数据和各种业务的上云,让很多企业重新思考自己的网络安全体系。企业上云后将面临怎样的安全风险?对于乙方来说,这篇文章是一份参考清单——我购买的云安全工具和服务能否保护我所有的敏感数据?它能否抵御以下每一个细分的云安全威胁?能否抵御云环境下的六大攻击模式?对于安全厂商来说,也可以反思自己的云安全产品和服务的现状:我现有的云安全能力可以保护哪些敏感能力?数据?我可以防御哪些细分的云安全威胁?针对各种云端攻击模式,我已经有哪些相应的解决方案?1.云上有哪些敏感数据?1.McAfee♂2018年10月,MikeFei发布了一篇名为《Cloud Adoption and Risk Report 2018》的报告。该研究表明,与上一年相比,2018年通过云共享的敏感数据量增加了53%,增幅巨大。McAfee报告称,云中所有文件中有21%是敏感数据,其中48%的敏感文件最终被共享。仅去年一年,就有超过28%的机密数据存储在云端。敏感数据包括企业机密数据(27%)、电子邮件数据(20%)、受密码保护的数据(17%)、个人身份信息(PII)(16%)、支付信息(12%)和个人医疗记录(9%)。随着人们对云计算的信任度和依赖度不断提高,云端的机密数据也面临着越来越高的安全风险。被黑客攻击并不是这些数据面临的唯一风险。McAfee发现,每个企业平均有14个配置错误的IaaS(基础设施即服务)操作在运行,平均每月有2,200起由错误配置引起的安全事件。2.SANSInstitute《 2019 年云安全报告》和SANS于今年5月发布了《 2019 年云安全报告》,调查样本数百个,涵盖金融、IT、政府等行业。分析师、IT部门经理、CSO、CISO、合规分析师等。调查显示,与商业智能相关的数据(48.2%)存储在云端的最多,知识产权数据也差不多(47.7%),其次是客户个人数据(47.7%)和财务数据(41.7%).此外,存储量大的还包括企业员工信息(37.7%)。详见下图:云上的敏感数据(数据来源:SANSInstitute)2.云安全威胁有哪些类型?1.AlertLogic研究报告。各种形式的云环境所面临的风险数据的性质和数量。该调查共历时18个月,分析了来自3,800多家客户的147PB数据,以对安全事件进行量化和分类。主要调查结果如下:混合云环境的每位用户平均安全事件数最高,为977起,其次是托管私有云(684)、本地数据中心(612)和公共云(405)。到目前为止,最常见的事件类型是Web应用程序攻击(75%),其次是暴力攻击(16%)、侦察(5%)和服务器端勒索软件(2%)。Web应用程序攻击最常见的方法是SQL(47.74%),其次是Joomla(26.11%)、ApacheStruts(10.11%)和Magento(6.98%)。Wordpress是最常见的暴力攻击目标,占41%,其次是MSSQL,占19%。2.SANSInstitute《 2019 年云安全报告》第二组云环境所面临的威胁数据仍然来自SANSInstitute的?。调查发现,最严重的云威胁是身份劫持(Accountorcredentialhijacking0,达到48.9%),其次是云服务的错误配置(42.2%)。这一数据也与此前McAfee研究报告中发现的现象相吻合——“黑客攻击并不是云上敏感数据面临的唯一风险,错误配置问题也是大量安全事件的主要原因。”排名第三的威胁是特权用户滥用。其他威胁包括未经授权的授权应用程序组件、不安全的API接口、“影子IT”、拒绝服务攻击、直接从云应用程序泄露敏感数据、利用云供应商或开放API中的漏洞、虚拟化攻击以及其他由托管引起的安全风险云应用的交叉使用等。划分云环境中的威胁类型(来源:SANSInstitute)如何减少安全威胁对云的影响,这里有3条基本但极其重要的建议:白名单访问阻止未知程序,包括每个应用程序都经过风险评估。获得对整个补救过程的控制并提高补救工作的优先级。根据当前用户职责限制访问-应用程序和操作系统权限的实时更新。3、云环境六大攻击模式随着越来越多的企业向私有云、公有云数据中心虚拟化、容器化转型,传统的安全防御措施显然力不从心。许多安全专家一致认为,安全工具必须适应虚拟基础架构之间和虚拟基础架构内部的新界限,在正确的时间出现在正确的位置。2018年4月,云安全厂商ShieldX提出了2018年可能出现的6种云安全攻击模式。1、跨云攻击黑客利用跨云攻击,通过公有云访问目标本地和私有云系统。公有云中被恶意攻击者破坏的工作负载可能允许攻击传播到私有云。在物理环境中,如果水平防御到位,则可以将风险降至最低。但如果他们迁移到公共云,许多企业将忽略安全边界已经改变的现实。公有云不具备本地环境的防御能力,安全能力的直接迁移也非常困难。2、跨数据中心攻击黑客一旦进入数据中心,下一步就是横向移动,即内网渗透。一个可能的原因是数据中心的交付点(PoD)之间的连接被视为受信任的区域。如果攻击者成功破坏了其中一个PoD,他就可以获得对其他连接的数据中心的访问权限。3.跨租户攻击在多租户环境中,黑客可以利用云租户之间的网络流量发起攻击。租户可能认为云提供商已经保护了他们的资产,但实际上,大部分防御措施都需要自己实施。与本地环境类似,通过多层防御发送流量可以降低这种云威胁的风险,但何时何地部署需要专业知识。4.跨工作负载攻击基于云和虚拟化的工作负载以及容器可以很容易地连接起来。攻击者可以访问其他工作负载,无论是虚拟桌面、虚拟Web服务器还是数据库。特别是当工作负载运行在同一个租户上时,很难防止跨工作负载攻击活动的发生。如果所有的工作负载都被阻塞,虽然达到了安全的目的,但无法发挥正常的功能,也就失去了存在的本来意义。我们建议将具有类似安全要求的工作负载放置在具有某些安全措施的区域中,这些安全措施除了基本分段之外还允许流量监控。5.编排攻击云编排技术可以优化许多关键任务,包括配置、服务器部署、存储和网络管理、身份和权限管理以及工作负载创建。黑客经常使用精心策划的攻击来窃取帐户登录密码或私人加密密钥。一旦获得信息,编排任务就开始了,最终掌握了对系统的控制和访问权限。抵御编排攻击需要一种新兴的方法来监控异常账户。6.无服务器攻击无服务器应用程序无需构建或扩展基础架构即可快速启动云功能。这种“功能即服务”方法为黑客创造了新机会,也为网络防御者带来了新挑战。任何新功能都有可能访问敏感资产,例如数据库。因此,如果某个功能的权限设置不正确,攻击者很可能会通过该功能执行许多任务,例如访问数据或创建新帐户。与精心策划的攻击一样,检测无服务器攻击的最佳方法是监控帐户行为,并结合网络流量监控来优化保护。4.小结云计算的便利性和适用性在科学技术飞速发展的今天得到了充分的体现。不仅优化了用户采购和管理,也为物联网、加密货币等新技术的应用提供了有利条件。但云环境下的业务安全和数据安全问题也变得更加令人担忧。总体而言,云安全的整体发展正在改善,尽管速度较慢。许多云安全厂商也在尝试弥合云上和云下安全措施的实施差距,并根据云环境的独特特性开发安全产品。【本文为专栏作者“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读作者更多好文
