與陌生人共享內(nèi)存和磁盤空間,讓軟件來強(qiáng)化安全性——還有什么可能會出錯呢?雖然安全專業(yè)人士正在不斷地考慮這些問題,但是當(dāng)在平臺即服務(wù)與云安全這個環(huán)境中進(jìn)行考慮時它們之間的相關(guān)性變得更高了。云繼續(xù)吸引大量人氣并受到多次審查,這使得現(xiàn)在成為了檢查PaaS安全性的一次良機(jī)。
虛擬機(jī)管理程序仍然是攻擊云(包括PaaS和IaaS)最直接和最有效的載體。所以,黑客們?nèi)匀恢铝τ谄平夤芾沓绦蚧蚪俪种?。把攻擊矛頭針對管理程序的原因是云計算中的虛擬機(jī)管理程序相當(dāng)于通用操作系統(tǒng)中的root或admin。
就目前而言,一旦管理程序所使用的硬件和固件被破解,那么攻擊者不僅能夠輕松地對它們進(jìn)行訪問,而且檢查問題的能力也變得更加困難。一個被破解的管理程序是很難被檢查出的,其部分原因是在這一層缺乏可用的監(jiān)控軟件。這里有一個更明顯的檢測問題,能夠破解管理程序的黑客自然也能夠輕松地禁用日志記錄以及其他監(jiān)控服務(wù),或者更糟糕的是,它會向監(jiān)控系統(tǒng)發(fā)送虛假信息。
在平臺即服務(wù)(PaaS)中所使用的虛擬環(huán)境需要防御針對物理和虛擬環(huán)境的攻擊。針對物理環(huán)境中諸多庫的標(biāo)準(zhǔn)漏洞在虛擬環(huán)境中仍然可被攻擊者利用。畢竟,虛擬環(huán)境只是物理環(huán)境的另一個簡單實例。此外,諸如專為虛擬環(huán)境而開發(fā)的惡意軟件這樣的漏洞也是一個不幸的事實存在,正如2012年那次事件中所表現(xiàn)的那樣。
在PaaS環(huán)境的下層中另外受到關(guān)注的是存儲器映射。當(dāng)虛擬環(huán)境被創(chuàng)建時,會分配若干內(nèi)存和磁盤空間資源以供使用。程序員開發(fā)出向內(nèi)存寫數(shù)據(jù)的軟件,而對象通常作為拆卸過程的一部分被釋放,這是不能得到保證的。如果一個被正確部署的持久對象被部署在正確的存儲器位置上,那么這個持久對象就可以充當(dāng)排序的rootkit,并且可以在每一個實例中持續(xù)影響環(huán)境。
跨租戶黑客則是另一個帶來安全性問題的來源。其中,配置錯誤在PaaS安全問題中占據(jù)了很大一部分比例。錯誤配置可能會無意中通過跨租戶黑客或授權(quán)用戶權(quán)限提升而造成數(shù)據(jù)丟失。
雖然我們對于hyperjacking攻擊還是束手無策,但是還是有些步驟可以幫助我們最大限度降低或至少量化這些以及其他PaaS攻擊所造成的損害。當(dāng)在PaaS云環(huán)境中運(yùn)行時,還是可以使用一些簡單規(guī)則的。雖然這些規(guī)則不是針對每一個攻擊載體的,但是它們至少能夠讓風(fēng)險是易于管理的。
PaaS安全規(guī)則1:為數(shù)據(jù)分配數(shù)值。在進(jìn)入云之前,甚至在與供應(yīng)商達(dá)成協(xié)議之前,應(yīng)確定用戶將在云存儲數(shù)據(jù)的數(shù)值。簡單來說,就是一些數(shù)據(jù)并不適合做共享環(huán)境中存儲。即便數(shù)據(jù)已經(jīng)過加密處理,這一點依然適用,因為當(dāng)進(jìn)行密鑰交換時,一些攻擊載體表現(xiàn)為中間人(MITM)攻擊。還要考慮其他數(shù)據(jù)的數(shù)值,例如通常不會考慮雇員數(shù)據(jù)。
PaaS安全規(guī)則2: 對數(shù)據(jù)進(jìn)行加密處理。雖然加密處理不能保證安全性,但是它確實能夠保證隱私性。但請記住,所部署的機(jī)制確實限制了訪問。對那些針對管理程序的攻擊進(jìn)行識別能夠抵消通過MITM攻擊的這種控制。原因可參考規(guī)則1。
PaaS安全規(guī)則3:強(qiáng)制執(zhí)行最小權(quán)限規(guī)則。所有的用戶都應(yīng)被授予確保系統(tǒng)正常運(yùn)行的最低權(quán)限。這是重復(fù)的,因為在歷史上當(dāng)軟件開發(fā)人員在進(jìn)行內(nèi)部軟件開發(fā)時,開發(fā)人員已經(jīng)被授予在隔離主機(jī)上的特權(quán)訪問。當(dāng)云模式創(chuàng)建和銷毀一個臨時環(huán)境時,發(fā)生錯誤、出現(xiàn)漏洞以及創(chuàng)建永久對象的潛力都為限制訪問提供了足夠的理由。未能確保隔離將導(dǎo)致用戶需要理解規(guī)則1。
PaaS安全規(guī)則4: 閱讀、理解SLA并與供應(yīng)商討價還價。服務(wù)水平協(xié)議(SLA)的內(nèi)容范疇超出了可用性和性能,它直接與數(shù)據(jù)數(shù)值相關(guān)。如果數(shù)據(jù)丟失或受損,那么SLA規(guī)定了具體的賠償條款。為了進(jìn)一步提高SLA的有效性,云服務(wù)供應(yīng)商(CSP)必須擁有足夠的資產(chǎn)來支付與規(guī)則1中數(shù)據(jù)相關(guān)的支出。
云服務(wù)供應(yīng)商們必須證明他們已經(jīng)對云環(huán)境的安全性進(jìn)行了盡職盡責(zé)的檢查。問題是安全性審查沒有辦法檢查出復(fù)雜的零日漏洞攻擊;相反,審查只會檢查出已知漏洞。如果用戶的站點安全性狀態(tài)比CSP的更嚴(yán)格,那么可再次考慮規(guī)則1。
了解用戶的特定威脅環(huán)境可以為企業(yè)提供在云使用上一般決策的必要周邊條件,尤其是PaaS安全性。在某些情況下,遷移至云可為企業(yè)用戶提供一個保持或者甚至提高企業(yè)安全態(tài)勢的機(jī)會。在其他情況下,云遷移會帶來新的問題。無論是哪種情況,首先確定數(shù)據(jù)的數(shù)值并使用這一信息將有助于確定前進(jìn)方向。