在將應用和數據遷移到云端這件事上,企業不再裹足不前,但安全問題依然需要加以密切關注。最小化云端安全風險的第一步,就是要認清那些頂級安全威脅。
云計算的共享特性和按需定制本質除了給企業帶來效率上提升,也引入了新的安全威脅,有可能使企業得不償失。之前云安全聯盟(CSA)的報告便指出,云服務天生就能使用戶繞過公司范圍內的安全策略,建立起自己的影子IT項目服務賬戶。新的安全控制策略必須被引入。
下面是云安全聯盟列出的2016年“十二大云安全威脅”,云服務客戶和提供商都可以根據這份CSA放出的報告調整防御策略。
威脅 No.1:數據泄露
云環境面對的威脅中有很多都與傳統企業網絡面對的威脅相同,但由于有大量數據存儲在云服務器上,云提供商便成為了黑客很喜歡下手的目標。萬一受到攻擊,潛在損害的嚴重性,取決于所泄露數據的敏感性。個人財務信息泄露事件或許會登上新聞頭條,但涉及健康信息、商業機密和知識產權的數據泄露,卻有可能是更具毀滅性的打擊。
一旦發生數據泄露,公司企業或許會招致罰款,又或者將面臨法律訴訟或刑事指控。數據泄露調查和客戶通知的花費也有可能是天文數字。其他非直接影響,比如品牌形象下跌和業務流失,會持續影響公司長達數年時間。
云服務提供商通常都會部署安全控制措施來保護云環境,但最終,保護自身云端數據的責任,還是要落在使用云服務的公司自己身上。CSA建議公司企業采用多因子身份驗證和加密措施來防護數據泄露。
威脅 No.2:憑證被盜和身份驗證如同虛設
數據泄露和其他攻擊通常都是身份驗證不嚴格、弱密碼橫行、密鑰或憑證管理松散的結果。公司企業在試圖根據用戶角色分配恰當權限的時候,通常都會陷入身份管理的泥潭。更糟糕的是,他們有時候還會在工作職能改變或用戶離職時忘了撤銷相關用戶的權限。
多因子身份驗證系統,比如一次性密碼、基于手機的身份驗證、智能卡等,可以有效保護云服務。因為有了多重驗證,攻擊者想要靠盜取的密碼登進系統就難得多了。美國第二大醫療保險公司Anthem數據泄露事件中,超過8千萬客戶記錄被盜,就是用戶憑證被竊的結果。Anthem沒有采用多因子身份驗證,因此,一旦攻擊者獲得了憑證,進出系統如入無人之境。
將憑證和密鑰嵌入到源代碼里,并留在面向公眾的代碼庫(如GitHub)中,也是很多開發者常犯的錯誤。CSA建議,密鑰應當妥善保管,防護良好的公鑰基礎設施也是必要的。密鑰和憑證還應當定期更換,讓攻擊者更難以利用竊取的密鑰登錄系統。
計劃與云提供商聯合身份管理的公司,需要理解提供商用以防護身份管理平臺的安全措施。將所有ID集中存放到單一庫中是有風險的。要想集中起來方便管理,就要冒著這個極高價值ID庫被攻擊者盯上的風險。如何取舍,就看公司怎么權衡了。
威脅 No.3:界面和API被黑
基本上,現在每個云服務和云應用都提供API(應用編程接口)。IT團隊使用界面和API進行云服務管理和互動,服務開通、管理、配置和監測都可以借由這些界面和接口完成。
從身份驗證和訪問控制,到加密和行為監測,云服務的安全和可用性依賴于API的安全性。由于公司企業可能需要開放更多的服務和憑證,建立在這些界面和API基礎之上的第三方應用的風險也就增加了。弱界面和有漏洞的API將使企業面臨很多安全問題,機密性、完整性、可用性和可靠性都會受到考驗。
API和界面通常都可以從公網訪問,也就成為了系統最暴露的部分。CSA建議對API和界面引入足夠的安全控制,比如“第一線防護和檢測”。威脅建模應用和系統,包括數據流和架構/設計,已成為開發生命周期中的重要部分。專注安全的代碼審查和嚴格的滲透測試,也是CSA給出的推薦選項。
威脅 No.4:系統漏洞利用
系統漏洞,或者程序中可供利用的漏洞,真不是什么新鮮事物。但是,隨著云計算中多租戶的出現,這些漏洞的問題就大了。公司企業共享內存、數據庫和其他資源,催生出了新的攻擊方式。
幸運的是,針對系統漏洞的攻擊,用“基本的IT過程”就可以緩解。最佳實踐包括:定期漏洞掃描、及時補丁管理和緊跟系統威脅報告。
CSA報告表明:修復系統漏洞的花費與其他IT支出相比要少一些。部署IT過程來發現和修復漏洞的開銷,比漏洞遭受攻擊的潛在損害要小。管制產業(如國防、航天航空業)需要盡可能快地打補丁,最好是作為自動化過程和循環作業的一部分來實施。變更處理緊急修復的控制流程,要確保該修復活動被恰當地記錄下來,并由技術團隊進行審核。
威脅 No.5:賬戶劫持
網絡釣魚、詐騙、軟件漏洞利用,依然是很成功的攻擊方式。而云服務的出現,又為此類威脅增加了新的維度。因為攻擊者可以利用云服務竊聽用戶活動、操縱交易、修改數據。利用云應用發起其他攻擊也不無可能。
常見的深度防護保護策略能夠控制數據泄露引發的破壞。公司企業應禁止在用戶和服務間共享賬戶憑證,還應在可用的地方啟用多因子身份驗證方案。用戶賬戶,甚至是服務賬戶,都應該受到監管,以便每一筆交易都能被追蹤到某個實際的人身上。關鍵就在于,要避免賬戶憑證被盜。
威脅 No.6:惡意內部人士
內部人員威脅擁有很多張面具:現員工或前雇員、系統管理員、承包商、商業合作伙伴……惡意行為可以從單純的數據偷盜,到報復公司。在云環境下,惡意滿滿的內部人員可以破壞掉整個基礎設施,或者操作篡改數據。安全性完全依賴于云服務提供商的系統,比如加密系統,是風險最大的。
CSA建議:公司企業自己控制加密過程和密鑰,分離職責,最小化用戶權限。管理員活動的有效日志記錄、監測和審計也是非常重要。
不過,話又說回來,一些拙劣的日常操作也很容易被誤解為“惡意”內部人員行為。典型的例子就是,管理員不小心把敏感客戶數據庫拷貝到了可公開訪問的服務器上。鑒于潛在的暴露風險更大,云環境下,合適的培訓和管理對于防止此類低級錯誤就顯得更為重要了。
威脅 No.7:APT(高級持續性威脅)寄生蟲
CSA把高級持續性威脅(APT)比作“寄生”形式的攻擊真是太形象了。APT滲透進系統,建立起橋頭堡,然后,在相當長一段時間內,源源不斷地,悄悄地偷走數據和知識產權。跟寄生蟲沒什么差別。
APT通常在整個網絡內逡巡,混入正常流量中,因此,他們很難被偵測到。主要云提供商應用高級技術阻止APT滲透進他們的基礎設施,但客戶也必須像在內部系統里進行的一樣,勤于檢測云賬戶中的APT活動。
常見的切入點包括:魚叉式網絡釣魚、直接攻擊、U盤預載惡意軟件和通過已經被黑的第三方網絡。CSA強烈建議公司企業培訓用戶識別各種網絡釣魚技巧。
定期意識強化培訓能使用戶保持警惕,更不容易被誘使放進APT,IT部門也需要緊跟最新的高級攻擊方式。不過,高級安全控制、過程管理、事件響應計劃,以及IT員工培訓,都會導致安全預算的增加。公司企業必須在這筆支出和遭到APT攻擊可能造成的經濟損失之間進行權衡。
威脅 No.8:永久的數據丟失
隨著云服務的成熟,由于提供商失誤導致的永久數據丟失已經極少見了。但惡意黑客已經會用永久刪除云端數據來危害公司企業了,而且云數據中心跟其他任何設施一樣對自然災害無能為力。
云提供商建議多地分布式部署數據和應用以增強防護。足夠的數據備份措施,堅守業務持續性和災難恢復最佳實踐,都是最基本的防永久數據丟失的方法。日常數據備份和離線存儲在云環境下依然重要。
預防數據丟失的責任并非全部壓在云服務提供商肩頭。如果客戶在上傳到云端之間先把數據加密,那保護好密鑰的責任就落在客戶自己身上了。一旦密鑰丟失,數據丟失也就在所難免。
合規策略通常都會規定公司必須保留審計記錄和其他文件的時限。此類數據若丟失,就會產生嚴重的監管后果。新歐盟數據保護規定中,數據損毀和個人數據損壞也被視為數據泄露,需要進行恰當的通知。最好知曉相關規定,以便陷入麻煩之中。
威脅 No.9:調查不足
一家公司,若在沒有完全理解云環境及其相關風險的情況下,就投入云服務的懷抱,那等在它前方的,比然是無數的商業、金融、技術、法律和合規風險。公司是否遷移到云環境,是否與另一家公司在云端合作,都需要進行盡職調查。沒能仔細審查合同的公司,可能就不會注意到提供商在數據丟失或泄露時的責任條款。
在將App部署到特定云時,如果公司開發團隊缺乏對云技術的了解,運營和架構問題也會冒頭。CSA提醒公司企業:每訂閱任何一個云服務,都必須進行全面細致的盡職調查,弄清他們承擔的風險。
威脅 No.10:云服務濫用
云服務可能被用于支持違法活動,比如利用云計算資源破解密鑰、發起分布式拒絕服務(DDoS)攻擊、發送垃圾郵件和釣魚郵件、托管惡意內容等。
提供商要能識別出濫用類型,例如通過檢查流量來識別出DDoS攻擊,還要為客戶提供監測他們云環境健康的工具。客戶要確保提供商擁有濫用報告機制。盡管客戶可能不是惡意活動的直接獵物,云服務濫用依然可能造成服務可用性問題和數據丟失問題。
威脅 No.11:拒絕服務(DoS)攻擊
DoS攻擊以及有很多年的歷史了,但由于云計算,這種攻擊方式枯木逢春了——因為它們通常會影響到可用性,系統響應會被大幅拖慢甚至直接超時,能給攻擊者帶來很好的攻擊效果。遭受拒絕服務攻擊,就像經歷上下班交通擁堵;只有一條到達目的地的路,但你除了坐等,毫無辦法。
DoS攻擊消耗大量的處理能力,最終都要由客戶買單。盡管高流量的DDoS攻擊如今更為常見,公司企業仍然要留意非對稱的、應用級的DoS攻擊,保護好自己的Web服務器和數據庫。
在處理DoS攻擊上,云服務提供商一般都比客戶更有經驗,準備更充分。個中關鍵,就在于攻擊發生前就要有緩解計劃,這樣管理員們才能在需要的時候可以訪問到這些資源。
威脅 No.12:共享技術,共享危險
共享技術中的漏洞給云計算帶來了相當大的威脅。云服務提供商共享基礎設施、平臺和應用,一旦其中任何一個層級出現漏洞,每個人都會受到影響。一個漏洞或錯誤配置,就能導致整個提供商的云環境遭到破壞。
若一個內部組件被攻破,就比如說一個管理程序、一個共享平臺組件,或者一個應用吧,整個環境都會面臨潛在的宕機或數據泄露風險。CSA建議采用深度防御策略,包括在所有托管主機上應用多因子身份驗證,啟用基于主機和基于網絡的入侵檢測系統,應用最小特權、網絡分段概念,實行共享資源補丁策略等等。
京公網安備 11010502049343號