IaaS:云安全的下一個篇章
從制造業(yè)、金融服務(wù)到公共部門的行業(yè)中的公司信任云服務(wù)提供商及其關(guān)鍵的數(shù)據(jù),軟件即服務(wù)(SaaS)應(yīng)用程序(如Office 365和Salesforce)的快速增長取決于信任。但是,SaaS在IT安全專業(yè)人員確定云服務(wù)提供商可以產(chǎn)生與傳統(tǒng)軟件相當(dāng)或具備更好的安全性之前采用量一直很低。主要的挑戰(zhàn)仍在企業(yè)方面,Gartner預(yù)測95%的云安全事件是用戶的錯誤。
現(xiàn)在,第二波的云采用浪潮正在迅速蔓延,圍繞著基礎(chǔ)設(shè)施即服務(wù)(IaaS)展開。對于IaaS來說,企業(yè)需要使用共享責(zé)任模型來更新其安全方法。
更新IaaS的共享責(zé)任模型
Cloud-first的公司使用SaaS工具實現(xiàn)不同功能:Office 365協(xié)作,Workday人力資源和Salesforce用戶關(guān)系管理。每個組織還擁有規(guī)模不等的為員工、用戶和合作伙伴服務(wù)的應(yīng)用程序。組織正在消除其數(shù)據(jù)中心,并將這些專有應(yīng)用程序大量地遷移到IaaS云產(chǎn)品中,從而使IaaS增長率達到SaaS的兩倍。
即便已經(jīng)對SaaS安全采取主動方法的公司也必須重新評估其在IaaS平臺上托管的應(yīng)用程序的性能。SaaS和IaaS平臺在不同的共享責(zé)任模式下運行,或者在云服務(wù)提供商和用戶之間分配安全能力。SaaS提供商所處理的很多安全漏洞都落在IaaS服務(wù)上承載的應(yīng)用程序所屬企業(yè)用戶的肩膀上。
此外,企業(yè)快速遷移的壓力意味著安全團隊可能對IaaS安全幾乎沒有有效地監(jiān)控;開發(fā)團隊沒有額外的資源專門應(yīng)用于更新預(yù)定遷移到云端的現(xiàn)有內(nèi)部應(yīng)用程序的安全性。專有應(yīng)用程序沒有SaaS應(yīng)用程序等專用安全解決方案,也沒有與安全產(chǎn)品集成的API。雖然過去我們認(rèn)為創(chuàng)業(yè)公司和云服務(wù)提供商是處理AWS、Azure或谷歌云平臺安全性的公司,但如今財富榜前2000的公司仍然面臨著在云端保護應(yīng)用程序的挑戰(zhàn)。
IaaS安全威脅來自組織的內(nèi)部和外部。黑客攻擊企業(yè)IaaS賬戶以竊取數(shù)據(jù)或計算資源,可以通過竊取憑據(jù),獲取錯誤的訪問密鑰或利用配置錯誤的設(shè)置來利用此向量。一位研究人員在GitHub上發(fā)現(xiàn)了超過10000個AWS憑證。在托管公司代碼空間的最壞情況下,被黑客入侵的賬戶可以用于挖掘比特幣。
在企業(yè)內(nèi)部,具有訪問IaaS賬戶的惡意員工可能會通過竊取、更改或刪改平臺上的數(shù)據(jù)而造成巨大損失。人為錯誤和疏忽可能會將公司數(shù)據(jù)和資源暴露給攻擊者。醫(yī)療保健公司CareSet發(fā)生配置錯誤,導(dǎo)致黑客利用其谷歌云平臺賬戶對其他目標(biāo)發(fā)起入侵攻擊,在幾天之后都沒有恢復(fù),谷歌暫時關(guān)閉了該公司的賬戶。組織不能錯誤地假設(shè)IaaS環(huán)境是安全的,在上述每種情況下,云服務(wù)提供商都無力為用戶解決這些漏洞。
IaaS安全行動計劃
在IaaS平臺上的專有應(yīng)用程序中保持?jǐn)?shù)據(jù)安全需求超出SaaS安全性的范疇:保護計算環(huán)境本身。在AWS、Azure和谷歌云平臺或其他IaaS平臺上保護計算環(huán)境從配置審核開始,以下是對于確保IaaS使用至關(guān)重要的四種類型的配置:
1、身份驗證
多重身份驗證是任何具有敏感公司信息,尤其是暴露于Internet的云應(yīng)用程序的必要控制。公司應(yīng)為root賬戶和身份以及管理訪問用戶開啟多重身份驗證,以降低賬戶泄露的風(fēng)險。高度身份驗證可能需要用戶在提交操作之前輸入其他登錄步驟。
2、無限制訪問
不必要地暴露AWS環(huán)境增加了各種攻擊方法的威脅,包括拒絕服務(wù)、中間人攻擊(man-in-the-middle)、SQL注入和數(shù)據(jù)丟失。檢查對Amazon Machine Images的無限制連接、數(shù)據(jù)庫服務(wù)實例和彈性計算云可以保護知識產(chǎn)權(quán)和敏感數(shù)據(jù),以及防止服務(wù)中斷。
3、非活躍賬戶
非活躍和未使用的賬戶對IaaS環(huán)境造成不必要的風(fēng)險,審查并刪除不活躍的賬戶可以防止賬戶損害和濫用,降低生產(chǎn)力成本。
4、安全監(jiān)控
將計算遷移到云端的最大的問題是失去可視化和取證。打開AWS的CloudTrail日志記錄進行審計跟蹤,可以建立一個行為監(jiān)控工具,用于主動威脅和調(diào)查。這也是任何大型公司的基本合規(guī)性要求,可以成為將應(yīng)用程序移動到IaaS的交易中斷。
在這4個類別中,安全監(jiān)控是最復(fù)雜且最可靠的。機器學(xué)習(xí)工具可以被調(diào)整以檢測指示威脅行為的范圍。API可以根據(jù)會話位置,或強制登錄啟用監(jiān)控。乍一看,將應(yīng)用程序遷移到云端可能會失去控制。然而使用主動的基于云的安全策略,IaaS上的應(yīng)用程序可以與其內(nèi)部對等方一樣安全,甚至更安全一些。
