Fahmida+Y.+Rashid

編譯 Charles

某一天，由于基于云系統(tǒng)的配置不完善，又出現(xiàn)了一起數(shù)據(jù)泄露事件。在最近的一次事件中，Verizon的600多萬(wàn)名美國(guó)客戶信息被泄露，這再次提醒我們，云供應(yīng)商和企業(yè)應(yīng)同時(shí)擔(dān)負(fù)起云安全的責(zé)任。

有一種誤解，認(rèn)為是由云服務(wù)供應(yīng)商負(fù)責(zé)云環(huán)境的安全，但這只是故事的一半。亞馬遜、微軟和谷歌等云安全供應(yīng)商，負(fù)責(zé)其物理數(shù)據(jù)中心以及運(yùn)行虛擬機(jī)的服務(wù)器硬件的安全，而讓每個(gè)客戶自己保護(hù)好虛擬機(jī)和應(yīng)用程序。云供應(yīng)商提供了一系列安全服務(wù)和工具來(lái)保證客戶工作負(fù)載的安全，而實(shí)際由管理員去實(shí)施必要的防護(hù)措施。如果客戶不能保護(hù)他們自己的網(wǎng)絡(luò)、用戶和應(yīng)用程序，云供應(yīng)商提供再多的安全防御措施也沒(méi)什么用。

一家第三方服務(wù)供應(yīng)商處理Verizon的后臺(tái)和呼叫中心業(yè)務(wù)，在亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）簡(jiǎn)單存儲(chǔ)服務(wù)（S3）的數(shù)據(jù)存儲(chǔ)桶中存儲(chǔ)過(guò)去六個(gè)月內(nèi)致電過(guò)呼叫中心的所有客戶的呼叫數(shù)據(jù)，包括每一名Verizon客戶的姓名、地址、電話號(hào)碼，以及賬號(hào)PIN碼等。采集數(shù)據(jù)是為了幫助改進(jìn)客戶服務(wù)體驗(yàn)，但由于S3存儲(chǔ)桶配置不正確，而允許外部訪問(wèn)，任何人只要有足夠耐心弄清楚網(wǎng)絡(luò)地址，就能夠下載信息。拿到數(shù)據(jù)的騙子們假裝成Verizon客戶打電話，從而訪問(wèn)客戶帳戶。

這類錯(cuò)誤太常見(jiàn)了。云安全公司RedLock的云基礎(chǔ)設(shè)施安全研究小組最近的研究發(fā)現(xiàn)，40%的企業(yè)由于配置錯(cuò)誤，不經(jīng)意間已經(jīng)至少暴露了一項(xiàng)公有云服務(wù)。

錯(cuò)誤配置是嚴(yán)重的問(wèn)題

Verizon只是由于配置錯(cuò)誤而導(dǎo)致數(shù)據(jù)被暴露在公有云中的眾多企業(yè)中的一家。就在幾星期前，由于美國(guó)職業(yè)摔跤（WWE）協(xié)會(huì)把未加密數(shù)據(jù)庫(kù)放在了AWS的S3存儲(chǔ)桶中，而且沒(méi)有進(jìn)行訪問(wèn)控制和密碼保護(hù)，導(dǎo)致3百多萬(wàn)摔跤愛(ài)好者的個(gè)人數(shù)據(jù)被泄露。六月，共和黨全國(guó)委員會(huì)證實(shí)，1億9千8百萬(wàn)注冊(cè)美國(guó)選民的個(gè)人身份信息——大約占選民的60%，以明文方式被存儲(chǔ)在數(shù)據(jù)分析公司Deep Root Analytics擁有的開(kāi)放Amazon S3存儲(chǔ)服務(wù)器中。由于把文件存儲(chǔ)在S3存儲(chǔ)桶中，國(guó)防承包商Booz Allen Hamilton屬于五角大樓的6萬(wàn)份文件被暴露，包括與美國(guó)軍事項(xiàng)目有關(guān)的敏感文件，6份未加密的安全證書(shū)。

云安全創(chuàng)業(yè)公司RedLock首席執(zhí)行官和聯(lián)合創(chuàng)始人Varun Badhwar說(shuō)：“問(wèn)題不在于云是不安全的，而在于最終是由顧客負(fù)責(zé)安全地配置他們的網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)。如果采用這種服務(wù)的企業(yè)能夠正確的進(jìn)行配置，AWS等公有云基礎(chǔ)設(shè)施是非常安全的。”

云安全公司Threat Stack分析了使用AWS的200家公司，發(fā)現(xiàn)73%的公司至少有一個(gè)關(guān)鍵的安全配置錯(cuò)誤，例如，讓未經(jīng)授權(quán)的用戶直接訪問(wèn)數(shù)據(jù)，錯(cuò)誤配置的對(duì)象成為大規(guī)模攻擊的一部分，通過(guò)登錄AWS控制臺(tái)來(lái)控制整個(gè)環(huán)境。這些泄露事件是由于基本的安全疏忽和未制定IT政策而造成的，而不是惡意對(duì)手主動(dòng)攻擊造成的。

不論是誰(shuí)在做配置——是IT管理員、開(kāi)發(fā)人員、工程師還是安全部門，有太多的人并沒(méi)有完全理解怎樣配置他們的云環(huán)境。企業(yè)再也不能把公有云視為存儲(chǔ)信息的一種老方法，而應(yīng)該采用以下安全措施，以確保未經(jīng)授權(quán)的用戶不能訪問(wèn)其云環(huán)境、應(yīng)用程序和數(shù)據(jù)。

1.知道您要負(fù)責(zé)什么

所有云服務(wù)并不一樣，要負(fù)起的責(zé)任也各不相同。軟件即服務(wù)（SaaS）供應(yīng)商會(huì)確保他們的應(yīng)用程序受到保護(hù)，數(shù)據(jù)被安全地傳輸和存儲(chǔ)，而云基礎(chǔ)設(shè)施通常不是這種情形。例如，企業(yè)應(yīng)完全負(fù)責(zé)其AWS彈性計(jì)算云（EC2）、亞馬遜EBS和亞馬遜虛擬私有云（VPC）的應(yīng)用，包括配置操作系統(tǒng)、管理應(yīng)用程序、保護(hù)數(shù)據(jù)等。

相反，亞馬遜維護(hù)簡(jiǎn)單存儲(chǔ)服務(wù)（S3）的操作系統(tǒng)和應(yīng)用程序，而企業(yè)負(fù)責(zé)管理數(shù)據(jù)、訪問(wèn)控制和身份識(shí)別策略。亞馬遜提供了為S3數(shù)據(jù)加密的工具，但這取決于企業(yè)在進(jìn)入和離開(kāi)服務(wù)器時(shí)是否啟用了保護(hù)功能。應(yīng)與供應(yīng)商核實(shí)誰(shuí)負(fù)責(zé)每一項(xiàng)云安全控制功能。

2.控制誰(shuí)有權(quán)訪問(wèn)

RedLock的CSI發(fā)現(xiàn)公有云有31%的數(shù)據(jù)庫(kù)是開(kāi)放給互聯(lián)網(wǎng)的。事實(shí)上，公有云環(huán)境中93%的資源對(duì)出站流量根本沒(méi)有進(jìn)行限制。9%的云工作負(fù)載既沒(méi)有負(fù)載均衡器也沒(méi)有受到防護(hù)主機(jī)的保護(hù)，能接受來(lái)自任何端口任何IP地址的數(shù)據(jù)流，這是非?？膳碌摹Ｖ挥胸?fù)載均衡器和防護(hù)主機(jī)能夠直接出現(xiàn)在互聯(lián)網(wǎng)上。

正是因?yàn)镾3存儲(chǔ)桶被設(shè)置為允許外部訪問(wèn)才導(dǎo)致Verizon數(shù)據(jù)被泄露。遺憾的是這類錯(cuò)誤太常見(jiàn)了。Threat Stack公司在其研究中發(fā)現(xiàn)，37%的企業(yè)的S3存儲(chǔ)桶允許所有人訪問(wèn)。很多管理員在公共子網(wǎng)中使用0.0.0.0/0，錯(cuò)誤地啟用了服務(wù)器的全局權(quán)限。連接完全放開(kāi)了，每臺(tái)計(jì)算機(jī)都能夠進(jìn)行連接。

對(duì)于AWS的情況，S3存儲(chǔ)桶絕不應(yīng)該有公共訪問(wèn)策略。

在Threat Stack的分析中，另一常見(jiàn)的錯(cuò)誤是打開(kāi)SSH，73%的企業(yè)都這樣做了。Threat Stack公司還發(fā)現(xiàn)，13%的企業(yè)允許從互聯(lián)網(wǎng)直接連接SSH，這意味著任何能找到服務(wù)器地址的人都可以繞過(guò)防火墻，直接訪問(wèn)數(shù)據(jù)。

主要云供應(yīng)商都會(huì)提供身份識(shí)別和訪問(wèn)控制工具；請(qǐng)使用它們。應(yīng)知道誰(shuí)在何時(shí)訪問(wèn)了哪些數(shù)據(jù)。在創(chuàng)建身份識(shí)別和訪問(wèn)控制策略時(shí)，把最高權(quán)限限制在最小范圍內(nèi)，只在需要時(shí)臨時(shí)授予額外權(quán)限。盡可能把安全組配置為最窄安全焦點(diǎn)，并在可能的情況下使用參考安全組ID。

亞馬遜VPC允許管理員在AWS云中創(chuàng)建一個(gè)邏輯隔離的網(wǎng)絡(luò)，以便在虛擬網(wǎng)絡(luò)中啟動(dòng)服務(wù)器。這是保護(hù)產(chǎn)品環(huán)境不受開(kāi)發(fā)和發(fā)布環(huán)境影響并保持?jǐn)?shù)據(jù)隔離的一種方法。

3.保護(hù)數(shù)據(jù)

另一常見(jiàn)的錯(cuò)誤是數(shù)據(jù)沒(méi)有經(jīng)過(guò)加密便放在了云上。RedLock的CSI發(fā)現(xiàn)，公有云中82%的數(shù)據(jù)庫(kù)是不加密的。選民信息和敏感的五角大樓文件之所以被泄露，是因?yàn)閿?shù)據(jù)沒(méi)有加密，未經(jīng)授權(quán)方能夠訪問(wèn)服務(wù)器。把敏感數(shù)據(jù)存儲(chǔ)在云中而沒(méi)有對(duì)服務(wù)器的訪問(wèn)進(jìn)行適當(dāng)控制以保護(hù)數(shù)據(jù)，這樣做是不負(fù)責(zé)任的，也是危險(xiǎn)的。endprint

盡可能控制好加密密鑰。雖然可以讓云服務(wù)供應(yīng)商訪問(wèn)密鑰，但底線是保護(hù)數(shù)據(jù)的責(zé)任在于企業(yè)。

WinMagic首席運(yùn)營(yíng)官M(fèi)ark Hickman說(shuō)：“這就類似于相信您的家庭裝修人員，把家里的鑰匙交給了他。您希望一切都沒(méi)問(wèn)題，但您永遠(yuǎn)都不能100%確定他們會(huì)鎖上門，也無(wú)法確定他們的分包商會(huì)干些什么。那么，為什么還要冒險(xiǎn)讓他們一開(kāi)始就能拿到您的鑰匙呢？”

即使云供應(yīng)商提供了加密工具和管理服務(wù)，很多企業(yè)實(shí)際并沒(méi)有使用。加密是一種安全保障措施——即使安全配置失敗，數(shù)據(jù)落入未授權(quán)方的手中，他們也不能使用數(shù)據(jù)。

4.保護(hù)證書(shū)

如OneLogin泄露事件所展示的，AWS訪問(wèn)密鑰被泄露的情況并不少見(jiàn)。這些密鑰會(huì)出現(xiàn)在公共網(wǎng)站、源代碼庫(kù)、未受保護(hù)的Kubernetes儀表板，以及其他一些論壇上。要把AWS訪問(wèn)密鑰視為最敏感的寶貴資產(chǎn)，教育開(kāi)發(fā)人員避免在公共論壇中泄露此類密鑰。

為每一個(gè)外部服務(wù)創(chuàng)建唯一的密鑰，并遵循最小特權(quán)原則限制對(duì)其訪問(wèn)。應(yīng)限制密鑰的訪問(wèn)權(quán)限，如果錯(cuò)誤的落在別人手中，它們會(huì)被用于訪問(wèn)敏感的資源和數(shù)據(jù)。創(chuàng)建IAM角色來(lái)分配特殊特權(quán)，例如進(jìn)行API調(diào)用。

一定要定期換密鑰。RedLock發(fā)現(xiàn)63%的訪問(wèn)密鑰超過(guò)90天都沒(méi)有被換掉。這使得攻擊者有時(shí)間截獲密鑰，作為特權(quán)用戶滲透到云環(huán)境中。

不要使用root用戶帳戶，即使是要用于管理任務(wù)?？梢允褂胷oot用戶來(lái)創(chuàng)建具有指定權(quán)限的新用戶。鎖定root帳戶（可以通過(guò)添加多重身份驗(yàn)證來(lái)實(shí)現(xiàn)），僅用于非常具體的帳戶和服務(wù)管理任務(wù)。對(duì)于其他的，為用戶提供適當(dāng)?shù)臋?quán)限。

檢查用戶帳戶，查找那些未被使用的賬戶，并禁用它們。如果沒(méi)有人使用這些賬戶，何必給攻擊者留下攻擊的后門呢。

5.保證環(huán)境安全仍然很重要

對(duì)于云環(huán)境防護(hù)，深度防御尤其重要，因?yàn)榧词挂豁?xiàng)控制功能失敗，也會(huì)有其他安全功能保持應(yīng)用程序、網(wǎng)絡(luò)和數(shù)據(jù)的安全。

多重身份認(rèn)證（MFA）功能在用戶名和密碼之上提供了額外的保護(hù)層，使攻擊者更難入侵。應(yīng)啟用MFA，限制對(duì)管理控制臺(tái)、儀表板和特權(quán)帳戶的訪問(wèn)。Redlock發(fā)現(xiàn)，58%的root賬戶沒(méi)有啟用多重身份認(rèn)證功能。Threat Stack發(fā)現(xiàn)，62%的企業(yè)至少有一個(gè)AWS用戶沒(méi)有啟用多重身份認(rèn)證功能。

6.增強(qiáng)可視化

主要云供應(yīng)商都提供某種級(jí)別的日志記錄工具，因此一定要啟用安全日志記錄和監(jiān)視功能，看看是否有未經(jīng)授權(quán)的訪問(wèn)和其他問(wèn)題。亞馬遜為審查AWS環(huán)境提供了CloudTrail，但很多企業(yè)最終并沒(méi)有使用該服務(wù)。當(dāng)啟用后，CloudTrail會(huì)記錄所有AWS API調(diào)用的歷史，包括API調(diào)用者的身份、調(diào)用的時(shí)間、調(diào)用者的源IP地址、請(qǐng)求參數(shù)，以及AWS服務(wù)返回的響應(yīng)數(shù)據(jù)。它還可以用于變更跟蹤、資源管理、安全性分析和合規(guī)審查等。

不要讓錯(cuò)誤導(dǎo)致出現(xiàn)泄露

數(shù)據(jù)泄露并不總是由外部攻擊者造成的，敏感數(shù)據(jù)也可能是由人為錯(cuò)誤而被泄露的。忘記啟用某項(xiàng)功能，或者認(rèn)為某件事情已經(jīng)完成了，但卻不去檢驗(yàn)一下，這些人為錯(cuò)誤都會(huì)給攻擊者敞開(kāi)大門。企業(yè)應(yīng)定期評(píng)估其云環(huán)境及其供應(yīng)商和合作伙伴的安全性。正如Verizon泄露事件所示，第三方供應(yīng)商犯下的錯(cuò)誤成為企業(yè)頭痛的問(wèn)題。

共享安全模型的存在是有原因的——不管誰(shuí)負(fù)責(zé)云工作負(fù)載的安全性，企業(yè)最終要對(duì)數(shù)據(jù)的一切負(fù)責(zé)。

Fahmida Y. Rashid是CSO的資深作家，其寫作主題是信息安全。

原文網(wǎng)址：

http：//www.csoonline.com/article/3208905/cloud-security/top-cloud-security-controls-you-should-be-using.htmlendprint