云安全面臨的五大威脅
云計算的主要好處之一是它為托管資源提供了高可用性。他們可以從任何地方進入。那太好了。但這也意味著您的云基礎設施不可避免地會受到影響-面向互聯網。這使得任何威脅參與者都可以輕松地嘗試連接到您的服務器和服務,進行端口掃描、字典攻擊和偵察活動。
云基礎設施需要解決的一些安全問題與內部部署的傳統基礎設施相同。有些是不同的,或包括額外的挑戰。第一步是識別與云基礎設施相關的風險。您需要實施應對措施和其他應對措施,以減少或減輕這些風險。確保你真的記錄了它們,并在所有利益相關者在場和參與的情況下排練它們。這將形成您的總體云安全戰略。
沒有云安全策略就像忽視地面網絡的網絡安全一樣。實際上,這可能更糟,因為云的本質是面向互聯網的。
企業面臨的特定風險略有不同,這取決于使用云的方式以及使用的云產品的組合:基礎設施即服務、平臺即服務、軟件即服務、容器即服務等等。對風險進行分類有不同的方法。我們把他們聚集在一起,形成一個連貫但通用的風險群體。可能有一些不適用于企業的確切用例,但在丟棄它們之前,需要確保確實如此。
錯誤配置和人為錯誤
在各種規模的組織中,由于疏忽、過度工作或根本不知道更好的方法而導致的錯誤仍然比比皆是。忘記的項目和錯過的設置會導致每周的系統故障。2017年Equifax的大規模漏洞泄露了超過1.6億人的個人數據,利用了過時的SSL證書。如果有一個管理可更新項目的流程,并有明確的指導,說明誰應對該流程負責,那么證書很可能會被更新,而且違約行為也不會發生。
安全研究人員幾乎每周都會使用Shodan之類的工具來發現不安全的容器,Shodan是一個搜索設備、端口和服務的搜索引擎。其中一些違約和風險敞口的出現是因為人們期望事情在違約時是安全的,而事實并非如此。一旦啟動了遠程服務器,就需要執行與其他服務器相同的強化步驟和安全改進。修補也很重要。為了維護服務器防御的完整性,它需要及時應用安全和維護補丁。
應用程序,尤其是數據存儲和數據庫,如彈性搜索,也需要在安裝后進行加固。默認帳戶需要更改其憑據,并使用提供的最高安全級別保護API。
如果可用,應使用雙因素或多因素身份驗證。避免基于SMS的雙因素身份驗證,很容易受到影響。如果不需要未使用的API,則應關閉它們,或者使用未發布的API密鑰和專用API密鑰阻止它們的使用。Web應用程序防火墻將針對SQL注入攻擊和跨站點腳本等威脅提供保護。
缺乏變更控制
與配置錯誤相關的是在更改或更新工作系統時引入的漏洞。應以可控和可預測的方式進行。這意味著計劃并同意更改,檢查代碼,將更改應用到沙盒系統,測試它們,并將它們推出到活動系統。這是非常適合自動化的東西,只要開發到部署管道是適當的健壯的,并且實際測試您認為它做什么,盡可能徹底地測試您所需要的。
你需要注意的其他變化是在威脅環境中。您無法控制新的漏洞被發現并添加到威脅參與者可以使用的漏洞列表中。您可以做的是確保掃描云基礎設施,以便解決所有當前已知的漏洞。
應針對您的云基礎設施運行頻繁且徹底的滲透掃描。發現并糾正漏洞是保持云投資安全的核心要素。滲透掃描可以搜索忘記的開放端口、薄弱或未受保護的API、過時的協議棧、常見錯誤配置、常見漏洞和暴露數據庫中的所有漏洞,等等。它們可以自動執行,并設置為在發現可操作項時發出警報。
賬戶劫持
帳戶劫持是指通過訪問授權人員的電子郵件帳戶、登錄憑據或任何其他需要對計算機系統或服務進行身份驗證的信息來破壞系統的行為。然后,威脅行為人有權更改帳戶密碼并進行惡意和非法活動。如果他們破壞了一個管理員的帳戶,他們可以為自己創建一個新帳戶,然后登錄到該帳戶,使管理員的帳戶看起來沒有受到影響。
釣魚攻擊或字典攻擊是獲取憑據的常見手段。除了使用常用數字和字母替換的字典單詞和排列之外,字典攻擊還使用來自其他數據泄露的密碼數據庫。如果任何帳戶持有人在其他系統上被發現以前的漏洞,并在您的系統上重新使用泄露的密碼,他們已經在您的系統上創建了一個漏洞。密碼不應在其他系統上重復使用。
雙因素和多因素身份驗證在這里會有所幫助,自動掃描日志查找失敗的訪問嘗試也會有所幫助。但一定要檢查你的托管服務提供商的政策和程序。你假設他們會遵循行業最佳實踐,但在2019年,有消息稱谷歌已將G套件密碼以純文本形式存儲了14年。
能見度降低
霧天開車是一項吃力不討好的工作。管理一個沒有安全專業人員用來監視和驗證網絡安全的低層次、細粒度信息的系統也是一個類似的前景。如果你能看到你需要的東西,你就不會做得那么好。
大多數云服務器通常支持多種連接方法,例如遠程桌面協議、安全Shell和內置web門戶等。所有這些都可以被攻擊。如果攻擊正在發生,你需要知道。一些托管提供商可以為您提供更好的日志記錄或更透明的日志訪問,但您必須請求這樣做。默認情況下他們不會這么做。
訪問日志只是第一步。你需要分析它們,尋找可疑的行為或不尋常的事件。將來自多個不同系統的日志聚合起來,并在一個時間軸上查看它們,可能比逐個瀏覽每個日志更具啟發性。要真正做到這一點,唯一的方法就是使用自動工具來尋找無法解釋或可疑的事件。更好的工具還將匹配并找到可能是攻擊結果的事件模式,這當然值得進一步調查。
不遵守數據保護法規
不合規是數據保護和數據隱私相當于系統配置錯誤。不執行法律要求的政策和程序以確保個人數據的合法收集、處理和傳輸是另一種類型的脆弱性,但它仍然是脆弱性。
這也是一個容易落入的陷阱。數據保護顯然是一件好事,而要求組織以保護和保護人們數據的方式運作的立法也是一件好事。但是,如果沒有專家幫助或擁有足夠技能和經驗的內部資源,跟蹤立法本身是非常困難的。
新的立法一直在頒布,現有的立法也在修訂。當英國在2020年1月31日離開歐洲經濟聯盟(EEU)時,英國公司發現自己處于一個奇怪的境地。對于他們持有的任何英國公民數據,他們必須遵守《2018年英國數據保護法》第二章中包含的英國特定版本的一般數據保護條例。如果他們持有的任何個人資料屬于居住在歐洲其他地方的人,那么歐盟GDPR就起作用了。
GDPR適用于所有的組織,不管它們在哪里。如果您收集、處理或存儲屬于英國或歐洲公民的個人數據,其中一個GDPRs將適用于您,必須處理此問題的不僅僅是英國和歐盟組織。同樣的模式也適用于加州消費者隱私法案(CCPA)。它保護加州居民,不管數據處理發生在哪里。因此,這并不是只有加州的組織才需要解決的問題。重要的不是你的位置。重要的是你正在處理其數據的人的位置。
加州并不是唯一一個通過立法解決數據隱私問題的州。內華達州和緬因州也有立法,紐約、馬里蘭州、馬薩諸塞州、夏威夷和北達科他州也在實施各自的數據隱私法。
這是除了垂直集中的聯邦立法,如健康保險便攜性和責任法案(HIPAA),兒童在線隱私保護規則(COPPA)和格萊姆-里奇-布萊利法案(GLBA)的立法,如果其中任何一個適用于您的活動。
如果您通過云基礎設施中的門戶或網站收集信息,或者在托管服務器上處理數據,那么這些大量的立法將適用于您。在數據泄露的情況下,不合規行為可能會招致重大的經濟處罰,同時還會損害聲譽,并可能引發集體訴訟。
做得好就是全職工作
安全是一個永無止境的挑戰,云計算帶來了它自己獨特的關注點。謹慎選擇主機或服務提供商是一個關鍵因素。在正式接觸他們之前,確保你做了徹底的盡職調查。
•他們是否認真對待安全問題?他們的業績如何?
•他們是提供指導和支持,還是向你推銷他們的服務,讓你去做?
•作為服務的一部分,他們提供了哪些安全工具和措施?
•可以使用哪些日志?
當討論云計算時,通常有人會給出這樣一個眾所周知的聲音:“云只是指其他人的計算機。”和所有的聲音一樣,這是一個嚴重的過于簡單化。但這里面還是有些道理的。這是一個清醒的想法。