怎样应对 4 种主要的云漏洞?

2020-05-12 17:15| 发布者: | 查看: |

今年一月美国国安局(NSA)发布了一份指南,用于指导美国政府各机构处理云漏洞问题。虽然该指南的使用人群为政府机构,但是各商业机构也可以参考。据悉,该指南对四种主要云漏洞问题和相应的处理方式进行了分析:
云漏洞缓解指南
本文件将云漏洞分为四类(配置错误、访问控制不善、共享租赁漏洞和供应链漏洞),其中包含了绝大多数已知漏洞。云客户在减少配置错误和访问控制不善方面具有关键作用,但组织也可以采取措施保护云资源免受共享租赁和供应链漏洞的攻击。通过提供每类漏洞的描述以及最有效的缓解措施,可以帮助组织锁定其云资源。通过采取基于风险的云技术方法,组织可以安全地受益于云的广泛功能中。

云组件

云架构并不标准化,而且每个云服务提供商(CSP)实现基础云服务的方式都不同。理解 CSP 的云实现应该是客户在云服务购期间风险决策的一部分。下面四种云架构服务在大多数云中都很常见:
  • 身份和访问管理(IdAM):IdAM 是指为保护客户对其资源的访问而实施的控制,以及 CSP 用于保护对后端云资源的访问的控制。安全的客户和云后端 IdAM,包括实施和审计两部分,对于保护云客户的资源至关重要
  • 计算:云通常依赖虚拟化和容器化措施来管理和隔离客户计算的工作负载,无服务器计算(Serverless computing)是云计算资源的动态分配,用于运行客户代码,它是建立在虚拟化或容器化的基础上的,具体取决于云服务。虚拟化是一种云骨干技术,不仅适用于客户工作负载,也适用于云架构本身。虚拟化是一种支持技术,它在云中为存储和网络提供隔离。虚拟化通常用于实现和保护内部云节点。容器化是一种更轻量级的技术,常在云中用于管理和隔客户工作负载。和虚拟化相比,隔离技术的容器化更不安全,因为它具有共享的内核特性,但是 CSPs 提供的技术有助于解决容器化的安全缺陷。
  • 网络:客户网络的隔离是云的关键安全功能。此外,云网络必须在整个云架构中实施控制,以保护客户云资源免受内部威胁。软件定义网络通常在云中使用,以便在逻辑上分离客户网络并实现云中的骨干网络。
  • 存储(对象、版块和数据库记录): 客户数据在逻辑上与云节点上的其他客户数据分离。必须存在安全机制,以确保客户数据不会泄露给其他客户,并保护客户数据免受内部威胁。
云加密和密钥管理
虽然不是云架构的基本组件,但加密和密钥管理(KM)是保护云中信息的一个关键方面。虽然 CSP 使用加密手段(以及其他控制)来保护客户数据的某些方面不受其他客户和 CSP 员工的影响,但云客户应该了解他们为进一步保护数据所拥有的选项。了解数据敏感度要求对于构建云加密和密钥管理策略至关重要。
客户可以利用云服务提供商提供的加密技术和密钥管理服务。基于云的密钥管理服务旨在与其他云服务集成,从而减少保护和处理云数据所需的客户开发量。基于云的密钥管理服务能够向客户提供关于密钥创建、销毁和使用的审计信息。除了基于软件的解决方案外,许多云服务提供商还提供硬件安全模块(HSM)服务以保护云中的客户密钥。客户还可以选择向云提供外部生成的密钥以用于加密(自带密钥)。一些云服务提供商提供的加密技术和密钥管理的解决方案经过认证可以保护敏感但非机密的国防部信息。

共担云端安全责任

云服务提供商和云客户共同承担独立且交叉的职责,以确保服务和存储在公共云中的敏感数据的安全。云服务提供商负责保护云基础设施,并实施逻辑控制以分离客户数据。组织管理员通常负责配置应用程序级别的安全性(例如对数据授权的访问控制)。许多云服务提供商提供了云安全配置工具和监控系统,但云客户负根据组织安全的需求配置服务。共同责任会影响日常操作(如修补程序管理)和异常事件(如安全事件响应)。具体责任因云服务提供商、云服务类型(如基础设施即服务[laaS]与平台即服务[PaaS])和特定产品(如托管虚拟机与非托管虚拟机)而异。图 1 显示了这些职责的通用映射。
共同责任的考虑因素包括:
  • 威胁检测:虽然云服务提供商通常负责检测对底层云平台的威胁监测,但客户有责任检测对自己云资源的威胁。云服务提供商和第三方可以提供基于云的工具,来帮助客户进行威胁检测。
  • 事件响应:云服务提供商具有独特的地位,可响应云基础设施的内部事件,并承担相应责任。客户云环境的内部事件通由客户承担责任,但云服务提供商可为事件响应团队提供支持。
  • 修补 / 更新:云服务提供商负责确保其云产品的安全性,及在其权限范围内迅速修补软件,但通不修补客户管理软件(例如:IaaS 产品的操作系统)。因此,客户应警惕地部署补丁,以缓解云端的软件漏洞。在某些情况下,云服务提供商可提供管理解决方案,并于方案中执行操作系统的修补。

云威胁行为者

  • 恶意 CSP 管理员
  1. 利用特权凭证或职位访问、修改或销毁存储在云平台上的信息;
  2. 利用特权证书或职位修改云平台,以便访问连接或消耗云资源的网络;
  • 恶意客户云管理员
利用特权凭证访问、修改或销毁存储在云平台上的信息;

网络犯罪分子及 / 或由国家资助的行为体

  • 利用云体系结构或配置中的弱点来获取敏感数据或消耗云资源,牺牲受害者的利益;
  • 利用薄弱的、基于云端的认证机制去获取用户证书(例如,密码喷射攻击);
  • 利用受损凭证或不正当访问权限去获取云资源;获得对云环境的访问特权,破坏租户资源:
  • 利用组织网络和云资源间的信任关系,从云端转向受保护的网络,反之亦然;

未经培训或疏忽的客户云管理员

  • 无意暴露敏感数据或云资源
云漏洞及缓解措施
云漏洞与传统结构中的漏洞类似,但共享租赁的云特性及潜在的普遍访问会增加其被利用的风险。以下列出的漏类别在发现和利用漏洞的普遍性和最低攻击者复杂度方面有所相同。以下每部分会展示一个云漏洞类别、提供现实世界的示例,评估漏洞的普遍性,评定攻击者的复杂性,并讨论缓解措施。
减轻云漏洞是 CSP 和客户组织之间的共同责任。对于组织在向云转换和维护云资源方面的成功,关键是来自明智的领导层的支持,这使正确的治理、预算和监督得以被确保。在这种支持下,管理员能够有效地减轻云资源的负担。云技术发展迅速,因而监督成为一项复杂的任务。
组织需要与组织规模相称的专用资源,以确保云中具备充分保护。此外,客户应该与他们的 CSP 合作,了解供应商特有的对策及其对风险的影响。

1. 配置错误

普避性:广泛;攻击者复杂程度:低
尽管 CSP 经常提供帮助管理云配置的工具,云资源的错误配置仍然是最普遍的云漏洞,它可以被用来访问云数据和进行服务。错误配置通常由云服务策略[云服务策略是在软件中实现的技术控制,用于定义云服务如何交互。] 误解共享责任引起,其影响从拒绝服务到帐户妥协不等。CSP 的快速创新创造了新的功能,但也增加了安全地配置组织的云资源的复杂性。
适当的云配置始于基础设施设计和自动化。在最初的设计和规划过程中,应该应用保障原则,比如最低限度的特权和纵深防御。有序的云管理也是安全网络环境的关键。实施这些原则的技术控制因 CSP 而异,但通常包括云服务策略、加密、访问控制列表(ACL)、应用程序网关、入侵检测系统(IDS)、Web 应用程序防火墙(WAF)和虚拟专用网络(VPN)等。设计与操作良好的云体系结构应包括防止配置错误或提醒管理员配置不当的控件。DoD 组织可以利用 DoD 云计算安全要求指南(CCSRG)提供基于数据敏感性的要求集,并应主动应用针对特定用例定制的其他控件,充分利用云自动化来监视和确保安全性。最后需提及的是,这些控件和配置不应是静态设置,而应与组织的云技术和风险管理一起进化升级。
为便于组织对最低权限的强制实施,管理员应做到以下几点:
  • 通过云服务策略,防止用户在未进行任务认证的情况下公开共享数据;
  • 使用云或者第三方工具检测云服务策略中的错误配置;
  • 在零信任模式状态下,限制对云资源的直接或间接访问;
  • 使用云服务策略确保资源默认为私有资源;
  • 使用自动工具审核访问日志,以识别过度曝光的数据;
限制敏感数据并将其置入待批准存储,使用数据丢失防护方案实施这些限制。此外,为了实施纵深防御,管理员应当:
  • 确保为创建或修改云服务策略的个人提供适当的 CSP 专业培训;
  • 使用有力的加密方法,并正确配置、管理和监控密钥管理系统,在静态和传输过程中实施数据加密;
  • 遵守适用的标准(例如,CSP 指南、互联网安全基准中心, DoD CCSRG);
  • 在云系统中配置软件以自动更新;
  • 控制虚拟机映像的选择以获得强化后的基线,并启用可预测的网络防御;
  • 控制和审核云服务策略和 IdAM 更改;
  • 确保在所有级别日志记录的启用(例如,用户平台活动、网络流日志,SaaS/PaaS 活动),以掌握现实环境,特别是临时资源,并确保日志的不可移动存储;
  • 尽可能将传统安全实践应用于云(例如,为基于云的端点启用端点检测和响应[EDR]);
  • 利用 CSP 中新出现的安全功能来检测来自特殊位置的威胁;
  • 遵循最佳做法来防止特权账户的溢用(例如职责分离,双人控制);
  • 建立配置更改和安全事件的自动连续监视:
  • 关联来自混合或多云环境的日志;
  • 建立能够满足组织对于冗余、可用性、性能、数据所有权 / 主权、物理安全、事件处理和云基础架构透明度需求的合同;
  • 控制和审核云服务策略和 IdAM 更改;
  • 识别和铲除不破坏组织控制的 Shadow IT
最后,为了实现对云应用的有序过渡,管理员应:
  • 实现 CSP 服务的现代化并充分利用非对遗留系统的“升级和转移”;
  • 确保过渡期有合适的定义、资助、审查,并在正确的领导下进行;
  • 改进体系结构和流程,以整合新功能,了解风险变化;
  • 了解您的数据及其在整个系统中的流动方式;
  • 评估传统 IT 操作或基础设施可以合并到云部署中的领域;
  • 使用 CSP 工具或技术(如以基础结构为代码)来降低配置错误的风险。

 
QQ在线咨询
售前咨询热线
13911631353
售后服务热线
400 693 8006
返回顶部