Abstract:
Key words :
在過去一年中,我們看到索尼以及Epsilon公司遭遇了重大安全泄露事故,但在這些數據泄露事故中,云環境并不是攻擊中的薄弱環節。
有些人認為Epsilon是電子郵件營銷服務供應商(換句話說,就是SaaS公司),所以這次泄露事故與云環境脫不了干系,但這次攻擊中,攻擊者使用的是傳統的釣魚攻擊來獲取對電子郵件服務器的訪問權限,而不是利用管理程序漏洞。
云供應商(例如Drophbox和Google)當然存在自己的問題,但與云相關的問題主要涉及系統中斷,而不是數據泄露。隨著越來越多的企業資源轉移到云環境,我們將不可避免地聽到更多與云計算相關的事故,但我們仍將看到更多針對企業內部資源的攻擊事故。
這并不意味著投資于云環境的企業可以松一口氣,基于云的應用程序安全測試服務供應商Veracode公司研究副總裁Chris Eng表示:“攻擊者目前使用的攻擊方法已經很夠用,他們只需要使用相同的SQL注入攻擊就可以成功發動攻擊,而不需要花大量時間來開發新的攻擊方法,”
黑客并不是將云視為目標
通過索尼數據泄露事故,我們發現一個令人不安的趨勢:攻擊者并不是將云視為目標,而是將其作為一種資源。攻擊者使用偷來的信用卡來租賃Amazon EC2服務器,然后對索尼公司發動攻擊。
“云計算向合法企業提供一切服務,同樣也提供給攻擊者,”安全監控公司Vigilant公司高級情報專家Scott Roberts表示,“越來越多的網絡犯罪分子租用云基礎設施來安裝垃圾郵件程序(spambot)或者打造惡意軟件命令以及控制基礎設施。每個月只需要花50美元或者60美元,攻擊者就可以利用很好的云資源。” 攻擊者可以將這些廉價的基礎設施加入低成本、自動化惡意軟件工具包,并可以租借僵尸網絡來發動攻擊。
雖然攻擊者目前沒有專門針對云環境,但大多數專家認為他們很快將開始攻擊云環境,畢竟越來越多的企業資源開始轉移到云環境。“云環境本身已經是一個誘人的目標,”Eng表示,“在云環境中,數據非常集中,你只要瞄準一個供應商,就可以攻擊多個企業。”
當問及為什么要搶銀行時,Willie Sutton表示(雖然后來他否認了這個說法):“因為錢在那里。”現在,最重要的企業資產仍然位于企業防火墻內,以后呢?可能會轉移到云環境中。
為什么云環境容易受到攻擊
云環境的優勢在于,主要云供應商有責任保護他們的環境,如果Amazon或者谷歌遭遇泄露事故,他們的業務將受到嚴重影響。
主要云供應商都清楚這一點,他們都在努力采取措施避免事故的發生。Amazon網絡服務發言人Rena Lunak表示:“很早以前,網絡就已經不再是物理孤島,企業逐漸發現需要連接到其他企業,然后有了互聯網,企業網絡開始與公共基礎設施相連接。”
為了減輕風險,很多企業正采取措施來隔離他們的流量,例如使用多協議標簽交換(MPLS)鏈接和加密。“亞馬遜在云環境對網絡采取了相同的方法:我們保持數據包級的網絡流量隔離,并采用行業標準的加密,”她表示,“因為亞馬遜的虛擬私有云允許客戶建立自己的IP地址空間,客戶可以使用他們已經非常熟悉的工具和軟件基礎設施來監控和控制他們的云網絡。”
這些聽起來都很不錯,但是一些常見錯誤(例如糟糕的身份驗證方法或者開放管理端口)可能讓供應商的安全保護措施付諸東流。
“遷移到云環境存在的一個問題是,你需要遠程管理你的資源,”云安全供應商CloudPassage公司首席執行官Carson Sweet表示,“很多很多公司沒有關閉管理端口,攻擊者就是利用了這一點。”
云環境如何影響你的內部網絡?
Sweet指出,云環境中糟糕的安全做法可能會影響企業內部網絡的安全。很多擔心云威脅的企業根本不會將企業最重要的數據轉移到云環境中。
在CompTIA調查的企業中,有82%的企業相信云供應商能夠提供一個安全的環境,58%的企業不會將關鍵企業財務信息轉移到云環境,56%的企業不會將信用卡數據放入云環境,將近一半的受訪者拒絕將機密知識產權、商業機密或者人力資源信息放入云環境。
這里的邏輯很簡單:將機密數據放在企業防火墻后面更加安全。然而,這個邏輯有一個致命的缺陷。
Sweet談到曾經CloudPassage的一名客戶(不愿意透露姓名)在云環境中部署了開發服務器,攻擊者將一個工具包放到一臺虛擬服務器中,當開發人員發現服務器中丟失了一些東西,于是他們將服務器帶回企業環境來重新鏡像,不幸的是,攻擊者的攻擊工具包感染了整個網絡。Sweet表示:“如果你不注意的話,虛擬機可能會成為木馬。”
請確保API密鑰的安全
我最常聽到的云安全問題是API密鑰的安全。大多數企業使用API密鑰來訪問他們的云服務,這些密鑰非常重要。
“API密鑰是一個巨大的問題,”Sweet表示,“如果我知道你的API密鑰在服務器的位置,我能夠拿到它們,然后我就可以進入你的云環境。”
API密鑰必須受到保護,我們經常會看到IT管理員將這些密鑰通過電子郵件來發送給另一名管理員,或者將密鑰存儲在并不難被發現的配置文件中。
API密鑰必須保存在一個安全的加密的位置,并且進行定期檢查,必須確保只有具有正當理由的人才能訪問這些密鑰。另外,云經紀人可以幫你保管密鑰,但你必須意識到你正在將云安全的關鍵部分外包給第三方。
詢問云供應商的10個問題
在對云服務供應商進行評估時,請一定要問以下十個問題:
1. 你是否使用安全開發生命周期來開發你的服務?
2. 你能否證明或者提供滲透測試結果?
3. 你部署了怎樣的數據保護政策?
4. 你的數據隱私政策是什么?
5. 你如何執行這些不同的政策?
6. 安全涵蓋在你的SLA中嗎?如果沒有,為什么?
7. 你如何備份和恢復數據?
8. 你如何加密動態數據和靜態數據?
9. 你如何將我的數據與別人的數據分開?
10. 我對你的日志信息有怎樣的能見度?
此內容為AET網站原創,未經授權禁止轉載。