云安全風險概覽 企業上云后的安全風險概覽
數據和各類服務向云端遷移不禁讓很多企業開始重新思考自己的網絡安全體系。企業上云后究竟會面臨什么樣的安全風險?
對乙方來說,本文是一個可作參考的 checklist——我采購的云安全工具與服務是否能夠保護我所有的敏感數據?是否能夠抵御以下每一項細分的云安全威脅?是否能夠防御云環境中的六大攻擊模式?
對于安全廠商來說,也可以反思自己的云安全產品與服務現狀:我現有的云安全能力能夠保護哪些敏感數據?能夠抵御哪些細分的云安全威脅?針對多樣的云攻擊模式,我已經具備哪些對應的解決方案?
一、云上有哪些敏感數據?
1. 邁克菲《Cloud Adoption and Risk Report 2018》
2018 年 10 月,邁克菲發布了一個名為《Cloud Adoption and Risk Report 2018》的報告。該研究表明,2018 年通過云共享敏感數據的數量比上一年增加 53%——這是一個巨大的漲幅。
邁克菲的報告指出,云上的所有文件中,有 21% 是敏感數據,并且其中有 48% 的敏感文件最終會被共享。僅去年一年就有超過 28% 的機密數據存儲在云端。
敏感數據包括企業機密數據 (27%)、電子郵件數據 (20%)、密碼保護數據 (17%)、個人身份信息 (PII) (16%)、付款信息 (12%) 以及個人病歷 (9%)。隨著人們對云計算的信任度和依賴度不斷提高,云上的機密數據也面臨了越來越高的安全風險。
而被黑客竊取不是這些數據所面臨的唯一風險。邁克菲發現,每個企業平均有 14 個配置錯誤的 IaaS(基礎架構即服務)在運行,每月平均有 2200 個錯誤配置引起的安全事件發生。
2. SANS Institute《 2019 年云安全報告》
而 SANS 今年 5 月發布了《 2019 年云安全報告》,調查樣本達數百個,涵蓋金融、IT、政府等多個行業,所在企業規模跨度大、地域分布廣,從事職業包括安全分析師、IT部門管理人員、CSO、CISO、合規分析師等等。
該調查顯示,云上存儲量最大的是與商業智能相關的數據 (48.2%),知識產權類數據幾乎持平 (47.7%),其次是客戶個人數據 (47.7%) 和財務數據 (41.7%),另外存儲量較大的還包括企業員工信息 (37.7%)。詳見下圖:
云上敏感數據(數據來源:SANS Institute)
二、云安全威脅類型有哪些?
1. Alert Logic 研究報告
云安全廠商 Alert Logic 曾統計過一組關于與本地數據中心相比,每種形式的云環境所面臨的風險性質和數量的數據。該調查總共歷時 18 個月,分析了 3800 多家客戶 147 PB 的數據,對安全事件進行量化和分類。主要發現如下:
- 在混合云環境下,每個用戶平均遭遇的安全事件數最高,達977件,其次是托管私有云 (684)、本地數據中心 (612) 和公共云 (405)。
- 到目前為止,最常見的事件類型是 Web 應用程序攻擊 (75%),其次是暴力攻擊 (16%)、偵察 (5%) 與服務器端勒索軟件 (2%)。
- Web 應用程序攻擊最常見的方法是 SQL (47.74%),其次是 Joomla (26.11%)、Apache Struts (10.11%) 和 Magento (6.98%)。
- Wordpress 是最常見的暴力攻擊目標,占 41%;其次是 MS SQL,占 19%。
2. SANS Institute《 2019 年云安全報告》
第二組云環境所面臨威脅的數據仍來自于 SANS Institute 的《 2019 年云安全報告》。該調查發現,最嚴重的云威脅是身份劫持 (Account or credential hijacking0,達到 48.9%,其次是云服務的錯誤配置 (42.2%),該數據也與前文邁克菲研究報告中發現的現象相吻合——“黑客攻擊不是云上敏感數據所面臨的唯一風險,錯誤配置問題也是導致大量安全事件的主要原因”。
排名第三的威脅是內部用戶的權限濫用 (Privileged user abuse)。其它威脅還包括未授權的應用程序組件、不安全的 API 接口、“影子IT”、拒絕服務攻擊、敏感數據直接從云應用上外泄、利用云廠商本身存在的漏洞或開放的 API、虛擬化攻擊、與其它托管云應用交叉使用過程中產生的安全風險等等。
云環境中的細分威脅類型(數據來源:SANS Institute)
如何減少安全威脅對云的影響,這里有 3 個基本但極其重要的建議:
- 對未知程序進行白名單訪問攔截,包括對組織中使用的每個應用程序進行風險評估。
- 掌握整個修復過程并提高修復工作的優先級。
- 根據當前用戶職責限制訪問權限——對應用程序與操作系統的權限進行實時更新。
三、云環境的六大攻擊模式
隨著越來越多企業向私有云和公有云中的虛擬化和容器化數據中心過渡,傳統的安全防御措施顯然力不從心。很多安全專家認為安全工具必須適應虛擬基礎架構之間或其中的的新界限,在恰當的時間部署在合適的位置上。2018 年 4 月,云安全廠商 ShieldX 提出了 2018 年可能會發生的 6 類云安全攻擊模式。
1. 跨云攻擊
黑客利用跨云攻擊,通過公有云即可訪問攻擊目標本地及私有云系統。公有云中被惡意攻擊者獲取的工作負載可能導致攻擊擴散至私有云。在物理環境中,如果橫向防御措施部署到位,就能把風險降到最低。但如果遷移到公有云上,很多企業都會忽視安全邊界發生了變化的現實情況。公有云不具備本地環境的防御能力,安全能力的直接遷移也很困難。
2. 跨數據中心攻擊
一旦黑客進入數據中心,他們的下一個動作就是橫向移動,即內網滲透。其中可能的一個原因是數據中心中的交付點 (PoD) 之間的連接被認為是可信區域。如果攻擊者成功入侵了其中一個 PoD,他就能進入其它與之相連的數據中心。
3. 跨租戶攻擊
在多租戶環境中,黑客可以利用云租戶之間的網絡流量發起攻擊。租戶可能會認為云廠商已經對他們的資產進行了保護,但實際上,大部分的防御措施都需要他們自己實施。與本地環境類似,通過多層防御系統發送流量能夠降低此云威脅的風險,但部署時間與地點需要專業人員把握。
4. 跨工作負載攻擊
基于云和虛擬化的工作負載以及容器都可以輕易地實現連接。無論是在虛擬桌面、虛擬 Web 服務器還是數據庫上,攻擊者都可以訪問其它的工作負載。特別是當工作負載在同一個租戶上運行的情況下,防止跨工作負載攻擊活動的發生非常困難。如果把所有工作負載封鎖起來,盡管達到了安全的目的,但無法執行正常功能、失去了原本存在的意義。我們建議將有類似安全要求的工作負載放置在具備一定安全措施的區域中,除了基本分段以外還可以進行流量監控。
5. 編排攻擊
云編排技術能夠優化很多關鍵任務,包括包括配置、服務器部署、存儲和網絡管理、身份和權限管理以及工作負載創建等。黑客通常會利用編排攻擊,竊取帳戶登錄密碼或私人加密密鑰。獲取信息后開始執行編排任務,最終掌握系統的控制權限和訪問權限。防范編排攻擊需要一種采取異常賬戶的新興監控方式。
6. 無服務器攻擊
無服務器應用程序能夠快速啟動云功能,而無需構建或擴展基礎架構。這種 “功能即服務” 的方式為黑客創造了新的機會,也為網絡維護者帶來了新的挑戰。任何新功能都有可能具備數據庫等敏感資產的訪問權限。因此,如果某個功能的權限設置不正確,攻擊者很有可能通過該功能執行很多任務,例如,訪問數據或創建新賬戶等。與編排攻擊一樣,檢測無服務器攻擊的最佳方法是監控賬戶行為,同時結合網絡流量監測,優化保護功能。
四、總結
云計算的便利性和適用性在科技飛速發展的今天已經體現得淋漓盡致,不但優化了用戶的采購和管理等工作,還為物聯網和加密貨幣的新技術應用提供了有利條件。但是云環境中的業務安全與數據安全問題也變得更加令人擔憂。總體來說,云安全的整體發展盡管緩慢,但仍在正向改善。很多云安全廠商也在努力彌合云上與云下安全措施的實施差距,根據云環境獨有的特點定向研發安全產品。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
