隨著針云攻擊越來(lái)越多，企業(yè)用戶必須提前對(duì)他們的云安全控制措施做好評(píng)估。在本文中，Dave Shackleford提供了一些防御云攻擊的最佳實(shí)踐。

[[119889]]

Alert Logic公司在最近發(fā)布了一篇2014云安全報(bào)告，報(bào)告顯示近期針對(duì)云的攻擊事件數(shù)量有明顯增長(zhǎng)的趨勢(shì)。但是，企業(yè)的云基礎(chǔ)設(shè)施是否為抗擊云攻擊做好了準(zhǔn)備呢?

鑒于針對(duì)云的攻擊事件數(shù)量日益增多，所有使用云算服務(wù)的組織都應(yīng)當(dāng)對(duì)他們已實(shí)施的安全控制措施的狀態(tài)進(jìn)行評(píng)估。

適用于客戶配置和控制的可用控制措施的類型是取決于所使用的云服務(wù)模式的。對(duì)于軟件即服務(wù)(SaaS)而言，唯一可能的配置是在云應(yīng)用程序的環(huán)境中。該配置可以包括日志記錄和訪問(wèn)控制(例如密碼策略和多因素身份驗(yàn)證，MFA等)，以及應(yīng)用程序內(nèi)的角色和權(quán)限分配。對(duì)于平臺(tái)即服務(wù)(PaaS)部署來(lái)說(shuō)，管理控制是通過(guò)服務(wù)控制臺(tái)來(lái)實(shí)現(xiàn)的，它主要關(guān)注訪問(wèn)控制和用戶的角色與權(quán)限。大多數(shù)的PaaS環(huán)境還提供了對(duì)大量應(yīng)用程序編程接口(API)的訪問(wèn)，這些都是需要對(duì)潛在的安全問(wèn)題進(jìn)行仔細(xì)評(píng)估的。

在本文中，我們將討論企業(yè)組織在評(píng)估云安全控制措施中應(yīng)當(dāng)遵循的最佳實(shí)踐。

漏洞掃描與滲透測(cè)試

漏洞掃描和滲透測(cè)試是所有PaaS和基礎(chǔ)設(shè)施即服務(wù)(IaaS)云服務(wù)都必須執(zhí)行的。無(wú)論他們是在云中托管應(yīng)用程序還是運(yùn)行服務(wù)器和存儲(chǔ)基礎(chǔ)設(shè)施，用戶都必須對(duì)暴露在互聯(lián)網(wǎng)中的系統(tǒng)的安全狀態(tài)進(jìn)行評(píng)估。大多數(shù)云供應(yīng)商都同意執(zhí)行這樣的掃描和測(cè)試，但是這要求他們事先與客戶和/或測(cè)試人員進(jìn)行充分溝通和協(xié)調(diào)，以確保其它的租戶(用戶)不會(huì)遭遇中斷事件或受到性能方面的影響。

對(duì)于在PaaS和IaaS環(huán)境中測(cè)試API和應(yīng)用程序的集成來(lái)說(shuō)，與云供應(yīng)商協(xié)作的企業(yè)應(yīng)重點(diǎn)關(guān)注處于傳輸狀態(tài)下的數(shù)據(jù)，以及通過(guò)繞過(guò)身份認(rèn)證或注入式攻擊等方式對(duì)應(yīng)用程序和數(shù)據(jù)的潛在非法訪問(wèn)。

配置管理

云安全措施中最重要的要素就是配置管理，其中包括了補(bǔ)丁管理。

在SaaS環(huán)境中，配置管理是完全由云供應(yīng)商負(fù)責(zé)處理的。如有可能，客戶可通過(guò)鑒證業(yè)務(wù)準(zhǔn)則公告(SSAE)第16號(hào)、服務(wù)組織控制(SOC)報(bào)告或ISO認(rèn)證以及云安全聯(lián)盟的安全、信任和保證注冊(cè)證明向供應(yīng)商提出一些補(bǔ)丁管理和配置管理實(shí)踐的要求。

在PaaS環(huán)境中，平臺(tái)的開發(fā)與維護(hù)都是由供應(yīng)商來(lái)負(fù)責(zé)的。應(yīng)用程序配置與開發(fā)的庫(kù)和工具可能是由企業(yè)用戶管理的，因此安全配置標(biāo)準(zhǔn)仍然還是屬于內(nèi)部定義范疇。然后，這些標(biāo)準(zhǔn)都應(yīng)在PaaS環(huán)境中被應(yīng)用和監(jiān)控。

對(duì)于IaaS環(huán)境，云供應(yīng)商們應(yīng)當(dāng)證明他們內(nèi)部實(shí)踐的可行性，但是他們的客戶還管理著他們自己的虛擬機(jī)(VM)。鑒于云環(huán)境中的開放程度，這些內(nèi)容都應(yīng)被盡可能安全的保護(hù)起來(lái)。由互聯(lián)網(wǎng)安全中心從安全配置入手，微軟公司以及其它的操作系統(tǒng)與應(yīng)用程序供應(yīng)商們是一個(gè)可靠的途徑，但是企業(yè)用戶不應(yīng)滿足于內(nèi)部運(yùn)行的安全配置，因?yàn)樵票举|(zhì)上是更具開放性的。關(guān)閉所有不必要的服務(wù)、刪除所有不需要的應(yīng)用程序和代碼、限制用戶和組的訪問(wèn)權(quán)限至最低需要限度并且始終保證為系統(tǒng)打補(bǔ)丁的實(shí)時(shí)性。

對(duì)于用戶正在運(yùn)行一個(gè)私有云實(shí)施的IaaS環(huán)境，這就要求各種網(wǎng)絡(luò)控制措施也是可配置的。例如，一個(gè)亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)中的虛擬私有云可以通過(guò)IPsec支持一個(gè)專用的VPN連接。確保IPsec相關(guān)參數(shù)是正確配置的，同時(shí)所有其它的網(wǎng)絡(luò)設(shè)施(例如防火墻和入侵檢測(cè)與預(yù)防系統(tǒng))的設(shè)置都是被正確設(shè)置和處于被保護(hù)中的。

云供應(yīng)商的安全控制

云供應(yīng)商融入安全配置過(guò)程的切入點(diǎn)在哪里?云供應(yīng)商負(fù)責(zé)所有基礎(chǔ)設(shè)施的運(yùn)行，其中包括了虛擬化技術(shù)、網(wǎng)絡(luò)以及存儲(chǔ)等各個(gè)方面。它還負(fù)責(zé)其相關(guān)代碼，包括了管理界面和API，所以對(duì)它的開發(fā)實(shí)踐和系統(tǒng)開發(fā)生命周期的評(píng)價(jià)也是非常必要的。只有IaaS客戶會(huì)對(duì)整個(gè)系統(tǒng)規(guī)格擁有真正的控制權(quán);如果虛擬機(jī)是基于一個(gè)供應(yīng)商提供的模板(例如亞馬遜的虛擬機(jī)鏡像)而部署的，那么在實(shí)際使用前也應(yīng)對(duì)這些虛擬機(jī)進(jìn)行仔細(xì)研究并確保其安全性。

結(jié)論

一家組織如何確定在強(qiáng)化自身應(yīng)對(duì)云攻擊的準(zhǔn)備工作中應(yīng)投入多少的時(shí)間、精力和資金?其答案取決于企業(yè)在云中所托管系統(tǒng)和數(shù)據(jù)的敏感性。

無(wú)論其敏感性具體是如何的，所有的企業(yè)都應(yīng)在評(píng)估云供應(yīng)商的安全功能和控制措施上投入必要的時(shí)間，從而確定他們是否滿意。云安全聯(lián)盟的共識(shí)評(píng)估問(wèn)卷(CAIQ)就是一個(gè)向云計(jì)算供應(yīng)商提問(wèn)的很好出發(fā)點(diǎn)。企業(yè)應(yīng)確保他們的審計(jì)和安全團(tuán)隊(duì)能夠定期地查審反饋，以及諸如SOC 2這樣的審計(jì)與驗(yàn)證報(bào)告。對(duì)于那些部署在云中的系統(tǒng)和應(yīng)用程序，打補(bǔ)丁、配置管理以及應(yīng)用程序安全性(包括開發(fā)和評(píng)估)都是需要投資的重要領(lǐng)域。用戶訪問(wèn)控制和角色與權(quán)限分配也是至關(guān)重要的。

在云環(huán)境中發(fā)生攻擊或事故之前，組織就應(yīng)盡可能多地了解由供應(yīng)商維護(hù)的安全控制以及那些由用戶使用的安全控制是非常關(guān)鍵的，因?yàn)檫@將有助于決策層作出更全面和更明智的風(fēng)險(xiǎn)決策。