(huán)境，并且知道預(yù)期會發(fā)生什么，那就能夠更有效地檢測出錯誤配置等威脅，并主動補救風(fēng)險。歸根結(jié)底，安全在于深度監(jiān)視，而不是控制?！?/p>

Fahmida Y.Rashid是一名自由撰稿人，為CSO撰稿，其寫作主題是信息安全。James A. Martin是舊金山一位經(jīng)驗豐富的科技記者和博客寫手，由于其在CIO.com上的博文而獲得了2014年ASBPE國家金獎。

原文網(wǎng)址

https：//www.csoonline.com/article/3208905/top-cloud-security-controls-you-should-be-using.html