快捷搜索:  as

别让“配置错误”毁了你的云安全!送你7个安全

某一天,因为基于云的系统设置设置设备摆设摆设差错,又发生了一路数据泄露事故。今年夏天,臭名昭著的Capital One泄露事故便是最凸起的一个例子。该泄露事故是由一个设置设置设备摆设摆设差错的开源Web利用防火墙(WAF)造成的,这家金融办事公司在其托管在亚马逊收集办事(AWS)上的营业中应用了WAF。

设置设置设备摆设摆设差错的WAF显然被容许列出所有AWS数据存储桶中的所有文件,并容许读取每个文件的内容。据安然博客Krebs称,这一差错的设置设置设备摆设摆设使得入侵者能够诈骗防火墙,把哀求转发到AWS上的一个关键后端资本上。博文解释说,该资本“认真向云办事器分发临时信息,包括从安然办事发送确当前证书,用于造访该办事器可以造访的云中的任何资本”。

这次泄露事故影响了大年夜约1亿美国公夷易近,大年夜约14万个社会保险号码和8万个银行账户号码被盗,终极可能导致Capital One丧掉高达1.5亿美元。

让我们来看看为什么差错设置设置设备摆设摆设仍旧是云办事的常见寻衅,然后先容用来低落风险的7种云安然节制举措。

差错设置设置设备摆设摆设很严重,而且可能会越来越糟

那么,云系统设置设置设备摆设摆设差错的问题有多严重呢?Gartner曾经做过预计:到2022年,至少95%的云安然故障都是由客户造成的,缘故原由是差错设置设置设备摆设摆设和治理不善。

Gartner称:“寻衅不在于云本身的安然性,而在于安然方面的政策和技巧,以及对技巧的节制。在险些所有环境下,是用户而不是云供给商未能治理好用于保护企业数据的控件,首席信息官的问题不应该是‘云是否安然?’,而是‘我是否安然地在应用云?’”

有很多身分导致并加剧了设置设置设备摆设摆设差错的问题。

●误解和假设。人们经常觉得是由云办事供应商认真云情况的安然,不完全是这样。亚马逊、微软和谷歌等根基举措措施即办事(IaaS)供给商认真其物理数据中间和运行虚拟机的办事器硬件的安然。客户则认真保护其虚拟机和利用法度榜样的安然。云供应商供给了安然办事和对象来包管客户事情负载的安然,而实际是由客户的治理员去实施需要的防护步伐。假如客户不能保护他们自己的收集、用户和利用法度榜样,云供应商供给再多的安然防御步伐也是徒劳。

●知识与现实的脱节。2019年9月,McAfee公司对11个国家1000家企业进行的查询造访发明,在IaaS情况中发生了很多泄露事故,这些事故不合于人们认识的“恶意软件渗透”措施。在大年夜多半环境下,这类泄露事故“是对云情况设置设置设备摆设摆设差错所留下的数据进行的时机性进击。”

在查询造访的同时,McAfee还反省了数百万云用户和数十亿事故中客户匿名的、汇总的事故数据。数据显示,应用IaaS情况的企业意识到了有差错设置设置设备摆设摆设,但更多的是那些没有引起他们留意的差错设置设置设备摆设摆设,这之间存在着伟大年夜差距。调核工具表示,他们匀称每月能发明37起差错设置设置设备摆设摆设事故,但McAfee的客户数据显示,这些企业每月实际发生大年夜约3500起差错设置设置设备摆设摆设事故,每年同比增长54%。换句话说,根据McAfee的数据,企业IaaS情况中99%的差错设置设置设备摆设摆设都没有被发明。

●有很多对象能够发明并使用设置设置设备摆设摆设差错的云办事。据赛门铁克2019年的《互联网要挟申报》,2018年,AWS S3存储桶成为很多企业的致命弱点,7000多万笔记录因设置设置设备摆设摆设欠妥而被盗或者泄露。潜在的进击者可以使用大年夜量的对象,发明互联网上设置设置设备摆设摆设差错的云资本。除非企业采取步伐来适当地保护他们的云资本,比如按照亚马逊的建议来保护S3存储桶,否则他们将很轻易受到进击。

●越来越繁杂的企业IT情况。McAfee指出,企业越来越多地采纳多云情况,再加上对企业所有正在应用的云办事短缺周全的熟识,这加剧了设置设置设备摆设摆设差错的问题。在近来的钻研中,76%的企业申报称采纳了多云情况,但一项对客户数据的反省发明,实际上这些情况中有92%是多云的,每年同比增长18%。

●虽然多云情况具有上风,但在监管、治理和节制方面异常繁杂。McAfee的产品营销总监Dan Flaherty评论说:“认真IaaS平台数据安然的安然从业职员不停异常繁忙,他们没有一种自动化的措施来监视并自动矫正所有云办事中的差错设置设置设备摆设摆设。”

此外,在赓续增长的IaaS市场上,猛烈的竞争匆匆使亚马逊、微软和谷歌都在各自的产品中添加了新功能。云安然同盟举世钻研副总裁John Yeoh指出:“仅AWS今年就增添了大年夜约1800项功能,而其推出的第一年只有大年夜约28项功能。”是以,对付安然从业职员来说,跟上新特点和功能的快速成长是很大年夜的寻衅,而这反过来又会导致差错的设置设置设备摆设摆设。Yeoh说:“在繁杂的多云情况中,所应用的每一个平台或者办事都应该有响应的专家,以确保采取了适当的安然步伐。”

CloudKnox安然公司首席履行官Balaji Parimi指出,此外,云技巧近来赓续进步,例如,无办事器利用法度榜样和架构、K8s容器化的事情负载和办事,以及越来越多地应用连接各类云办事的利用法度榜样编程接口(API),等等,假如不采取预防步伐,也没有持续监视和调剂造访权限,那么,差错设置设置设备摆设摆设的可能性会异常高。他弥补道,“人们还只是刚刚开始懂得这些新的云技巧和趋势异常危险的一壁。他们每每根据静态角色和有关造访权限的假设,将数十年前的安然措施利用于这些新技巧。”

Yeoh指出,关键是:越来越繁杂的IT情况使得在全部情况中很难实现简单的安然节制步伐,而这些步伐有助于发明并防止差错设置设置设备摆设摆设问题。

以下先容的是企业应采纳的7种云安然节制举措。

1.清楚明了你要认真什么

所有云办事都不尽相同,要负的责任也有所不合。软件即办事(SaaS)供应商会确保他们的利用法度榜样受到保护,数据被安然地传输和存储,而IaaS情况并非老是如斯。例如,企业应完全认真其AWS弹性谋略云(EC2)、亚马逊EBS和亚马逊虚拟私有云(VPC)实例,包括设置设置设备摆设摆设操作系统、治理利用法度榜样、保护数据等。

相反,亚马逊掩护S3的操作系统和利用法度榜样,而企业认真治理数据、造访节制和身份识别策略。亚马逊供给了为S3数据加密的对象,但这取决于企业在进入和分创办事器时是否启用了保护功能。

应与IaaS供应商仔细核实谁认真每一项云安然节制步伐。

2.节制谁有权造访

企业应节制好谁可以应用他们的云办事。例如,根据Redlock云安然情报(CSI)部门2018年5月的钻研,跨越一半(51%)的企业意外地裸露了至少一项云存储办事,例如,AWS S3存储驱动器。只管亚马逊和其他云供给商都警告说,应避免任何有互联网连接的人造访存储驱动器内容。

一样平常而言,只有负载均衡器和防护主性能够直接呈现在互联网上。很多治理员在公共子网中应用0.0.0.0/0,差错地启用了办事器的全局权限。连接完全摊开了,每台谋略机都能够进行连接。

另一个常见的差错是,容许从互联网直接进行安然Shell(SSH)连接,这意味着任何能找到办事器地址的人都可以绕过防火墙,直接造访数据。2019年,Palo Alto收集公司42要挟钻研部在公有云中搜索裸露的办事。在发明的裸露主机和办事中,有32%供给了开放的SSH办事。申报指出:“只管SSH是最安然的一种协议,但将这项强大年夜的办事裸露给全部互联网照样太危险了。任何差错设置设置设备摆设摆设或者存在破绽/透露的证书都可能导致主机被攻破。”

主要云供应商都邑供给身份识别和造访节制对象,请应用它们,应知道谁在何时造访了哪些数据。在创建身份识别和造访节制策略时,把最高权限限定在最小范围内,只在必要时临时赋予额外权限。尽可能把安然组设置设置设备摆设摆设为最窄安然权限,并在可能的环境下应用参考安然组ID。斟酌应用CloudKnox之类的对象,这些对象支持企业根据用户活动数据设置造访节制权限。

3.保护数据

另一常见的差错是数据没有颠末加密便放在了云上。选夷易近信息和敏感的五角大年夜楼文件之以是被泄露,是由于数据没有被加密,未授权方也能够造访办事器。把敏感数据存储在云中而没有对办事器的造访进行适当节制,以便保护数据,这样做是不认真任的,也是危险的。

尽可能节制好加密密钥。虽然可以让云办事供应商供给造访密钥,但保护数据的责任在于企业。

纵然云供应商供给了加密对象和治理办事,很多企业实际上并没有应用。加密是一种安然保障步伐——纵然安然设置设置设备摆设摆设掉败,数据落入未授权方的手中,他们也不能应用数据。

4.保护证书

正如2017年OneLogin泄露事故所展示的,AWS造访密钥被泄露的环境并不少见。这些密钥会呈现在公共网站、源代码库、未受保护的K8s仪表板,以及其他一些论坛上。把AWS造访密钥视为最敏感的宝贵资产,教导开拓职员避免在公共论坛中泄露此类密钥。

为每一个外部办事创建独一的密钥,并遵照最小特权原则限定对其造访,确保密钥没有太多的造访权限。密钥假如落在犯罪分子手中,可以用来造访敏感资本和数据。创建IAM角色来分配特殊特权,例如进行API调用。

务一按期轮换密钥,以避免进击者有光阴截获被攻破的密钥,假冒特权用户渗透到云情况中。

不要应用root用户账户,纵然是要用于治理义务。应用root用户来创建具有指定权限的新用户。锁定root账户(可以经由过程添加多重身份验证来实现),仅用于详细的账户和办事治理义务。对付其他的账户,为用户供给适当的权限。

反省用户账户,查找那些未被应用的账户,并禁用它们。假如没有人应用这些账户,何必给进击者留下进击的后门呢。

5.包管情况安然仍旧很紧张

对付云情况防护,深层防御尤其紧张,由于纵然一项节制步伐掉败了,也会有其他安然步伐维持利用法度榜样、收集和数据的安然。

MFA在用户名和密码的根基上供给了额外的保护层,使得进击者很难攻入。应启用MFA,限定对治理节制台、仪表板和特权帐户的造访。

6.深度监视

主要云供应商都供给某种级其余日志记录对象,是以必然要启用安然日志记录和监视功能,看看是否有未经授权的造访和其他问题。例如,亚马逊为检察AWS情况供给了CloudTrail,但很多企业并没有应用该办事。当启用后,CloudTrail会记录所有AWS API调用的历史,包括API调用者的身份、调用的光阴、调用者的源IP地址、哀求参数,以及AWS办事返回的相应数据。它还可以用于变化跟踪、资本治理、安然性阐发和合规检察等。

7.采纳前移措施以包管安然

前移措施提倡在开拓历程中尽早斟酌安然身分,而不是在开拓的着末阶段增添安然步伐。McAfee的Flaherty说:“企业不仅应该监控IaaS平台上的器械,还应该在平台上线前反省所有进入平台的代码。采纳前移措施,能够在潜在的差错设置设置设备摆设摆设成长为问题之提高行审核并办理问题。”探求能够与Jenkins、K8s等其他对象相集成的安然对象,自动审核并更正历程。

不过,Threat Stack公司的首席安然官Sam Bisbee指出,仅有前移措施还不敷。Bisbee说:“应该在运行前扫描代码并履行设置设置设备摆设摆设反省,但人们每每忘怀反省事情负载在投入运行后是否相符要求。假如根据我当时知道的环境,进行了扫描,然后支配我的代码,这样是可以的。然则事情负载会持续运行数月以致数年,会发明新的破绽,并且跟着光阴的推移,代码中的风险也会增添。假如不持续监控,就不会受到保护。”

懂得企业的根基举措措施

Bisbee建议,不要像受过培训的很多收集安然专业职员那样,老是去探求已知的要挟,而是应该努力懂得企业完备的根基举措措施,以及在其上运行的内容。

诚然,在当今日益繁杂的多云情况中,这可能是很大年夜的寻衅。“然则,要知道某个器械应该是如何体现的,然后察看它什么时刻发生变更,这要比赓续地和入侵者进行‘打地鼠游戏’轻易得多。假如你异常懂得自己的情况,并且知道预期会发生什么,那就能够更有效地检测出差错设置设置设备摆设摆设等要挟,并主动解救风险。归根结底,安然在于深度监视,而不是节制。”

作者:Fahmida Y.Rashid是一名自由撰稿人,为CSO撰稿,其写作主题是信息安然。

James A. Martin是旧金山一位履历富厚的科技记者和博客写手,因为其在CIO.com上的博文而得到了2014年ASBPE国家金奖。

编译:Charles

原文网址:https://www.csoonline.com/article/3208905/top-cloud-security-controls-you-should-be-using.html

责任编辑:周星如

您可能还会对下面的文章感兴趣: