管理员忘记开启基本的安全控制功能,导致人为失误,是造成云数据泄露的主要原因之一。无论您使用的是AmazonWebServices、MicrosoftAzure还是GoogleCloudPlatform,请牢记这些规则以保护您的企业云工作负载。有一天,由于基于云的系统配置错误,又发生了一次数据泄露事件。今年夏天,臭名昭著的CapitalOne漏洞就是最突出的例子。该漏洞是由金融服务公司在其托管在AmazonWebServices(AWS)上的业务中使用的配置错误的开源Web应用程序防火墙(WAF)引起的。配置错误的WAF显然被允许列出所有AWS数据存储桶中的所有文件,并被允许读取每个文件的内容。根据安全博客Krebs的说法,错误配置允许入侵者诱骗防火墙将请求转发到AWS上的关键后端资源。该资源“负责向云服务器分发临时信息,包括从安全服务发送的当前凭证,用于访问服务器可以访问的云中的任何资源,”博客文章解释道。该漏洞影响了大约1亿美国公民,大约140,000个社会安全号码和80,000个银行帐号被盗,最终可能使CapitalOne损失高达1.5亿美元。让我们来看看为什么错误配置仍然是云服务的常见挑战,然后介绍7项云安全控制措施以降低风险。误配置很严重,而且很可能会变得更糟那么,云系统误配置问题到底有多严重呢?Gartner曾估计,到2022年,至少95%的云安全故障将由客户引起。它配置错误且管理不善。根据Gartner的说法:“挑战不是云本身的安全性,而是安全策略和技术,以及对技术的控制。在几乎所有情况下,未能管理的是用户,而不是云提供商企业数据的安全控制,CIO的问题不应该是“云安全吗?”但‘我是否安全地使用云?’”有许多因素会导致并加剧错误配置问题。误解和假设。人们通常认为云服务提供商负责云环境的安全,但事实并非如此。亚马逊、微软和谷歌等基础设施即服务(IaaS)提供商负责其物理数据中心和运行虚拟机的服务器硬件的安全。客户负责保护他们的虚拟机和应用程序。云提供商提供安全服务和工具来保证客户工作负载的安全,但实际上由客户管理员来实施必要的保护措施。如果客户无法保护自己的网络、用户和应用程序,云提供商无法提供再多的安全防御。常识与现实之间的脱节。迈克菲2019年9月对11个国家/地区的1,000家企业进行的一项调查发现,许多违规行为发生在IaaS环境中,这与我们熟悉的“恶意软件渗透”方法不同。在大多数情况下,此类违规行为“是对云环境配置错误留下的数据的机会主义攻击”。在调查的同时,迈克菲还调查了事件中的数百万云用户和数十亿客户。匿名的聚合事件数据。数据显示,使用IaaS环境的企业在意识到错误配置与更多错误配置没有引起他们注意之间存在巨大差距。受访者表示,他们平均每月发现37起配置错误事件,但McAfee的客户数据显示,这些企业实际上每月经历约3,500起配置错误事件,同比增长54%。换句话说,根据McAfee的说法,企业IaaS环境中99%的错误配置未被发现。有许多工具可以检测和利用配置错误的云服务。根据赛门铁克2019年的《互联网威胁报告》,2018年AWSS3存储桶成为众多企业的软肋,超过7000万条记录因配置不当被盗或泄露。潜在的攻击者可以利用大量工具来发现Internet上配置错误的云资源。除非企业采取措施妥善保护其云资源,例如按照亚马逊的建议保护S3存储桶,否则它们将很容易受到攻击。日益复杂的企业IT环境。McAfee指出,由于越来越多地采用多云环境,再加上缺乏对组织正在使用的所有云服务的全面可见性,配置错误的问题更加严重。在最近的一项研究中,76%的企业报告采用了多云环境,但对客户数据的检查发现,这些环境中有92%实际上是多云环境,同比增长18%。虽然多云环境具有优势,但它们的治理、管理和控制很复杂。McAfee产品营销总监DanFlaherty评论道:“负责IaaS平台数据安全的安全从业人员一直非常忙碌,以至于他们没有一种自动化的方式来监控和自动纠正所有云服务中的错误配置。此外,不断增长的IaaS市场的激烈竞争促使亚马逊、微软和谷歌为其产品添加新功能。“仅AWS就增加了大约1,800项功能,而第一年大约增加了28项。”因此,安全从业者要跟上新特性和功能的快速发展可能具有挑战性,这反过来又可能导致错误配置.在复杂的多云环境中,每个平台或服务的使用都应该有专家在场,以确保采取适当的安全措施。此外,CloudKnox安全公司首席执行官BalajiParimi表示,最近云技术也取得了进展,例如无服务器应用程序和架构、K8s容器化工作负载和服务,以及越来越多地使用云计算来连接各种云服务。如果不采取预防措施并且不持续监控和调整访问权限,应用程序编程接口(API)等极有可能出现错误配置。他补充说,“人们才刚刚开始了解这些新的云技术和趋势非常危险的一面。他们将已有数十年历史的安全方法应用于这些新技术,通常基于静态角色和对访问权限的假设。Yeoh说,关键在于:日益复杂的IT环境使得难以在整个环境中实施有助于发现和防止错误配置问题的简单安全控制。1.知道你负责什么所有的云服务都是不一样的,责任也不一样。软件即服务(SaaS)提供商确保他们的应用程序受到保护,数据得到安全传输和存储,而IaaS环境并非总是如此。例如,企业应对其AWSElasticComputeCloud(EC2)、AmazonEBS和AmazonVirtualPrivateCloud(VPC)实例负全部责任,包括配置操作系统、管理应用程序、保护数据等。相比之下,Amazon认为S3的操作系统和应用程序,而企业负责管理数据、访问控制和身份识别策略。亚马逊提供了加密S3数据的工具,但这取决于企业在进入和离开服务器时是否启用。保护能力。应与IaaS提供商仔细核实谁负责每个云安全控制。2.控制谁可以访问企业应该控制谁可以使用他们的云服务。例如,根据RedlockCloudSecurityIntelligence(CSI)2018年5月的研究,超过一半(51%)的企业意外暴露了至少一项云存储服务,例如AWSS3存储驱动器。尽管亚马逊和其他云服务提供商警告说,任何有互联网连接的人都应该被禁止访问存储驱动器的内容。一般来说,只有负载均衡器和堡垒机能够直接出现在互联网上。许多管理员在公共子网上使用0.0.0.0/0,错误地在服务器上启用了全局权限。连接是完全免费的,每台电脑都可以连接。另一个常见的错误是允许来自互联网的直接安全外壳(SSH)连接,这意味着任何可以找到服务器地址的人都可以绕过防火墙并直接访问数据。2019年,PaloAltoNetworks42ThreatResearch在公共云中搜索了暴露的服务。在发现的暴露主机和服务中,32%提供了开放的SSH服务。“虽然SSH是最安全的协议,但将这一强大的服务暴露给整个互联网太危险了。任何错误配置或易受攻击/泄露的证书都可能导致主机受到威胁,”报告指出。主要云供应商提供身份识别和访问控制工具,使用它们可以知道谁在何时访问了哪些数据。创建身份和访问控制策略时,将最高权限限制在最低限度,并且只在需要时临时授予额外权限。配置安全权限尽可能窄的安全组,尽可能使用参考安全组ID。考虑使用像CloudKnox这样的工具,它允许组织根据用户活动数据设置访问控制权限。3.保护数据另一个常见的错误是在没有加密的情况下将数据放在云端。选民信息和敏感的五角大楼文件被泄露,因为数据没有加密,允许未经授权的人访问服务器。在没有适当控制对服务器的访问以保护数据的情况下,将敏感数据存储在云中是不负责任和危险的。尽可能控制加密密钥。虽然可以让云服务提供商提供访问密钥,但保护数据的责任在于企业。尽管云提供商提供加密工具和托管服务,但许多企业实际上并未使用它们。加密是一种安全措施——即使安全配置失败,数据落入未授权方手中,他们也无法使用数据。4.保护凭证正如2017年OneLogin漏洞所证明的那样,AWS访问密钥被泄露的情况并不少见。这些密钥出现在公共网站、源代码存储库、不安全的K8s仪表板和其他一些论坛上。将AWS访问密钥视为您最敏感和最有价值的资产,并教育开发人员避免在公共论坛上泄露此类密钥。为每个对外服务创建一个唯一的key,并按照最小权限原则限制访问,保证key不会有过多的访问权限。密钥,如果落入坏人之手,可用于访问敏感资源和数据。创建IAM角色以分配特殊权限,例如进行API调用。定期轮换密钥非常重要,以避免攻击者有时间截获泄露的密钥并冒充特权用户渗透云环境。不要使用root用户帐户,即使是管理任务。使用root用户创建具有指定权限的新用户。将根帐户锁定(通过添加多因素身份验证可能)仅用于特定帐户和服务管理任务。对于其他帐户,为用户提供适当的权限。检查用户帐户,找到未使用的帐户,然后将其禁用。如果没有人使用这些帐户,为什么要给攻击者一个后门进行攻击。5.保护您的环境仍然很重要对于云保护,深度防御尤为重要,因为即使一个控制失效,还有其他安全措施可以确保应用程序、网络和数据的安全。MFA在用户名和密码之上提供额外的保护层,使攻击者更难入侵。应启用MFA,限制对管理控制台、仪表板和特权帐户的访问。6.深度监控各大云提供商都提供了一定程度的日志记录工具,所以一定要启用安全日志记录和监控未授权访问等问题。例如,Amazon提供CloudTrail用于审计AWS环境,但许多企业并未使用该服务。启用后,CloudTrail将记录所有AWSAPI调用的历史记录,包括API调用者的身份、调用时间、调用者的源IP地址、请求参数以及AWS服务返回的响应数据。它还可以用于变更跟踪、资源管理、安全分析和合规性审查等。7.采用前瞻性方法来确保安全性前瞻性方法提倡在开发过程中尽早考虑安全因素,而不是增加安全性开发最后阶段的措施。McAfee的Flaherty说:“公司不仅应该监控IaaS平台上的内容,还应该在平台上线之前审查进入该平台的所有代码。采用前瞻性方法,可以在潜在的错误配置成为问题之前对其进行审查和解决”寻找可以与Jenkins、K8s和其他工具集成的安全工具,以自动化审计和更正过程。然而,ThreatStack的首席安全官SamBisbee指出,仅靠前瞻性方法是不够的。Bisbee说:“代码应该在运行前进行扫描和配置检查,但人们常常忘记在投入运行后检查工作负载是否满足要求。如果我扫描并根据我在现场了解的情况部署我的代码时间,这没关系。但是工作负载运行数月甚至数年,新的漏洞被发现,并且代码中的风险随着时间的推移而增加。没有持续监控,您就得不到保护。“了解您组织的基础设施Bisbee建议,不要像许多网络安全专业人员受过培训那样总是寻找已知威胁,而是尝试了解您组织的完整基础设施及其上运行的内容。诚然,在当今日益复杂的多云环境中,这可能是一个相当大的挑战。“然而,了解某物应该如何表现然后观察它何时发生变化比不断与入侵者打地鼠游戏要容易得多。如果您对自己的环境和期望有很好的了解,则可以更有效地检测错误配置等威胁并主动修复风险。归根结底,安全是关于深度监视,而不是控制。“
