企業需要意識到公共云可能出現安全漏洞
云平臺無處不在,并且應用越來越廣泛。事實上,調研機構IDG公司2018年的云計算研究表明,73%的企業已將至少多個應用程序或部分基礎設施置于云中。隨著谷歌公司開始與微軟和亞馬遜展開競爭,公共云領域的競爭目前尤其激烈。
數字化轉型是這場爆炸式增長的主要催化劑。通常,當一些工作負載轉移到公共提供者(通常是不太重要的開發和測試環境)時,云采用就開始了。過了一段時間,非關鍵應用程序可能會遷移,然后是存儲(文件和數據庫),然后是更大的部署。
公共云之所以具有吸引力,是因為承載應用程序組件的基礎設施和協調過程的基礎部分是完全管理的,而且大部分是隱藏的,例如網絡功能、互聯網訪問、安全、存儲、服務器和計算虛擬化。一切都可以通過簡單的用戶界面或API輕松配置。安全是通過使用與國際互聯網隔離的專用網絡來實施的。
有關在公共云中托管的專用網絡的信息并不安全。這是因為即使沒有訪問互聯網,私有網絡仍然可以通過DNS與之通信。大多數情況下,無需特定配置即可從推送到公共云基礎設施的工作負載獲得完整的DNS訪問權限。因此,默認情況下,大多數公共云提供商都可以使用DNS隧道、DNS文件系統和數據泄露。這不是一個安全缺陷,而是一個專門內置的功能,主要用于幫助需要訪問云計算服務器無需服務的工作負載,以簡化數字化轉型。這這將使任何業務都能夠應對各種可能的數據泄漏。
最可能出現的四種情況如下:
- 將惡意代碼插入后端以執行DNS解析以提取數據。通常,通過組織外部的標準方法(如SQL注入、堆溢出、已知漏洞和不安全的API)獲取訪問權限。
- 惡意代碼被插入到一個廣泛使用的庫中,因此它會影響所有用戶(例如供應鏈攻擊),而不考慮其是什么語言(例如Java、Python和Node.js)。
- 企業內有權訪問主機的人員可以修改/安裝/開發使用DNS執行惡意操作的應用程序(聯系命令和控制、推送數據或獲取惡意軟件內容)。
- 開發人員插入特定代碼,該代碼不需要更改基礎設施,并使用DNS提取生產數據、事件或帳戶信息。代碼將通過持續集成和測試部分的質量門,并自動部署到生產中。
那么,組織可以做些什么——特別是當它在多個云服務上部署多層次應用程序時?
首先,應該為存儲在公共云托管的私有網絡上的任何業務信息部署專用DNS服務,即使它是臨時的。專用DNS服務將允許組織篩選可訪問的內容和不應訪問的內容。它還允許組織定期審計云架構,這在任何公共云環境中都是都是必需的。這需要特定的識別云模式,這對大多數系統和網絡架構師來說都是新的。大多數工作負載不需要完全訪問全球互聯網。但有時它是必要的——例如,當企業的DevOps團隊需要更新基礎設施、安裝包或依賴項時,因為它簡化了部署階段。企業可以通過設計一個“不可變的基礎設施”來實現這一點,該基礎設施具有預構建的圖像、專用網絡和受控的入站和出站通信。他們還應該執行測試階段,特別是因為云計算提供商的選項可能會在不集成的情況下發生變化。
其次,云計算提供商提出了部署內部資源和后端服務(如數據庫、文件存儲、特定計算、后臺管理)的專用網絡解決方案。這解決了數據保護(例如,GDPR法規)、數據加密或只是為了阻止應用程序的某些部分直接暴露于互聯網等安全和監管問題。然而,更好的做法是在未連接到全球互聯網的子網或網絡上部署計算后端資源,而這只能由已知的資源實現。然后,可以強制執行篩選規則以限制訪問并遵守安全策略。
第三,確保在云計算編排器中集成靈活的DDI(DNS-DHCP-IPAM)解決方案,以簡化配置。啟用該服務后,DDI將自動在配置中推送適當的記錄。這不僅可以為組織節省大量時間,還可以實施有助于保護公共云部署的策略。
將應用程序移動到公共云或私有云是不可避免的。隨著企業不斷自我轉型,云計算的使用也將隨之而來。但是,企業需要意識到,公共云在安全性方面并非一無是處,并且不能假定涵蓋了所有角度。否則,云計算的便利性會給企業的數據帶來不便。
