信息化觀察網(wǎng)

某一天，由于基于云的系統(tǒng)配置錯誤，又發(fā)生了一起數(shù)據(jù)泄露事件。今年夏天，臭名昭著的Capital One泄露事件就是最突出的一個例子。該泄露事件是由一個配置錯誤的開源Web應用防火墻（WAF）造成的，這家金融服務公司在其托管在亞馬遜網(wǎng)絡服務（AWS）上的業(yè)務中使用了WAF。

配置錯誤的WAF顯然被允許列出所有AWS數(shù)據(jù)存儲桶中的所有文件，并允許讀取每個文件的內容。據(jù)安全博客Krebs稱，這一錯誤的配置使得入侵者能夠欺騙防火墻，把請求轉發(fā)到AWS上的一個關鍵后端資源上。博文解釋說，該資源“負責向云服務器分發(fā)臨時信息，包括從安全服務發(fā)送的當前證書，用于訪問該服務器可以訪問的云中的任何資源”。

此次泄露事件影響了大約1億美國公民，大約14萬個社會保險號碼和8萬個銀行賬戶號碼被盜，最終可能導致Capital One損失高達1.5億美元。

讓我們來看看為什么錯誤配置仍然是云服務的常見挑戰(zhàn)，然后介紹用來降低風險的7種云安全控制舉措。

錯誤配置很嚴重，而且可能會越來越糟

那么，云系統(tǒng)配置錯誤的問題有多嚴重呢？Gartner曾經(jīng)做過估計：到2022年，至少95%的云安全故障都是由客戶造成的，原因是錯誤配置和管理不善。

Gartner稱：“挑戰(zhàn)不在于云本身的安全性，而在于安全方面的政策和技術，以及對技術的控制。在幾乎所有情況下，是用戶而不是云提供商未能管理好用于保護企業(yè)數(shù)據(jù)的控件，首席信息官的問題不應該是‘云是否安全？’，而是‘我是否安全地在使用云？’”

有很多因素導致并加劇了配置錯誤的問題。

● 誤解和假設。人們常常認為是由云服務供應商負責云環(huán)境的安全，不完全是這樣。亞馬遜、微軟和谷歌等基礎設施即服務（IaaS）提供商負責其物理數(shù)據(jù)中心和運行虛擬機的服務器硬件的安全?？蛻魟t負責保護其虛擬機和應用程序的安全。云供應商提供了安全服務和工具來保證客戶工作負載的安全，而實際是由客戶的管理員去實施必要的防護措施。如果客戶不能保護他們自己的網(wǎng)絡、用戶和應用程序，云供應商提供再多的安全防御措施也是徒勞。

● 常識與現(xiàn)實的脫節(jié)。2019年9月，McAfee公司對11個國家1000家企業(yè)進行的調查發(fā)現(xiàn)，在IaaS環(huán)境中發(fā)生了很多泄露事件，這些事件不同于人們熟悉的“惡意軟件滲透”方法。在大多數(shù)情況下，這類泄露事件“是對云環(huán)境配置錯誤所留下的數(shù)據(jù)進行的機會性攻擊。”

在調查的同時，McAfee還檢查了數(shù)百萬云用戶和數(shù)十億事件中客戶匿名的、匯總的事件數(shù)據(jù)。數(shù)據(jù)顯示，使用IaaS環(huán)境的企業(yè)意識到了有錯誤配置，但更多的是那些沒有引起他們注意的錯誤配置，這之間存在著巨大差距。調查對象表示，他們平均每月能發(fā)現(xiàn)37起錯誤配置事件，但McAfee的客戶數(shù)據(jù)顯示，這些企業(yè)每月實際發(fā)生大約3500起錯誤配置事件，每年同比增長54%。換句話說，根據(jù)McAfee的數(shù)據(jù)，企業(yè)IaaS環(huán)境中99%的錯誤配置都沒有被發(fā)現(xiàn)。

● 有很多工具能夠發(fā)現(xiàn)并利用配置錯誤的云服務。據(jù)賽門鐵克2019年的《互聯(lián)網(wǎng)威脅報告》，2018年，AWS S3存儲桶成為很多企業(yè)的致命弱點，7000多萬條記錄因配置不當而被盜或者泄露。潛在的攻擊者可以利用大量的工具，發(fā)現(xiàn)互聯(lián)網(wǎng)上配置錯誤的云資源。除非企業(yè)采取措施來適當?shù)乇Ｗo他們的云資源，比如按照亞馬遜的建議來保護S3存儲桶，否則他們將很容易受到攻擊。

● 越來越復雜的企業(yè)IT環(huán)境。McAfee指出，企業(yè)越來越多地采用多云環(huán)境，再加上對企業(yè)所有正在使用的云服務缺乏全面的認識，這加劇了配置錯誤的問題。在最近的研究中，76%的企業(yè)報告稱采用了多云環(huán)境，但一項對客戶數(shù)據(jù)的檢查發(fā)現(xiàn)，實際上這些環(huán)境中有92%是多云的，每年同比增長18%。

● 雖然多云環(huán)境具有優(yōu)勢，但在監(jiān)管、管理和控制方面非常復雜。McAfee的產(chǎn)品營銷總監(jiān)Dan Flaherty評論說：“負責IaaS平臺數(shù)據(jù)安全的安全從業(yè)人員一直非常忙碌，他們沒有一種自動化的方法來監(jiān)視并自動糾正所有云服務中的錯誤配置。”

此外，在不斷增長的IaaS市場上，激烈的競爭促使亞馬遜、微軟和谷歌都在各自的產(chǎn)品中添加了新功能。云安全聯(lián)盟全球研究副總裁John Yeoh指出：“僅AWS今年就增加了大約1800項功能，而其推出的第一年只有大約28項功能。”因此，對于安全從業(yè)人員來說，跟上新特性和功能的快速發(fā)展是很大的挑戰(zhàn)，而這反過來又會導致錯誤的配置。Yeoh說：“在復雜的多云環(huán)境中，所使用的每一個平臺或者服務都應該有相應的專家，以確保采取了適當?shù)陌踩胧?rdquo;

CloudKnox安全公司首席執(zhí)行官Balaji Parimi指出，此外，云技術最近不斷進步，例如，無服務器應用程序和架構、K8s容器化的工作負載和服務，以及越來越多地使用連接各種云服務的應用程序編程接口（API），等等，如果不采取預防措施，也沒有持續(xù)監(jiān)視和調整訪問權限，那么，錯誤配置的可能性會非常高。他補充道，“人們還只是剛剛開始了解這些新的云技術和趨勢非常危險的一面。他們往往根據(jù)靜態(tài)角色和有關訪問權限的假設，將數(shù)十年前的安全方法應用于這些新技術。”

Yeoh指出，關鍵是：越來越復雜的IT環(huán)境使得在整個環(huán)境中很難實現(xiàn)簡單的安全控制措施，而這些措施有助于發(fā)現(xiàn)并防止錯誤配置問題。

以下介紹的是企業(yè)應采用的7種云安全控制舉措。

1.明了你要負責什么

所有云服務都不盡相同，要負的責任也有所不同。軟件即服務（SaaS）供應商會確保他們的應用程序受到保護，數(shù)據(jù)被安全地傳輸和存儲，而IaaS環(huán)境并非總是如此。例如，企業(yè)應完全負責其AWS彈性計算云（EC2）、亞馬遜EBS和亞馬遜虛擬私有云（VPC）實例，包括配置操作系統(tǒng)、管理應用程序、保護數(shù)據(jù)等。

相反，亞馬遜維護S3的操作系統(tǒng)和應用程序，而企業(yè)負責管理數(shù)據(jù)、訪問控制和身份識別策略。亞馬遜提供了為S3數(shù)據(jù)加密的工具，但這取決于企業(yè)在進入和離開服務器時是否啟用了保護功能。

應與IaaS供應商仔細核實誰負責每一項云安全控制措施。

2.控制誰有權訪問

企業(yè)應控制好誰可以使用他們的云服務。例如，根據(jù)Redlock云安全情報（CSI）部門2018年5月的研究，超過一半（51%）的企業(yè)意外地暴露了至少一項云存儲服務，例如，AWS S3存儲驅動器。盡管亞馬遜和其他云提供商都警告說，應避免任何有互聯(lián)網(wǎng)連接的人訪問存儲驅動器內容。

一般而言，只有負載均衡器和防護主機能夠直接出現(xiàn)在互聯(lián)網(wǎng)上。很多管理員在公共子網(wǎng)中使用0.0.0.0/0，錯誤地啟用了服務器的全局權限。連接完全放開了，每臺計算機都能夠進行連接。

另一個常見的錯誤是，允許從互聯(lián)網(wǎng)直接進行安全Shell（SSH）連接，這意味著任何能找到服務器地址的人都可以繞過防火墻，直接訪問數(shù)據(jù)。2019年，Palo Alto網(wǎng)絡公司42威脅研究部在公有云中搜索暴露的服務。在發(fā)現(xiàn)的暴露主機和服務中，有32%提供了開放的SSH服務。報告指出：“盡管SSH是最安全的一種協(xié)議，但將這項強大的服務暴露給整個互聯(lián)網(wǎng)還是太危險了。任何錯誤配置或者存在漏洞/泄漏的證書都可能導致主機被攻破。”

主要云供應商都會提供身份識別和訪問控制工具，請使用它們，應知道誰在何時訪問了哪些數(shù)據(jù)。在創(chuàng)建身份識別和訪問控制策略時，把最高權限限制在最小范圍內，只在需要時臨時授予額外權限。盡可能把安全組配置為最窄安全權限，并在可能的情況下使用參考安全組ID。考慮使用CloudKnox之類的工具，這些工具支持企業(yè)根據(jù)用戶活動數(shù)據(jù)設置訪問控制權限。

3.保護數(shù)據(jù)

另一常見的錯誤是數(shù)據(jù)沒有經(jīng)過加密便放在了云上。選民信息和敏感的五角大樓文件之所以被泄露，是因為數(shù)據(jù)沒有被加密，未授權方也能夠訪問服務器。把敏感數(shù)據(jù)存儲在云中而沒有對服務器的訪問進行適當控制，以便保護數(shù)據(jù)，這樣做是不負責任的，也是危險的。

盡可能控制好加密密鑰。雖然可以讓云服務供應商提供訪問密鑰，但保護數(shù)據(jù)的責任在于企業(yè)。

即使云供應商提供了加密工具和管理服務，很多企業(yè)實際上并沒有使用。加密是一種安全保障措施——即使安全配置失敗，數(shù)據(jù)落入未授權方的手中，他們也不能使用數(shù)據(jù)。

4.保護證書

正如2017年OneLogin泄露事件所展示的，AWS訪問密鑰被泄露的情況并不少見。這些密鑰會出現(xiàn)在公共網(wǎng)站、源代碼庫、未受保護的K8s儀表板，以及其他一些論壇上。把AWS訪問密鑰視為最敏感的寶貴資產(chǎn)，教育開發(fā)人員避免在公共論壇中泄露此類密鑰。

為每一個外部服務創(chuàng)建唯一的密鑰，并遵循最小特權原則限制對其訪問，確保密鑰沒有太多的訪問權限。密鑰如果落在犯罪分子手中，可以用來訪問敏感資源和數(shù)據(jù)。創(chuàng)建IAM角色來分配特殊特權，例如進行API調用。

務必定期輪換密鑰，以避免攻擊者有時間截獲被攻破的密鑰，冒充特權用戶滲透到云環(huán)境中。

不要使用root用戶賬戶，即使是要用于管理任務。使用root用戶來創(chuàng)建具有指定權限的新用戶。鎖定root賬戶（可以通過添加多重身份驗證來實現(xiàn)），僅用于具體的賬戶和服務管理任務。對于其他的賬戶，為用戶提供適當?shù)臋嘞蕖?/p>

檢查用戶賬戶，查找那些未被使用的賬戶，并禁用它們。如果沒有人使用這些賬戶，何必給攻擊者留下攻擊的后門呢。

5.保證環(huán)境安全仍然很重要

對于云環(huán)境防護，深層防御尤其重要，因為即使一項控制措施失敗了，也會有其他安全措施保持應用程序、網(wǎng)絡和數(shù)據(jù)的安全。

MFA在用戶名和密碼的基礎上提供了額外的保護層，使得攻擊者很難攻入。應啟用MFA，限制對管理控制臺、儀表板和特權帳戶的訪問。

6.深度監(jiān)視

主要云供應商都提供某種級別的日志記錄工具，因此一定要啟用安全日志記錄和監(jiān)視功能，看看是否有未經(jīng)授權的訪問和其他問題。例如，亞馬遜為審查AWS環(huán)境提供了CloudTrail，但很多企業(yè)并沒有使用該服務。當啟用后，CloudTrail會記錄所有AWS API調用的歷史，包括API調用者的身份、調用的時間、調用者的源IP地址、請求參數(shù)，以及AWS服務返回的響應數(shù)據(jù)。它還可以用于變更跟蹤、資源管理、安全性分析和合規(guī)審查等。

7.采用前移方法以保證安全

前移方法提倡在開發(fā)過程中盡早考慮安全因素，而不是在開發(fā)的最后階段增加安全措施。McAfee的Flaherty說：“企業(yè)不僅應該監(jiān)控IaaS平臺上的東西，還應該在平臺上線前檢查所有進入平臺的代碼。采用前移方法，能夠在潛在的錯誤配置發(fā)展為問題之前進行審核并解決問題。”尋找能夠與Jenkins、K8s等其他工具相集成的安全工具，自動審核并更正過程。

不過，Threat Stack公司的首席安全官Sam Bisbee指出，僅有前移方法還不夠。Bisbee說：“應該在運行前掃描代碼并執(zhí)行配置檢查，但人們往往忘記檢查工作負載在投入運行后是否符合要求。如果根據(jù)我當時知道的情況，進行了掃描，然后部署我的代碼，這樣是可以的。但是工作負載會持續(xù)運行數(shù)月甚至數(shù)年，會發(fā)現(xiàn)新的漏洞，并且隨著時間的推移，代碼中的風險也會增加。如果不持續(xù)監(jiān)控，就不會受到保護。”

了解企業(yè)的基礎設施

Bisbee建議，不要像受過培訓的很多網(wǎng)絡安全專業(yè)人員那樣，總是去尋找已知的威脅，而是應該努力了解企業(yè)完整的基礎設施，以及在其上運行的內容。

誠然，在當今日益復雜的多云環(huán)境中，這可能是很大的挑戰(zhàn)。“但是，要知道某個東西應該是怎樣表現(xiàn)的，然后觀察它什么時候發(fā)生變化，這要比不斷地和入侵者進行‘打地鼠游戲’容易得多。如果你非常了解自己的環(huán)境，并且知道預期會發(fā)生什么，那就能夠更有效地檢測出錯誤配置等威脅，并主動補救風險。歸根結底，安全在于深度監(jiān)視，而不是控制。”

作者：Fahmida Y.Rashid是一名自由撰稿人，為CSO撰稿，其寫作主題是信息安全。

James A. Martin是舊金山一位經(jīng)驗豐富的科技記者和博客寫手，由于其在CIO.com上的博文而獲得了2014年ASBPE國家金獎。

編譯：Charles

原文網(wǎng)址：https://www.csoonline.com/article/3208905/top-cloud-security-controls-you-should-be-using.html