云計(jì)算正在持續(xù)改變組織機(jī)構(gòu)使用、存儲(chǔ)和共享數(shù)據(jù)、應(yīng)用程序和工作負(fù)載的方式。這也帶來(lái)了一系列新的安全威脅和挑戰(zhàn)。隨著大量數(shù)據(jù)數(shù)據(jù)進(jìn)入云計(jì)算——特別是公共云服務(wù),這些資源自然就成為了壞人的目標(biāo)。
Gartner 公司副總裁兼云安全主管 Jay Heiser 表示:公共云的使用量正在快速增長(zhǎng),因此不可避免地會(huì)導(dǎo)致大量敏感內(nèi)容暴露在潛在風(fēng)險(xiǎn)當(dāng)中。
與大多數(shù)人的認(rèn)知可能相反,保護(hù)云中企業(yè)數(shù)據(jù)的主要責(zé)任不在于服務(wù)供應(yīng)商,而在于云客戶。
“我們正處于云安全轉(zhuǎn)型時(shí)期,重點(diǎn)正從供應(yīng)商轉(zhuǎn)移到客戶身上。企業(yè)正在認(rèn)識(shí)到花大量時(shí)間試圖弄清楚某個(gè)特定的云服務(wù)供應(yīng)商是否 ‘安全’,實(shí)際上并不重要。
為了讓組織機(jī)構(gòu)了解云安全問題的最新動(dòng)態(tài),以便他們能夠就云使用策略做出明智的決策,云安全聯(lián)盟 (Cloud Security Alliance, CSA) 發(fā)布了最新版本的《云計(jì)算十二大頂級(jí)威脅:行業(yè)洞察報(bào)告》 。
該報(bào)告描述了 CSA 安全專家一致認(rèn)為的目前云所面對(duì)的最大安全問題。CSA 表示,盡管云計(jì)算存在很多安全問題,但本文主要關(guān)注12個(gè)與云計(jì)算的共享和按需分配特性相關(guān)的問題。后續(xù)報(bào)告《云計(jì)算的最大威脅:深度挖掘》(Top Threats to Cloud Computing: Deep Dive) 列舉了有關(guān)這12種威脅的案例研究。
為了確定主要威脅,CSA 對(duì)行業(yè)專家進(jìn)行了調(diào)查,就云計(jì)算面臨的主要安全問題收集了專業(yè)意見。下面是調(diào)查得出的一些頂級(jí)云安全問題(按調(diào)查結(jié)果的嚴(yán)重程度排序):
1. 數(shù)據(jù)泄露
CSA 表示,數(shù)據(jù)泄露可能是因?yàn)橛嗅槍?duì)性的攻擊,也可能只是人為錯(cuò)誤、應(yīng)用程序漏洞或糟糕的安全措施導(dǎo)致的。數(shù)據(jù)泄露可能涉及任何不打算公開的信息,包括個(gè)人健康信息、財(cái)務(wù)信息、個(gè)人身份信息、商業(yè)秘密和知識(shí)產(chǎn)權(quán)信息。一個(gè)組織機(jī)構(gòu)的云數(shù)據(jù)可能對(duì)不同的對(duì)象有不同的價(jià)值。數(shù)據(jù)泄露風(fēng)險(xiǎn)并非只有云計(jì)算獨(dú)有,但它始終是云客戶最關(guān)心的問題。
他在其《深度挖掘》(Deep Dive) 的報(bào)告中引用了2012年 LinkedIn 密碼遭黑客攻擊作為主要例證。由于 LinkedIn 沒有加密密碼數(shù)據(jù)庫(kù),攻擊者竊取了1.67億個(gè)密碼。該報(bào)告表示,這次泄露警示組織機(jī)構(gòu)應(yīng)始終對(duì)包含用戶憑據(jù)的數(shù)據(jù)庫(kù)進(jìn)行加鹽哈希加密處理,并進(jìn)行日志記錄和異常行為分析。
2. 身份、憑據(jù)和訪問管理不當(dāng)
假扮成合法用戶、操作人員或開發(fā)人員的外部入侵者可以讀取、修改和刪除數(shù)據(jù);發(fā)布控制面板和管理功能;監(jiān)視傳輸中的數(shù)據(jù)或發(fā)布來(lái)源似乎合法的惡意軟件。因此,身份、憑據(jù)或密鑰管理不當(dāng)可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問,并可能對(duì)組織機(jī)構(gòu)或終端用戶造成災(zāi)難性的結(jié)果。
根據(jù) Deep Dive 的報(bào)告,訪問管理不當(dāng)?shù)囊粋€(gè)例子是 MongoDB 數(shù)據(jù)庫(kù)默認(rèn)安裝設(shè)置存在風(fēng)險(xiǎn)。該數(shù)據(jù)庫(kù)在默認(rèn)安裝設(shè)置中打開了一個(gè)端口,允許訪問者在不進(jìn)行身份驗(yàn)證的情況下對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問。該報(bào)告建議在所有周邊環(huán)境中實(shí)施預(yù)防性控制,并要求組織機(jī)構(gòu)掃描托管、共享和公共環(huán)境中的漏洞。
3. 不安全接口和應(yīng)用程序接口(API)
云供應(yīng)商公開了一套軟件用戶界面 (UI) 或 API,客戶通過這些工具管理云服務(wù)并與之進(jìn)行交互。CSA 表示,供應(yīng)、管理和監(jiān)測(cè)都是使用這些接口執(zhí)行的,一般云服務(wù)的安全性和可用性取決于 API 的安全性。它們需要被設(shè)計(jì)成能夠阻擋企圖避開政策的意外和惡意企圖。
4. 系統(tǒng)漏洞
系統(tǒng)漏洞是程序中可利用的漏洞,攻擊者可以利用這些漏洞潛入系統(tǒng)竊取數(shù)據(jù)、控制系統(tǒng)或中斷服務(wù)操作。CSA 表示,操作系統(tǒng)組件中的漏洞使所有服務(wù)和數(shù)據(jù)的安全性面臨重大風(fēng)險(xiǎn)。隨著云端用戶增加,不同組織機(jī)構(gòu)的系統(tǒng)彼此靠近,并被賦予了訪問共享內(nèi)存和資源的權(quán)限,從而產(chǎn)生了一個(gè)新的攻擊角度。
5. 賬戶劫持
CSA 指出,帳戶或服務(wù)劫持并不新鮮,但云服務(wù)的出現(xiàn)帶來(lái)了新的威脅。如果攻擊者獲得了對(duì)用戶憑證的訪問權(quán),他們就可以監(jiān)視用戶活動(dòng)和交易,操縱數(shù)據(jù),返回偽造的信息,并將客戶重定向到非法站點(diǎn)。帳戶或服務(wù)實(shí)例可能成為攻擊者的新依據(jù)。使用竊取的憑證,攻擊者可以訪問云計(jì)算服務(wù)的關(guān)鍵部分,從而破壞這些服務(wù)的機(jī)密性、完整性和可用性。
Deep Dive 報(bào)告中的一個(gè)例子:Dirty Cow 高級(jí)持續(xù)威脅 (APT) 小組能夠通過薄弱的審查或社會(huì)工程接管現(xiàn)有帳戶,從而獲得系統(tǒng)root權(quán)限。該報(bào)告建議對(duì)訪問權(quán)限實(shí)行 “需要知道” 和 “需要訪問” 策略,并對(duì)帳戶接管策略進(jìn)行社交工程訓(xùn)練。
6. 惡意內(nèi)部人員
CSA 表示,盡管威脅程度有待商榷,但內(nèi)部威脅會(huì)制造風(fēng)險(xiǎn)這一事實(shí)毋庸置疑。惡意內(nèi)部人員(如系統(tǒng)管理員)可以訪問潛在的敏感信息,并且逐漸可以對(duì)更關(guān)鍵的系統(tǒng)進(jìn)行更高級(jí)別的訪問,并最終訪問數(shù)據(jù)。如果僅依靠云服務(wù)供應(yīng)商來(lái)保持系統(tǒng)安全,那么系統(tǒng)將面臨巨大的安全風(fēng)險(xiǎn)。
報(bào)告中引用了一名心懷不滿的 Zynga 員工的例子,該員工下載并竊取了公司的機(jī)密商業(yè)數(shù)據(jù)。當(dāng)時(shí)沒有防丟失控制措施。Deep Dive 報(bào)告建議實(shí)施數(shù)據(jù)丟失防護(hù) (DLP) 控制,提高安全和隱私意識(shí),以改進(jìn)對(duì)可疑活動(dòng)的識(shí)別和報(bào)告。
7. 高級(jí)持續(xù)威脅(APTs)
APTs 是一種寄生形式的網(wǎng)絡(luò)攻擊,它滲透到系統(tǒng)中,在目標(biāo)公司的IT基礎(chǔ)架構(gòu)扎根,然后竊取數(shù)據(jù)。APT 在很長(zhǎng)一段時(shí)間內(nèi)會(huì)秘密追蹤自己的目標(biāo),通常能適應(yīng)那些旨在防御它們的安全措施。一旦到位,APT 可以橫向移動(dòng)通過數(shù)據(jù)中心網(wǎng)絡(luò),并融入到正常的網(wǎng)絡(luò)流量中來(lái)實(shí)現(xiàn)他們的目標(biāo)。
8. 數(shù)據(jù)丟失
存儲(chǔ)在云中的數(shù)據(jù)可能會(huì)因?yàn)閻阂夤粢酝獾脑騺G失,CSA 說道。云服務(wù)供應(yīng)商意外刪除或物理災(zāi)難(如火災(zāi)或地震)可能導(dǎo)致客戶數(shù)據(jù)的永久性丟失,除非供應(yīng)商或云消費(fèi)者進(jìn)行了數(shù)據(jù)備份,遵循了業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)方面的最佳實(shí)踐。
9. 盡職調(diào)查不夠徹底
CSA 表示,當(dāng)高管制定業(yè)務(wù)策略時(shí),必須考慮到云技術(shù)和服務(wù)提供商。在評(píng)估技術(shù)和供應(yīng)商時(shí),制定一個(gè)完善的路線圖和盡職調(diào)查清單至關(guān)重要。那些急于采用云技術(shù),但沒有在進(jìn)行盡職調(diào)查的情況下選擇供應(yīng)商的組織機(jī)構(gòu)將面臨很多風(fēng)險(xiǎn)。
10. 濫用和惡意使用云服務(wù)
CSA 表示,不安全的云服務(wù)部署、免費(fèi)的云服務(wù)試用以及欺詐賬戶注冊(cè),都將云計(jì)算模型暴露在惡意攻擊之下。惡意人員可能會(huì)利用云計(jì)算資源來(lái)針對(duì)用戶、組織機(jī)構(gòu)或其他云供應(yīng)商。濫用云關(guān)聯(lián)資源的例子包括發(fā)起分布式拒絕服務(wù)攻擊、垃圾郵件和釣魚攻擊。
11. 拒絕服務(wù) (DoS)
DoS 攻擊旨在阻止使用服務(wù)的用戶訪問他們的數(shù)據(jù)或應(yīng)用程序。通過強(qiáng)制目標(biāo)云服務(wù)消耗過多的系統(tǒng)資源(如處理能力,內(nèi)存,磁盤空間或網(wǎng)絡(luò)帶寬), 攻擊者可以使系統(tǒng)速度降低,并使所有合法的服務(wù)用戶無(wú)法訪問服務(wù)。
DNS 供應(yīng)商 Dyn 是 Deep Dive 報(bào)告中 DoS 攻擊的一個(gè)主要例子。一個(gè)外部組織使用 Mirai 惡意軟件通過物聯(lián)網(wǎng)設(shè)備, 在 Dyn 上啟動(dòng)分布式拒絕服務(wù) (DDoS)。這次攻擊之所以能成功,是因?yàn)槭艿焦舻奈锫?lián)網(wǎng)設(shè)備使用了默認(rèn)憑證。該報(bào)告建議分析異常的網(wǎng)絡(luò)流量,并審查和測(cè)試業(yè)務(wù)連續(xù)性計(jì)劃。
12. 共享的技術(shù)漏洞
CSA 指出,云服務(wù)供應(yīng)商通過共享基礎(chǔ)架構(gòu)、平臺(tái)或應(yīng)用程序來(lái)提供可擴(kuò)展的服務(wù)。云技術(shù)帶來(lái)了 “即服務(wù)” 概念,而沒有對(duì)現(xiàn)有的硬件和軟件進(jìn)行實(shí)質(zhì)性改動(dòng)——有時(shí)是以犧牲安全性為代價(jià)的。組成支持云服務(wù)部署的基礎(chǔ)組件,其設(shè)計(jì)目的可能不是為了多用戶架構(gòu)或多用戶應(yīng)用程序提供強(qiáng)大的隔離功能。這可能導(dǎo)致共享技術(shù)漏洞,這些漏洞可能會(huì)在所有交付模型中被利用。
Deep Dive 報(bào)告中的一個(gè)例子是 Cloudbleed 漏洞,在這個(gè)漏洞中,一個(gè)外部人員能夠利用其軟件中的一個(gè)漏洞從安全服務(wù)供應(yīng)商 Cloudflare 中竊取 API 密鑰、密碼和其他憑據(jù)。該報(bào)告建議對(duì)所有敏感數(shù)據(jù)進(jìn)行加密,并根據(jù)敏感級(jí)別對(duì)數(shù)據(jù)進(jìn)行分段。
其他:幽靈(Spectre)和熔斷(Meltdown)
2018年1月,研究人員報(bào)告了大多數(shù)現(xiàn)代微處理器的一個(gè)常見設(shè)計(jì)特性,利用該特性使用惡意 Javascript 代碼可以從內(nèi)存中讀取內(nèi)容,包括加密數(shù)據(jù)。這一漏洞的兩種變體分別被稱為熔斷 (Meltdown) 和幽靈 (Spectre),它們影響了從智能手機(jī)到服務(wù)器的各種設(shè)備。正因?yàn)楹笳?,我們才把它們列入這個(gè)云威脅列表中。
Spectre 和 Meltdown 都能進(jìn)行旁路攻擊,因?yàn)樗鼈兇蚱屏藨?yīng)用程序之間的相互隔離。能夠通過非特權(quán)登錄訪問系統(tǒng)的攻擊者可以從內(nèi)核讀取信息,如果攻擊者是客戶虛擬機(jī) (VM) 上 root 用戶,則可以讀取主機(jī)內(nèi)核。
對(duì)于云服務(wù)提供商來(lái)說,這是一個(gè)巨大的問題。當(dāng)補(bǔ)丁可用時(shí),攻擊者會(huì)更難發(fā)動(dòng)攻擊。補(bǔ)丁可能會(huì)降低性能,因此一些企業(yè)可能選擇不給系統(tǒng)打補(bǔ)丁。CERT 建議更換所有受影響的處理器——但還沒有代替品時(shí),很難做到這一點(diǎn)。
到目前為止,還沒有任何已知的利用 Meltdown 或 Spectre 的漏洞,但專家們一致認(rèn)為,這些漏洞很可能很快就會(huì)出現(xiàn)。對(duì)于云供應(yīng)商來(lái)說,防范它們的最佳建議是確保所有最新補(bǔ)丁都已到位??蛻魬?yīng)該要云供應(yīng)商提供他們應(yīng)對(duì) Meldown 和 Spectre 的策略。