企业上云安全风险概览
数据和各类服务向云端迁移不禁让很多企业开始重新思考自己的网络安全体系。企业上云后究竟会面临什么样的安全风险?
对乙方来说,本文是一个可作参考的 checklist——我采购的云安全工具与服务是否能够保护我所有的敏感数据?是否能够抵御以下每一项细分的云安全威胁?是否能够防御云环境中的六大攻击模式?
对于安全厂商来说,也可以反思自己的云安全产品与服务现状:我现有的云安全能力能够保护哪些敏感数据?能够抵御哪些细分的云安全威胁?针对多样的云攻击模式,我已经具备哪些对应的解决方案?
一、云上有哪些敏感数据?
1. 迈克菲《Cloud Adoption and Risk Report 2018》
2018 年 10 月,迈克菲发布了一个名为《Cloud Adoption and Risk Report 2018》的报告。该研究表明,2018 年通过云共享敏感数据的数量比上一年增加 53%——这是一个巨大的涨幅。
迈克菲的报告指出,云上的所有文件中,有 21% 是敏感数据,并且其中有 48% 的敏感文件最终会被共享。仅去年一年就有超过 28% 的机密数据存储在云端。
敏感数据包括企业机密数据 (27%)、电子邮件数据 (20%)、密码保护数据 (17%)、个人身份信息 (PII) (16%)、付款信息 (12%) 以及个人病历 (9%)。随着人们对云计算的信任度和依赖度不断提高,云上的机密数据也面临了越来越高的安全风险。
而被黑客窃取不是这些数据所面临的唯一风险。迈克菲发现,每个企业平均有 14 个配置错误的 IaaS(基础架构即服务)在运行,每月平均有 2200 个错误配置引起的安全事件发生。
2. SANS Institute《 2019 年云安全报告》
而 SANS 今年 5 月发布了《 2019 年云安全报告》,调查样本达数百个,涵盖金融、IT、政府等多个行业,所在企业规模跨度大、地域分布广,从事职业包括安全分析师、IT部门管理人员、CSO、CISO、合规分析师等等。
该调查显示,云上存储量最大的是与商业智能相关的数据 (48.2%),知识产权类数据几乎持平 (47.7%),其次是客户个人数据 (47.7%) 和财务数据 (41.7%),另外存储量较大的还包括企业员工信息 (37.7%)。详见下图:
云上敏感数据(数据来源:SANS Institute)
二、云安全威胁类型有哪些?
1. Alert Logic 研究报告
云安全厂商 Alert Logic 曾统计过一组关于与本地数据中心相比,每种形式的云环境所面临的风险性质和数量的数据。该调查总共历时 18 个月,分析了 3800 多家客户 147 PB 的数据,对安全事件进行量化和分类。主要发现如下:
在混合云环境下,每个用户平均遭遇的安全事件数最高,达977件,其次是托管私有云 (684)、本地数据中心 (612) 和公共云 (405)。
到目前为止,最常见的事件类型是 Web 应用程序攻击 (75%),其次是暴力攻击 (16%)、侦察 (5%) 与服务器端勒索软件 (2%)。
Web 应用程序攻击最常见的方法是 SQL (47.74%),其次是 Joomla (26.11%)、Apache Struts (10.11%) 和 Magento (6.98%)。
WordPress 是最常见的暴力攻击目标,占 41%;其次是 MS SQL,占 19%。
2. SANS Institute《 2019 年云安全报告》
第二组云环境所面临威胁的数据仍来自于 SANS Institute 的《 2019 年云安全报告》。该调查发现,最严重的云威胁是身份劫持 (Account or credential hijacking0,达到 48.9%,其次是云服务的错误配置 (42.2%),该数据也与前文迈克菲研究报告中发现的现象相吻合——“黑客攻击不是云上敏感数据所面临的唯一风险,错误配置问题也是导致大量安全事件的主要原因”。
排名第三的威胁是内部用户的权限滥用 (Privileged user abuse)。其它威胁还包括未授权的应用程序组件、不安全的 API 接口、“影子IT”、拒绝服务攻击、敏感数据直接从云应用上外泄、利用云厂商本身存在的漏洞或开放的 API、虚拟化攻击、与其它托管云应用交叉使用过程中产生的安全风险等等。
云环境中的细分威胁类型(数据来源:SANS Institute)
如何减少安全威胁对云的影响,这里有 3 个基本但极其重要的建议:
对未知程序进行白名单访问拦截,包括对组织中使用的每个应用程序进行风险评估。 掌握整个修复过程并提高修复工作的优先级。 根据当前用户职责限制访问权限——对应用程序与操作系统的权限进行实时更新。 三、云环境的六大攻击模式
随着越来越多企业向私有云和公有云中的虚拟化和容器化数据中心过渡,传统的安全防御措施显然力不从心。很多安全专家认为安全工具必须适应虚拟基础架构之间或其中的的新界限,在恰当的时间部署在合适的位置上。2018 年 4 月,云安全厂商 ShieldX 提出了 2018 年可能会发生的 6 类云安全攻击模式。
1. 跨云攻击
黑客利用跨云攻击,通过公有云即可访问攻击目标本地及私有云系统。公有云中被恶意攻击者获取的工作负载可能导致攻击扩散至私有云。在物理环境中,如果横向防御措施部署到位,就能把风险降到最低。但如果迁移到公有云上,很多企业都会忽视安全边界发生了变化的现实情况。公有云不具备本地环境的防御能力,安全能力的直接迁移也很困难。
2. 跨数据中心攻击
一旦黑客进入数据中心,他们的下一个动作就是横向移动,即内网渗透。其中可能的一个原因是数据中心中的交付点 (PoD) 之间的连接被认为是可信区域。如果攻击者成功入侵了其中一个 PoD,他就能进入其它与之相连的数据中心。
3. 跨租户攻击
在多租户环境中,黑客可以利用云租户之间的网络流量发起攻击。租户可能会认为云厂商已经对他们的资产进行了保护,但实际上,大部分的防御措施都需要他们自己实施。与本地环境类似,通过多层防御系统发送流量能够降低此云威胁的风险,但部署时间与地点需要专业人员把握。
4. 跨工作负载攻击
基于云和虚拟化的工作负载以及容器都可以轻易地实现连接。无论是在虚拟桌面、虚拟 Web 服务器还是数据库上,攻击者都可以访问其它的工作负载。特别是当工作负载在同一个租户上运行的情况下,防止跨工作负载攻击活动的发生非常困难。如果把所有工作负载封锁起来,尽管达到了安全的目的,但无法执行正常功能、失去了原本存在的意义。我们建议将有类似安全要求的工作负载放置在具备一定安全措施的区域中,除了基本分段以外还可以进行流量监控。
5. 编排攻击
云编排技术能够优化很多关键任务,包括包括配置、服务器部署、存储和网络管理、身份和权限管理以及工作负载创建等。黑客通常会利用编排攻击,窃取帐户登录密码或私人加密密钥。获取信息后开始执行编排任务,最终掌握系统的控制权限和访问权限。防范编排攻击需要一种采取异常账户的新兴监控方式。
6. 无服务器攻击
无服务器应用程序能够快速启动云功能,而无需构建或扩展基础架构。这种 “功能即服务” 的方式为黑客创造了新的机会,也为网络维护者带来了新的挑战。任何新功能都有可能具备数据库等敏感资产的访问权限。因此,如果某个功能的权限设置不正确,攻击者很有可能通过该功能执行很多任务,例如,访问数据或创建新账户等。与编排攻击一样,检测无服务器攻击的最佳方法是监控账户行为,同时结合网络流量监测,优化保护功能。
四、总结
云计算的便利性和适用性在科技飞速发展的今天已经体现得淋漓尽致,不但优化了用户的采购和管理等工作,还为物联网和加密货币的新技术应用提供了有利条件。但是云环境中的业务安全与数据安全问题也变得更加令人担忧。总体来说,云安全的整体发展尽管缓慢,但仍在正向改善。很多云安全厂商也在努力弥合云上与云下安全措施的实施差距,根据云环境独有的特点定向研发安全产品。