云計(jì)算繼續(xù)改變企業(yè)使用、存儲(chǔ)和共享數(shù)據(jù)、應(yīng)用程序、工作負(fù)載的方式。它還帶來(lái)了許多新的安全威脅和挑戰(zhàn)。隨著大量數(shù)據(jù)進(jìn)入云計(jì)算(尤其是公共云服務(wù)),這些資源自然成為不良行為者的目標(biāo)。
調(diào)研機(jī)構(gòu)Gartner公司副總裁兼云安全負(fù)責(zé)人Jay Heiser表示,“公共云應(yīng)用正在迅速增長(zhǎng),因此不可避免地導(dǎo)致敏感信息面臨更多的潛在風(fēng)險(xiǎn)。”
與許多人的想法相反,保護(hù)企業(yè)在云中數(shù)據(jù)的主要責(zé)任不在于服務(wù)提供商,而在于客戶本身。Heiser表示,“我們正處于一個(gè)云安全過渡期,在這個(gè)過渡期內(nèi),人們的注意力正從提供商轉(zhuǎn)向客戶。很多企業(yè)正在認(rèn)識(shí)到,花大量時(shí)間試圖弄清楚某個(gè)云計(jì)算服務(wù)提供商是否‘安全’實(shí)際上沒有回報(bào)。”
為了使組織對(duì)云安全問題有最新的了解,以便他們可以就云采用策略做出有根據(jù)的決策,云安全聯(lián)盟(CSA)發(fā)布了其最新版本的《云計(jì)算的11個(gè)最大威脅報(bào)告》。
該報(bào)告反映了云安全聯(lián)盟(CSA)社區(qū)中的安全專家之間當(dāng)前就云中最重要的安全問題達(dá)成的共識(shí)。云安全聯(lián)盟(CSA)表示,盡管云中存在許多安全問題,但這個(gè)列表主要關(guān)注11個(gè)與云計(jì)算的共享、按需特性相關(guān)的問題。
去年的調(diào)查報(bào)告中列出的幾項(xiàng)威脅排名今年有所下降,其中包括拒絕服務(wù)、共享技術(shù)漏洞、云計(jì)算服務(wù)提供商數(shù)據(jù)丟失和系統(tǒng)漏洞。報(bào)告指出,“調(diào)查表明,由云計(jì)算服務(wù)提供商負(fù)責(zé)的傳統(tǒng)安全問題似乎不那么令人擔(dān)憂。相反,我們看到更多的是需要解決位于技術(shù)堆棧更高層的安全問題,是高級(jí)管理層決策的結(jié)果。”
為了確定人們更為關(guān)注的問題,云安全聯(lián)盟(CSA)對(duì)行業(yè)專家進(jìn)行了一項(xiàng)調(diào)查,以就云計(jì)算中最大的安全性問題收集專業(yè)意見。以下是主要的云安全性問題(按調(diào)查結(jié)果的嚴(yán)重性順序依次排列):
1.數(shù)據(jù)泄露
數(shù)據(jù)泄露的威脅在去年的調(diào)查中仍然保持其首要的位置。不難理解其原因,因?yàn)閿?shù)據(jù)泄露可能會(huì)嚴(yán)重?fù)p害企業(yè)的聲譽(yù)和財(cái)務(wù)。它們可能會(huì)導(dǎo)致知識(shí)產(chǎn)權(quán)(IP)損失和重大法律責(zé)任。
云安全聯(lián)盟(CSA)關(guān)于數(shù)據(jù)泄露威脅的關(guān)鍵要點(diǎn)包括:
•攻擊者需要獲取數(shù)據(jù),因此企業(yè)需要定義其數(shù)據(jù)的價(jià)值及其丟失的影響。
•誰(shuí)有權(quán)訪問數(shù)據(jù)是解決保護(hù)數(shù)據(jù)的關(guān)鍵問題。
•通過全球互聯(lián)網(wǎng)可訪問的數(shù)據(jù)最容易受到錯(cuò)誤配置或利用。
•加密可以保護(hù)數(shù)據(jù),但需要在性能和用戶體驗(yàn)之間進(jìn)行權(quán)衡。
•企業(yè)需要考慮云服務(wù)提供商經(jīng)過測(cè)試的可靠事件響應(yīng)計(jì)劃。
2.配置錯(cuò)誤和變更控制不足
配置錯(cuò)誤和變更控制不足是對(duì)云安全聯(lián)盟(CSA)列表的新威脅,考慮到許多企業(yè)意外地通過云計(jì)算泄露數(shù)據(jù)的例子,這不足為奇。例如,云安全聯(lián)盟(CSA)引用了Exactis事件,云計(jì)算提供商因配置錯(cuò)誤開放了Elasticsearch數(shù)據(jù)庫(kù),其中包含2.3億名美國(guó)消費(fèi)者的個(gè)人數(shù)據(jù),可供公眾訪問。由于備份服務(wù)器配置不正確,其威脅與數(shù)據(jù)泄露一樣嚴(yán)重, Level One Robotics公司泄露了100多家制造公司的IP。
云安全聯(lián)盟(CSA)表示,這不僅僅是企業(yè)必須關(guān)注的數(shù)據(jù)丟失,還有為了破壞業(yè)務(wù)而刪除或修改資源。報(bào)告將大部分錯(cuò)誤配置歸咎于糟糕的變更控制實(shí)踐。
云安全聯(lián)盟(CSA)關(guān)于配置錯(cuò)誤和變更控制不力的關(guān)鍵要點(diǎn)包括:
•基于云計(jì)算的資源的復(fù)雜性使其難以配置。
•不要期望傳統(tǒng)的控制和變更管理方法在云中有效。
•使用自動(dòng)化和技術(shù),這些技術(shù)會(huì)持續(xù)掃描錯(cuò)誤配置的資源。
3.缺乏云安全架構(gòu)和策略
這個(gè)問題從云計(jì)算出現(xiàn)時(shí)就一直存在,但今年已成為云安全聯(lián)盟(CSA)的新問題。將系統(tǒng)和數(shù)據(jù)遷移到云中所需的時(shí)間最小化的愿望通常優(yōu)先于安全性。因此,該公司可以使用非針對(duì)其設(shè)計(jì)的安全性基礎(chǔ)設(shè)施和策略在云中運(yùn)營(yíng)。這出現(xiàn)在2019年的清單上的事實(shí)表明,更多的企業(yè)意識(shí)到這是一個(gè)值得關(guān)注的問題。
云安全聯(lián)盟(CSA)關(guān)于缺乏云安全架構(gòu)和策略的關(guān)鍵要點(diǎn)包括:
•安全體系結(jié)構(gòu)需要與業(yè)務(wù)目標(biāo)保持一致。
•開發(fā)和實(shí)施安全體系結(jié)構(gòu)框架。
•保持威脅模型為最新版本。
•部署連續(xù)監(jiān)視功能。
4.身份、憑證、訪問和密鑰管理不力
列表中的另一個(gè)新威脅是對(duì)數(shù)據(jù)、系統(tǒng)和物理資源(如服務(wù)器機(jī)房和建筑物)的訪問管理和控制不力。該報(bào)告指出,云計(jì)算要求企業(yè)改變與身份和訪問管理(IAM)有關(guān)的做法。沒有這樣做的后果可能導(dǎo)致安全事件和破壞,其原因是:
•憑據(jù)保護(hù)不足
•缺乏自動(dòng)輪換密碼密鑰、密碼和證書的功能
•缺乏可擴(kuò)展性
•無(wú)法使用多因素身份驗(yàn)證
•無(wú)法使用強(qiáng)密碼
云安全聯(lián)盟(CSA)關(guān)于身份、證書、訪問和密鑰管理不足的關(guān)鍵要點(diǎn)包括:
•安全帳戶,包括使用雙因素身份驗(yàn)證
•限制使用root帳戶
•根據(jù)業(yè)務(wù)需求和最低特權(quán)原則,隔離和細(xì)分帳戶、虛擬私有云和身份組
•采用程序化、集中式方法進(jìn)行密鑰輪換。
•刪除未使用的憑據(jù)和訪問權(quán)限。
5.帳戶劫持
帳戶劫持仍然是今年第五大云威脅。隨著網(wǎng)絡(luò)釣魚嘗試變得更加有效和更具針對(duì)性,攻擊者獲得高權(quán)限帳戶訪問權(quán)的風(fēng)險(xiǎn)非常大。網(wǎng)絡(luò)釣魚并不是攻擊者獲取憑據(jù)的唯一方法。他們還可以通過其他方式竊取賬戶。
一旦攻擊者可以使用合法帳戶進(jìn)入系統(tǒng),他們就可能造成大量破壞,其中包括盜竊或破壞重要數(shù)據(jù)、中止服務(wù)交付或財(cái)務(wù)欺詐。云安全聯(lián)盟(CSA)建議對(duì)用戶進(jìn)行帳戶劫持的危險(xiǎn)和跡象的培訓(xùn)和教育,以最大程度地降低風(fēng)險(xiǎn)。
云安全聯(lián)盟(CSA)關(guān)于帳戶劫持的關(guān)鍵要點(diǎn)包括:
•帳戶憑據(jù)被盜后,不僅要重置密碼。需要從根本原因入手解決問題。
•深度防御方法和強(qiáng)大的身份識(shí)別與訪問管理(IAM)控制是最好的防御方法。
6.內(nèi)部威脅
來(lái)自受信任內(nèi)部人員的威脅在云中與內(nèi)部部署系統(tǒng)一樣嚴(yán)重。組織內(nèi)部人員可以是現(xiàn)任或前任員工、承包商或可信賴的業(yè)務(wù)合作伙伴,這些是無(wú)需突破公司防御即可訪問其系統(tǒng)的任何人。
內(nèi)部人士造成的損害并不一定懷有惡意,他們可能會(huì)無(wú)意間使數(shù)據(jù)和系統(tǒng)面臨風(fēng)險(xiǎn)。云安全聯(lián)盟(CSA)引用了波洛蒙研究所的2018年內(nèi)部威脅成本研究報(bào)告,該報(bào)告指出,報(bào)告的所有內(nèi)部事件中有64%是由于員工或承包商的疏忽所致。這種疏忽可能包括配置錯(cuò)誤的云計(jì)算服務(wù)器,在個(gè)人設(shè)備上存儲(chǔ)敏感數(shù)據(jù),或成為網(wǎng)絡(luò)釣魚電子郵件的受害者。
云安全聯(lián)盟(CSA)關(guān)于內(nèi)部威脅的關(guān)鍵要點(diǎn)包括:
•對(duì)員工進(jìn)行有關(guān)正確做法的培訓(xùn)和教育,以保護(hù)數(shù)據(jù)和系統(tǒng)。使教育成為一個(gè)持續(xù)的過程。
•定期審核和修復(fù)配置錯(cuò)誤的云計(jì)算服務(wù)器。
•限制對(duì)關(guān)鍵系統(tǒng)的訪問。
7.不安全的接口和API
不安全的接口和API從去年的第三名跌至第七名。2018年發(fā)生了眾所周知的Facebook數(shù)據(jù)泄露事件,影響了全秋5000多萬(wàn)個(gè)帳戶,這是其查看方式功能中引入的漏洞的結(jié)果。尤其是當(dāng)與用戶界面相關(guān)聯(lián)時(shí),API漏洞可以為攻擊者提供竊取用戶或員工憑據(jù)的清晰途徑。
云安全聯(lián)盟(CSA)報(bào)告指出,企業(yè)需要了解API和用戶界面是系統(tǒng)中最容易暴露的部分,并且鼓勵(lì)通過設(shè)計(jì)方法來(lái)構(gòu)建它們來(lái)保證安全性。
云安全聯(lián)盟(CSA)關(guān)于不安全的接口和API的關(guān)鍵要點(diǎn)包括:
•采取良好的API做法,例如監(jiān)督庫(kù)存、測(cè)試、審計(jì)和異?;顒?dòng)保護(hù)等項(xiàng)目。
•保護(hù)API密鑰并避免重用。
•考慮開放的API框架,例如開放云計(jì)算接口(OCCI)或云基礎(chǔ)設(shè)施管理接口(CIMI)。
8.控制平臺(tái)薄弱
控制平臺(tái)涵蓋了數(shù)據(jù)復(fù)制、遷移和存儲(chǔ)的過程。根據(jù)云安全聯(lián)盟(CSA)的說(shuō)法,如果負(fù)責(zé)這些過程的人員無(wú)法完全控制數(shù)據(jù)基礎(chǔ)設(shè)施的邏輯、安全性和驗(yàn)證,則控制平臺(tái)將很薄弱。管理人員需要了解安全配置、數(shù)據(jù)流向以及架構(gòu)盲點(diǎn)或弱點(diǎn)。否則可能會(huì)導(dǎo)致數(shù)據(jù)泄漏、數(shù)據(jù)不可用或數(shù)據(jù)損壞。
云安全聯(lián)盟(CSA)關(guān)于控制平臺(tái)薄弱的關(guān)鍵要點(diǎn)括:
•確保云計(jì)算服務(wù)提供商提供了履行法律和法定義務(wù)所需的安全控制。
•進(jìn)行盡職調(diào)查,以確保云計(jì)算服務(wù)提供商擁有足夠的控制平臺(tái)。
9.元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)故障
云計(jì)算服務(wù)提供商的元結(jié)構(gòu)保存有關(guān)如何保護(hù)其系統(tǒng)的安全信息,并通過API調(diào)用公開該信息。云安全聯(lián)盟(CSA)將元結(jié)構(gòu)稱為云服務(wù)提供商/客戶的“分界線”。API幫助客戶檢測(cè)未經(jīng)授權(quán)的訪問,但還包含高度敏感的信息,例如日志或?qū)徍讼到y(tǒng)數(shù)據(jù)。
這條“分界線”也是潛在的故障點(diǎn),可能使攻擊者能夠訪問數(shù)據(jù)或破壞云客戶。API實(shí)施不佳通常是導(dǎo)致漏洞的原因。云安全聯(lián)盟(CSA)指出,例如,不成熟的云計(jì)算服務(wù)提供商可能不知道如何正確地向其客戶提供API。
另一方面,客戶可能不了解如何正確實(shí)施云計(jì)算應(yīng)用程序。當(dāng)他們連接非為云環(huán)境設(shè)計(jì)的應(yīng)用程序時(shí),尤其如此。
云安全聯(lián)盟(CSA)關(guān)于元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)失敗的關(guān)鍵要點(diǎn)包括:
•確保云計(jì)算服務(wù)提供商提供可見性,并公開緩解措施。
•在云原生設(shè)計(jì)中實(shí)施適當(dāng)?shù)墓δ芎涂丶?/div>
•確保云計(jì)算服務(wù)提供商進(jìn)行滲透測(cè)試并向客戶提供發(fā)現(xiàn)結(jié)果。
10.云計(jì)算使用情況有限的可見性
安全專業(yè)人員普遍抱怨云計(jì)算環(huán)境使他們對(duì)檢測(cè)和防止惡意活動(dòng)所需的許多數(shù)據(jù)視而不見。云安全聯(lián)盟(CSA)將這種有限的使用可見性挑戰(zhàn)分為兩類:未經(jīng)批準(zhǔn)的應(yīng)用程序使用和未經(jīng)批準(zhǔn)的應(yīng)用程序?yàn)E用。
許可的應(yīng)用程序?yàn)E用可能是使用許可的應(yīng)用程序的授權(quán)人員或使用被盜憑據(jù)的外部威脅參與者。云安全聯(lián)盟(CSA)報(bào)告稱,安全團(tuán)隊(duì)需要能夠通過檢測(cè)異常行為來(lái)區(qū)分有效用戶和無(wú)效用戶。
云安全聯(lián)盟(CSA)關(guān)于有限的云使用可見性的關(guān)鍵要點(diǎn)包括:
•從上到下開發(fā)與人員、流程和技術(shù)相關(guān)的云計(jì)算可見性工作。
•在組織范圍內(nèi)進(jìn)行強(qiáng)制性培訓(xùn),了解可接受的云使用政策和執(zhí)行情況。
•讓云安全架構(gòu)師或第三方風(fēng)險(xiǎn)管理人員查看所有未經(jīng)批準(zhǔn)的云服務(wù)。
•投資云訪問安全代理(CASB)或軟件定義的網(wǎng)關(guān)(SDG),以分析出站活動(dòng)。
•投資Web應(yīng)用程序防火墻以分析入站連接。
•在整個(gè)組織中實(shí)施零信任模型。
11.濫用和惡意使用云計(jì)算服務(wù)
攻擊者越來(lái)越多地使用合法的云計(jì)算服務(wù)來(lái)支持其活動(dòng)。例如,他們可能使用云計(jì)算服務(wù)在GitHub等站點(diǎn)上托管偽裝的惡意軟件,發(fā)起DDoS攻擊,分發(fā)網(wǎng)絡(luò)釣魚電子郵件,挖掘數(shù)字貨幣,執(zhí)行自動(dòng)點(diǎn)擊欺詐或進(jìn)行暴力攻擊以竊取憑據(jù)。
云安全聯(lián)盟(CSA)表示,云計(jì)算服務(wù)提供商應(yīng)有適當(dāng)?shù)木徑獯胧?,以防止和發(fā)現(xiàn)濫用行為,例如付款工具欺詐或?yàn)E用云計(jì)算服務(wù)。對(duì)于云計(jì)算提供商來(lái)說(shuō),建立事件響應(yīng)框架以應(yīng)對(duì)濫用并允許客戶報(bào)告濫用也很重要。
云安全聯(lián)盟(CSA)關(guān)于濫用和濫用云服務(wù)的關(guān)鍵要點(diǎn)包括:
•監(jiān)控員工的云計(jì)算使用情況是否受到濫用。
•使用云計(jì)算數(shù)據(jù)丟失防護(hù)(DLP)解決方案來(lái)監(jiān)視和阻止數(shù)據(jù)泄露。