僅僅將你的本地安全控制遷移到一個全新的云環(huán)境是不夠的。即使是擁有多年經(jīng)驗的云組織也很脆弱。

隨著企業(yè)將云服務(wù)的使用范圍擴(kuò)大到包括關(guān)鍵業(yè)務(wù)應(yīng)用程序和數(shù)據(jù)，安全漏洞的風(fēng)險成為了一個C級問題。輕率地將專為內(nèi)部基礎(chǔ)設(shè)施和安全控制設(shè)計的內(nèi)部系統(tǒng)遷移到完全不同的云架構(gòu)，常常是因為沒有完全理解云安全的特性、控制、網(wǎng)絡(luò)設(shè)計和用戶責(zé)任，這將后患無窮。即使像Capital One這樣的組織，擁有多年AWS經(jīng)驗、對云技術(shù)細(xì)微差別有深刻理解的公司，也可能被黑客利用，很明顯，每個云用戶都需要加倍努力保護(hù)自己的安全。值得慶幸的是，有一個像云安全聯(lián)盟(CSA)這樣的組織致力于通過開發(fā)策略、建議和威脅研究來提高云環(huán)境的安全性。

[[274044]]

“作為DEF CON黑客大會的公共化版本，Black Hat 事件已經(jīng)成為大多數(shù)安全廠商和研究人員必須停止的活動。和大多數(shù)安全會議一樣，會議上也充斥著關(guān)于此前未知的軟件漏洞的可怕聲明、新的攻擊方法以及黑客技術(shù)的創(chuàng)造性演示。不幸的是，與大多數(shù)安全事件一樣，黑帽內(nèi)容的優(yōu)勢描述的是威脅和漏洞，而不是對策和軟件修復(fù)。CSA遵循腳本使用該事件發(fā)布關(guān)于云威脅的新報告，但是使用另一份報告進(jìn)行反擊，該報告詳細(xì)描述了通過將安全性集成到軟件開發(fā)和IT操作中來改進(jìn)組織的安全狀況的結(jié)構(gòu)改進(jìn)。”

首先，找出威脅

正如Capital One事件所展示的那樣，使用云基礎(chǔ)設(shè)施和應(yīng)用程序開辟了新的網(wǎng)絡(luò)攻擊途徑，同時通過在云提供商和用戶之間分擔(dān)安全策略的責(zé)任，使應(yīng)用程序和數(shù)據(jù)安全的責(zé)任復(fù)雜化。上周的專欄關(guān)注的是職責(zé)劃分，而CSA的一份新報告強(qiáng)調(diào)了云計算引入的新威脅載體。

CSA頂級威脅工作組定期發(fā)布其對企業(yè)云用戶面臨的最重要安全問題的評估。隨著時間的推移，該小組發(fā)現(xiàn)傳統(tǒng)上對核心基礎(chǔ)設(shè)施的威脅如拒絕服務(wù)攻擊或針對硬件和操作系統(tǒng)的漏洞都被云提供商有效的保護(hù)起來了，而軟件堆棧中更高層次的問題是云用戶的責(zé)任。CSA發(fā)布的一份關(guān)于云計算最大威脅的報告指出，

“調(diào)查中得分較高的新項目更加細(xì)致入微，表明消費(fèi)者對云的理解已經(jīng)成熟。這些問題本質(zhì)上是特定于云的，因此表明了消費(fèi)者正在積極考慮云遷移的技術(shù)前景。這些主題涉及潛在的控制平面弱點(diǎn)、元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)故障以及有限的云可見性。這一新的重點(diǎn)明顯不同于以往更常見的威脅、風(fēng)險和漏洞(即數(shù)據(jù)丟失、拒絕服務(wù))，這些在以前的頂級威脅報告中表現(xiàn)得更為突出。”

該工作組使用微軟STRIDE威脅模型，分析了六個威脅類別中每個問題的范圍和重要性，并將其歸納為19個最突出的云安全威脅。其結(jié)果就是該組織所稱的“驚人的11個”，按重要性排列如下。

1. 數(shù)據(jù)泄露，例如Capital One事件，其中“敏感、受保護(hù)或機(jī)密信息被未經(jīng)授權(quán)的個人發(fā)布、查看、竊取或使用”。

2. 錯誤配置和不充分的變更控制是由設(shè)置錯誤導(dǎo)致的，這些錯誤使云資源容易受到惡意活動的攻擊。”

3.缺乏云安全體系結(jié)構(gòu)和策略，導(dǎo)致IT部門不理解自己在云安全中的角色，或者不小心將現(xiàn)有的內(nèi)部應(yīng)用程序遷移到云基礎(chǔ)設(shè)施，而沒有使其適應(yīng)新的安全環(huán)境。

4. 不充分理解云身份和訪問管理(IAM)服務(wù)和控制以及不充分地保護(hù)云憑據(jù)，例如頻繁地旋轉(zhuǎn)加密密鑰、密碼和證書，從而導(dǎo)致身份、憑據(jù)、訪問和密鑰管理不足。

5. 通過網(wǎng)絡(luò)釣魚攻擊或竊取憑證劫持帳戶(見#4)。

6. 內(nèi)部威脅，指某人濫用其對云資源的授權(quán)訪問，惡意或無意地破壞系統(tǒng)或暴露敏感數(shù)據(jù)以破壞操作。這些威脅可能來自現(xiàn)任或前任雇員、承包商或可信任的業(yè)務(wù)伙伴。

7. 不安全的接口和API，其中配置或設(shè)計不良的API允許攻擊者濫用應(yīng)用程序或訪問數(shù)據(jù)。正如該報告所詳細(xì)描述的，面向公眾的云系統(tǒng)的接口不斷受到攻擊，而且，正如Capital One所發(fā)現(xiàn)的，它常常是攻擊者訪問其他內(nèi)部漏洞的門戶。

8. “弱控制平面”就是沒有經(jīng)過深思熟慮的云策略的一個例子，這種策略導(dǎo)致沒有充分理解云管理、安全控制和數(shù)據(jù)流，以及不恰當(dāng)?shù)厥宫F(xiàn)有流程適應(yīng)明顯不同的環(huán)境。

9. 元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)的失敗是由云提供商對API和其他管理接口的弱實現(xiàn)造成的。根據(jù)CSA的報告,

元結(jié)構(gòu)被認(rèn)為是CSP/客戶界線，也稱為基線。為了提高客戶對云的可見性，csp經(jīng)常公開或允許API與水線上的安全進(jìn)程進(jìn)行交互。不成熟的csp常常不確定如何使api對客戶可用，以及在多大程度上可用。例如，允許客戶檢索日志或?qū)徲嬒到y(tǒng)訪問的api可能包含高度敏感的信息。

雖然不在基線上，但是用于啟動服務(wù)器端請求偽造(SSRF)的AWS元數(shù)據(jù)服務(wù)是元結(jié)構(gòu)失敗的一個例子。

10. 當(dāng)不完全了解組織內(nèi)的云使用情況，從而忽略安全問題時，就會出現(xiàn)有限的云使用可視性。當(dāng)以下兩種情況發(fā)生時:(a)員工未經(jīng)IT授權(quán)使用云應(yīng)用程序和/或資源，即影子IT，或(b)授權(quán)的內(nèi)部人員濫用其訪問權(quán)限(#6)就會出現(xiàn)上述的結(jié)果。

11. 濫用和惡意使用云服務(wù)，攻擊者使用云服務(wù)來托管惡意軟件或發(fā)起攻擊，隱藏在云提供商域名的合法性背后。來自云基礎(chǔ)設(shè)施的威脅通常包括惡意軟件存儲和傳播、DDoS攻擊、電子郵件垃圾郵件和釣魚活動以及自動點(diǎn)擊欺詐。

作為CSA的CEO和創(chuàng)始人，Jim Reavis在一次采訪中指出，這些安全問題影響著所有類型的云服務(wù)，包括SaaS，而不僅僅是像AWS這樣的基礎(chǔ)設(shè)施，

這份報告非常值得一讀，因為它詳細(xì)描述了每種威脅的業(yè)務(wù)影響和真實世界的例子，以及針對每種威脅的特定云控制(來自CSA的CCM分類)。一份配套文件分析了9起新聞事件，顯示了威脅的來源、分類、技術(shù)和商業(yè)影響，以及本可以阻止或減輕攻擊的CCM控制。例如，下面是Zynga數(shù)據(jù)泄露的總結(jié)圖表。