應對云攻擊 評估云安全控制是關鍵
隨著針云攻擊越來越多,企業用戶必須提前對他們的云安全控制措施做好評估。在本文中,Dave Shackleford提供了一些防御云攻擊的最佳實踐。
Alert Logic公司在最近發布了一篇2014云安全報告,報告顯示近期針對云的攻擊事件數量有明顯增長的趨勢。但是,企業的云基礎設施是否為抗擊云攻擊做好了準備呢?
鑒于針對云的攻擊事件數量日益增多,所有使用云算服務的組織都應當對他們已實施的安全控制措施的狀態進行評估。
適用于客戶配置和控制的可用控制措施的類型是取決于所使用的云服務模式的。對于軟件即服務(SaaS)而言,唯一可能的配置是在云應用程序的環境中。該配置可以包括日志記錄和訪問控制(例如密碼策略和多因素身份驗證,MFA等),以及應用程序內的角色和權限分配。對于平臺即服務(PaaS)部署來說,管理控制是通過服務控制臺來實現的,它主要關注訪問控制和用戶的角色與權限。大多數的PaaS環境還提供了對大量應用程序編程接口(API)的訪問,這些都是需要對潛在的安全問題進行仔細評估的。
在本文中,我們將討論企業組織在評估云安全控制措施中應當遵循的最佳實踐。
漏洞掃描與滲透測試
漏洞掃描和滲透測試是所有PaaS和基礎設施即服務(IaaS)云服務都必須執行的。無論他們是在云中托管應用程序還是運行服務器和存儲基礎設施,用戶都必須對暴露在互聯網中的系統的安全狀態進行評估。大多數云供應商都同意執行這樣的掃描和測試,但是這要求他們事先與客戶和/或測試人員進行充分溝通和協調,以確保其它的租戶(用戶)不會遭遇中斷事件或受到性能方面的影響。
對于在PaaS和IaaS環境中測試API和應用程序的集成來說,與云供應商協作的企業應重點關注處于傳輸狀態下的數據,以及通過繞過身份認證或注入式攻擊等方式對應用程序和數據的潛在非法訪問。
配置管理
云安全措施中最重要的要素就是配置管理,其中包括了補丁管理。
在SaaS環境中,配置管理是完全由云供應商負責處理的。如有可能,客戶可通過鑒證業務準則公告(SSAE)第16號、服務組織控制(SOC)報告或ISO認證以及云安全聯盟的安全、信任和保證注冊證明向供應商提出一些補丁管理和配置管理實踐的要求。
在PaaS環境中,平臺的開發與維護都是由供應商來負責的。應用程序配置與開發的庫和工具可能是由企業用戶管理的,因此安全配置標準仍然還是屬于內部定義范疇。然后,這些標準都應在PaaS環境中被應用和監控。
對于IaaS環境,云供應商們應當證明他們內部實踐的可行性,但是他們的客戶還管理著他們自己的虛擬機(VM)。鑒于云環境中的開放程度,這些內容都應被盡可能安全的保護起來。由互聯網安全中心從安全配置入手,微軟公司以及其它的操作系統與應用程序供應商們是一個可靠的途徑,但是企業用戶不應滿足于內部運行的安全配置,因為云本質上是更具開放性的。關閉所有不必要的服務、刪除所有不需要的應用程序和代碼、限制用戶和組的訪問權限至最低需要限度并且始終保證為系統打補丁的實時性。
對于用戶正在運行一個私有云實施的IaaS環境,這就要求各種網絡控制措施也是可配置的。例如,一個亞馬遜網絡服務(AWS)中的虛擬私有云可以通過IPsec支持一個專用的VPN連接。確保IPsec相關參數是正確配置的,同時所有其它的網絡設施(例如防火墻和入侵檢測與預防系統)的設置都是被正確設置和處于被保護中的。
云供應商的安全控制
云供應商融入安全配置過程的切入點在哪里?云供應商負責所有基礎設施的運行,其中包括了虛擬化技術、網絡以及存儲等各個方面。它還負責其相關代碼,包括了管理界面和API,所以對它的開發實踐和系統開發生命周期的評價也是非常必要的。只有IaaS客戶會對整個系統規格擁有真正的控制權;如果虛擬機是基于一個供應商提供的模板(例如亞馬遜的虛擬機鏡像)而部署的,那么在實際使用前也應對這些虛擬機進行仔細研究并確保其安全性。
結論
一家組織如何確定在強化自身應對云攻擊的準備工作中應投入多少的時間、精力和資金?其答案取決于企業在云中所托管系統和數據的敏感性。
無論其敏感性具體是如何的,所有的企業都應在評估云供應商的安全功能和控制措施上投入必要的時間,從而確定他們是否滿意。云安全聯盟的共識評估問卷(CAIQ)就是一個向云計算供應商提問的很好出發點。企業應確保他們的審計和安全團隊能夠定期地查審反饋,以及諸如SOC 2這樣的審計與驗證報告。對于那些部署在云中的系統和應用程序,打補丁、配置管理以及應用程序安全性(包括開發和評估)都是需要投資的重要領域。用戶訪問控制和角色與權限分配也是至關重要的。
在云環境中發生攻擊或事故之前,組織就應盡可能多地了解由供應商維護的安全控制以及那些由用戶使用的安全控制是非常關鍵的,因為這將有助于決策層作出更全面和更明智的風險決策。
