12大云计算安全威胁
虽然如今比以往更多的公司企业向云迁移,但云计算领域仍然并非完全没有风险。为了应对其中一些威胁,云安全联盟(CSA)制作了《12大威胁》报告。虽然这些威胁确实存在,不过有一些方法可以限制有害影响的风险。
数据泄露
云环境和更传统的本地网络上都有可能发生数据泄露。贵公司的数据对某些人来说具有不同的价值。比如说,有组织的犯罪团伙可能设法获取财务、健康或个人信息,帮助实施欺诈活动。与此同时,竞争对手可能想要获得专有信息或知识产权。你可能还会遇到这种人:对方只想泄露秘密,让你难堪,或者给你造成破坏。如果发生数据泄露,公司可能遭受巨额罚款,在一些情况下还可能面临民事诉讼和刑事指控。
云服务提供商在某些方面制定有严格的安全规程,不过最终还得由公司客户来负责保护其在云端的数据。最好的第一步就是安装一款高效的安全软件。如果采用多因子验证和加密机制,你就能减小数据泄露的几率。
身份、登录信息和访问管理不到位
据CSA的报告声称,“之所以会出现数据泄露或给攻击造成可趁之机,是由于缺少可灵活扩展的身份访问管理系统,没有使用多因子验证,使用弱密码,以及加密密钥、密码和证书缺少日常的自动轮换机制。”要考虑到:身份管理系统必须可灵活扩展,以便为数百万用户以及托管服务提供商(MSP)处理生命周期管理。如果员工由于某种原因离开公司,或者在公司内部变换角色,身份管理系统需要立即更新其访问级别。
冒充合法用户、操作人员或开发人员的不法之徒可以获取、篡改和删除数据。对攻击者来说,任何含有数据秘密(包括密码、私钥和客户数据库)的集中式存储机制都是诱人的攻击目标。密码和密钥集中存储是很方便,但不是最安全的做法。监控和保护身份及密钥管理系统应该是任何公司的重要优先事项。随着这些系统变得更加密切关联,托管服务提供商有助于减小用户维护的需要。
不安全的接口和API
云服务提供商要暴露一套软件用户接口(UI)或应用编程接口(API),供客户使用。这些接口在设计时一定要防范无意和有意规避策略的企图。API和UI通常是系统中最暴露的部分;由于企业组织和第三方在这些接口的基础上为客户提供增值服务,这可能会加大风险。
公司必须明白使用、管理、编排和监控云服务方面给安全带来的影响。威胁建模应用程序和系统(包括数据流和架构)是开发生命周期的重要部分。除了仅仅执行侧重安全的代码审查外,渗透测试也从可有可无变成必不可少。
系统安全漏洞
系统安全漏洞“是程序中可被人利用的错误(bug),攻击者可以利用漏洞渗入到计算机系统,以便窃取数据、控制系统,或者干扰服务运行。”程序错误不是什么新鲜事,但网络搭建起来后,就可能被人远程利用。由于来自不同企业组织的系统放在相邻位置,共享内存和资源带来了一种新的攻击面。
幸好,基本的IT流程可以减少这些攻击:一致的安全漏洞扫描,报告系统威胁,安装安全补丁和更新版,这些做法都大有帮助。未打上补丁的系统安全漏洞存在很大的隐患――相比可能造成的危害,实施IT流程以便发现并修补任何安全漏洞的成本要低得多。这对受到高度监管的企业组织来说特别重要,比如银行或政府机构。必须模拟安全漏洞场景,确保所有活动都妥善记入文档并受到了评估。如果使用了另一种方法来处理威胁,包括淘汰、转移或接受,这种方法也要记入文档,并予以跟踪。
账户劫持
网络钓鱼、欺诈和利用软件安全漏洞继续是获取敏感数据的有效方法。云平台(包括AWS和Azure)更是增加了新的难题:“如果攻击者访问了你的登录信息,他们就能窃听你的活动和交易事务,操控数据,返回虚假信息,并且将你的客户重定向到非法网站。”如果你好不容易树立起了良好信誉,一两次这样的攻击确实会严重破坏你的可信度。
借助窃取的登录信息,攻击者就能访问云的关键部分,窃取数据、影响服务、破坏声誉,不一而足。为了避免这种情况,企业组织应该尽量避免在用户和服务当中共享帐户登录信息。积极采用强有力的多因子验证也是个很好的举动。另外要密切跟踪所有帐户和帐户活动。要是无法查明问题出在某个所有人身上,就要引起注意了。
恶意内部人员
欧洲核子研究组织是这样定义内部人员威胁的:“对企业组织构成威胁的恶意内部人员是指现任或前任员工、合同工或其他业务合作伙伴,他们可授权访问企业的网络、系统或数据,但是有意逾越或滥用这种访问权,从而给企业的信息或信息系统的机密性、完整性或可用性带来了负面影响。”
这是云服务提供商感到头痛的方面之一。实施的加密方法仍有可能受到攻击。但是如果不断监控、审查和记录活动,企业组织就能避免内部人员威胁。公司还可以亲自控制访问和密钥,以便按照角色分配职务、限制访问。
另外有必要提醒一下,“内部人员威胁”未必意味着有人为非作歹。比如说,员工可能只是不小心将敏感数据上传到了公共论坛。
高级持续性威胁(APT)
APT是“一种寄生形式的网络攻击,它渗入系统后,在目标攻击的计算基础设施建立根据地,然后偷偷往外窃取数据和知识产权。”APT的常见入口点包括:鱼叉式网络钓鱼(通过USB设备来分发攻击代码)、径直攻击系统、通过合作伙伴网络来渗透,以及使用不安全的网络或第三方网络。
想检测APT可能比较困难,因为它们常常灵活多变,规避旨在防范它们的安全措施。一旦它们潜入进来,就会在数据中心网络中横向移动,与网络上的正常流量混杂在一起。IT部门需要随时了解最新的高级网络安全攻击,而且知道如何识别并处理鱼叉式网络钓鱼之类的社会工程学伎俩。用户想防范APT,小心谨慎是最有效的措施之一。当然,在打开附件或点击链接之前,始终要三思而后行,如果你不认识发件人,更要小心。
数据丢失
恶意企图并不是数据丢失的唯一原因。像火灾和地震这些自然灾害,以及用户或提供商不小心犯下的错误,也会导致数据永久性删除。数据还有可能因加密而丢失――客户可能在将数据上传到云端之前加密数据,可是后来丢失了加密密钥。信息可谓是几乎每一家企业组织的核心资产。实际上,按照新的欧盟数据保护法规,数据销毁和个人数据损坏也被认为是一种数据泄露――所以确保你采取了保护数据的措施。
任何优秀的云服务提供商应该已经采取了措施,备份数据,并遵循业务连续性和灾难恢复方面的最佳实践。它们还会每天备份数据,可能将一些数据或所有数据存储在异地。企业组织常常也要保留审计记录或类似的文档,以证明遵从法规。确保数据没有丢失很重要,否则合规性就会岌岌可危。
尽职调查不到位
想最大可能地获得成功,评估技术和云服务提供商时,为尽职调查制定一份可靠的路线图,并确保核对列表,这项工作必不可少。如果一家公司先不进行全面深入的调查研究,就贸然采用云或其他任何技术,就有可能面临众多风险。
商业风险也许不是云服务提供商担心的首要风险,比如刚设计的客户服务,依赖提供商来开发新的系统和流程。技术风险也有可能存在;如果设计人员在云技术方面经验有限,可能会设计发送到云端的应用程序。而从法律层面上来说,企业组织必须认识到在国外的使用中数据、传输中数据或静态数据。此外,如果把依赖“内部”网络层数据隐私和安全控制机制的应用程序移到云,要是那些控制机制消失,就会突然面临合规风险。公司必须执行全面深入的尽职调查,并广泛了解自己承担的潜在风险。
滥用和违法使用云服务
我们前面讲过了不法之徒,他们利用云计算资源攻击用户、企业组织或其他云服务提供商。CSA白皮书举了许多例子,包括“发动分布式拒绝服务(DDoS)攻击、垃圾邮件和网络钓鱼活动,‘挖掘’数字货币、大规模自动化点击欺诈、蛮力攻击失窃登录信息数据库,以及托管恶意或盗版内容。”这种违法使用减少了实际客户的可用计算容量,有时导致业务中断的成本增加。
为了尽量降低这种风险,云服务提供商应该制定一个事件响应框架,应对任何滥用资源的情况。这包括客户有办法报告滥用情况,并监控云工作负载的状态。与往常一样,积极主动胜过消极被动。
拒绝服务
拒绝服务(DoS)攻击“旨在阻止服务的用户能够访问其数据或应用程序。通过迫使被攻击的云服务耗用数量过多的有限系统资源,比如处理器能力、内存、磁盘空间或网络带宽,一个或多个攻击者(就像分布式拒绝服务攻击中那样)导致系统速度慢得让人无法接受,让所有合法的服务用户都感到困惑、发怒,不知为何服务没有响应。”
在你像某些人那样将计算机扔到垃圾堆之前,应明白缓解DDoS攻击的关键是,在攻击发生之前有所准备。系统管理员必须能够立即访问可用来尽量减小风险的资源。云服务提供商常常更有能力缓解这些种类的攻击,你在尽职调查期间应该能发现这一点。一旦DDoS攻击发生,CSA白皮书就将这比作遇上出行高峰期:“你无法抵达目的地,除了坐等外,你无计可施。”
共享技术问题
云服务提供商能够通过共享基础设施、平台或应用程序,提供可灵活扩展的服务。CSA白皮书声称,构成部署基础设施的底层部件(比如CPU缓存或GPU)“也许在设计当初并没有为多租户架构(IaaS)、可重复部署的平台(PaaS)或多客户应用系统(SaaS)提供强有力的隔离机制。这会导致共享技术安全漏洞,可能在所有交付模式中都会被人利用。”这种安全漏洞来得特别危险,因为它有可能不仅仅影响一个客户,而是有可能同时影响整个云环境。
计算、存储、网络、应用程序和用户安全执行以及监控都应该利用起来,不管服务模式是PaaS、IaaS还是SaaS。还有另外的方法可以降低风险,比如在所有主机上实施多因子验证,在内部网络上实施基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统(NIDS),并且对共享资源打上补丁。
为了消除云安全风险,第一步是教育自己。一旦你认识到这些威胁带来的潜在危害,就能制定一种积极主动的方法来阻止危害,或者起码缓解危害。如果你还有什么问题,可以访问云安全联盟网站(https://cloudsecurityalliance.org/membership/solution-providers/),了解更多信息。
相关阅读:
Gartner认为安全性将取代成本和敏捷性成为政府部门采用云服务的首要原因
安全群欢迎加入,群主微信:aclood