人員技能不足等云安全的十四個痛點
新冠疫情加速了企業向公有云的遷移,包括亞馬遜網絡服務、谷歌計算平臺、阿里云和微軟Azure等公有云服務在過去兩年都發展迅猛。但過程并非一帆風順:大規模遷移帶來了一系列復雜的安全挑戰,導致了一系列重大的數據泄露事故。
來不及穿褲子的云
面對遠程辦公大潮和全球經濟的高度不確定性,公有云服務的優勢是支持敏捷性和可擴展性,企業可根據需要快速啟動新用戶和實例。對于某些企業和機構,公有云可以節省成本(編者:總體來說成本并不是云計算的優勢和賣點),因為不必維護自己的物理基礎設施。
根據Gartner在2021年8月的預測,到2026年,公有云支出將超過所有企業IT支出的45%,而2021年這一比例還不到17%,這意味著未來五年公有云市場仍有巨大的成長空間。
Gartner研究副總裁Sid Nag表示:“即便沒有疫情,企業自建數據中心的需求仍然會下降。”“容器化、虛擬化和邊緣計算等新興技術正變得越來越主流,并推動了額外的云計算支出。簡而言之,疫情只不過是CIO擁抱云計算的推手。”
然而,由于云安全滯后于高速發展的技術變革,安全與IT團隊對云安全的策略往往不能達成一致。
根據云安全聯盟(CSA)于2021年9月發布的一份報告,近70%的受訪者(包括1090名IT和安全專業人員)報告說,他們公司的云安全、IT運營和開發團隊在安全政策和/或執行策略上存在分歧。
以下,我們將列舉云安全的諸多痛點,并從中選擇兩個重點(錯誤配置和缺乏可見性),進行解讀,為IT和安全團隊達成策略共識提供參考。
云安全的十四個痛點
有多種因素導致云環境的部署和維護變得復雜。IT和安全團隊最常遇到的問題和風險包括:
- 人員技能不足
- 數據丟失/泄漏
- API漏洞
- 惡意軟件感染
- 身份和訪問管理控制不足
- 對云應用程序中的數據和工作負載缺乏可見性
- 無法監控進出云應用程序的數據
- 在IT可見性之外配置的云應用程序(例如影子IT)
- 無法防止惡意內部盜竊或濫用數據
- 針對云應用提供商的高級威脅和攻擊
- 無法評估云應用提供商運營的安全性
- 供應商未能提醒客戶注意漏洞
- 無法維持合規性
- 云硬件和/或云軟件的錯誤配置
云安全最大的“漏勺”:
錯誤配置
匆忙上云時缺乏規劃導致了一些簡單而低級的錯誤,從而引發了嚴重的安全災難。根據甲骨文和畢馬威2020年的云威脅報告,高達51%的組織報告錯誤配置導致了敏感數據的泄露。
此類錯誤配置包括但不限于:在沒有任何身份驗證機制的情況下不經意間將未加密的數據暴露于公共互聯網、授予對存儲桶的公共訪問權限、不當創建網絡功能、允許所有系統用戶訪問暴露的云存儲數據以及將加密密碼和密鑰存儲在開放存儲庫等問題。
這類疏忽導致的配置錯誤已經導致了一系列的重大數據泄露事故,例如:
- 2021年11月:免費VPN服務商Quickfox對Elasticsearch、Logstash和Kibana(ELK)堆棧的錯誤配置,導致超過100萬用戶數據泄露。
- 2021年3月:由于亞馬遜網絡服務(AWS)的云配置錯誤,工藝品零售商Hobby Lobby將138GB的敏感客戶信息、公司應用程序的源代碼以及員工姓名和電子郵件地址暴露在公共互聯網上。
- 2019年12月:vpnMentor發現了一個被入侵的數據庫,該數據庫泄露了超過50萬份高度敏感的私人法律和財務文件。該數據庫屬于兩家金融技術公司——Advantage Capital Funding和Argus Capital Funding,它們將數據存儲在AWS S3存儲桶中,但沒有采取加密、身份驗證或訪問憑證等基本安全措施。
事實上,在2020年,美國國家安全局(NSA)得出的結論是,云資源配置錯誤是最常見的云安全風險,也是攻擊者最容易利用的漏洞,導致未經授權訪問云數據和服務。可能的后果包括拒絕服務(DoS)攻擊、惡意軟件安裝,以及帳戶泄露和數據泄露。
CSA的報告印證了NSA的調查結果:超過六分之一的公司(17%)報告說,他們在上一年因云配置錯誤而發生了公有云安全漏洞或數據泄露事件。
當大規模數據泄露事件發生時,誰應該承擔責任呢?在問責之前,我們需要搞清楚一個概念:公有云的共享責任模型。
錯誤配置的根源:不了解云安全責任共擔模型
雖然公有云服務提供商通常會提供工具來幫助客戶管理云配置,但客戶的錯誤配置“仍然是最普遍的云安全漏洞。”
據NSA的報告,云安全錯誤配置通常源于對共享責任模型的誤解。
云安全的責任共擔模型 數據來源:McAfee
根據AI網絡安全威脅檢測和響應公司Vectra AI首席執行官Oliver Tavakoli的說法,遷移到AWS、谷歌云平臺和Microsoft Azure等公有云產生了共同責任的概念,該概念與整個云方案的安全性和合規性密切相關,企業用戶需要格外留意。
AWS的基礎設施即服務(IaaS)模型和微軟的平臺即服務(PaaS)Azure模型都試圖傳達這樣一個原則:“我們負責基礎設施,您負責您控制的內容。”
AWS的責任共擔模型 數據來源:AWS
Tavakoli指出:“換而言之,AWS將確保對S3存儲桶的訪問策略的一致性,而客戶的責任是為存儲桶中的數據制訂規則。或者,對于Azure上提供的PaaS服務,微軟的責任是確保用于提供服務的操作系統得到修補和強化。”
因此,公有云提供商通常不會考慮讓用戶在未經身份驗證的情況下將其存儲桶公開到互聯網上。但是,Tavakoli指出,他們對漏洞的處理方式表明,云服務商分擔的那部分責任實際上會使客戶的安全狀況復雜化,例如下面這兩個截然不同的結果:
“躺贏”:2019年2月,所有云服務商都修補了一個容器逃逸漏洞CVE-2019-5736,該漏洞可能允許攻擊者訪問底層操作系統的內容和在同一管理程序下運行的任何虛擬機(VM),在本案例中,所有公有云客戶都從責任共擔模型中受益。相比之下,在企業數據中心運行容器的客戶則不得不手忙腳亂地自行修補容器操作系統映像。
“躺槍”:2021年8月,微軟Azure Cosmos DB(可擴展的多租戶NoSQL數據庫)中的一個漏洞被披露,該漏洞允許一個云帳戶上的攻擊者篡改其他客戶的云實例中的數據。該漏洞僅影響啟用了Cosmos DB的Jupyter Notebook功能的客戶。但不幸的是,2021年2月之后創建的所有Cosmos DB都自動啟用了該功能。因此,那些從來沒有使用過該功能的客戶也都暴露了。
微軟Azure的責任共擔模型 數據來源:微軟
上述案例表明,責任共擔有時也意味著“云提供商沒有積極主動監控違規/入侵的動力。”
Warfield指出:在許多情況下,即便收到外部安全研究人員的報告,公有云提供商有時也“不會通知他們的客戶”。但并不是說云服務商不關心安全性,“由于IaaS/PaaS/SaaS解決方案的業務性質,大量安全工作實際上留給了客戶,”Warfield指出。
“我確信這涉及到責任問題,”Warfield指出:“假如微軟沒能調整(客戶)機器上的安全設置,律師們總能給出合乎邏輯的理由。”
但除了“合法性”,大型云提供商“怠慢”客戶的原因往往是安全人員短缺,其直接的后果就是云安全中的一些主要問題,例如配置錯誤和缺乏可見性,事實上都是20年前的問題“舊傷復發”。
缺乏能見度
云安全的另一個最大盲點是缺乏可見性,無論是對企業公有云帳戶中的數據和工作負載,還包括IT團隊可見性之外配置的云應用程序(例如影子IT)。
影子IT指存儲在未經批準的IT資源中的數據,以及員工使用未經批準的(消費級)云應用程序完成公司的工作。這不是什么新鮮事,長期以來,員工一直在IT部門的盲區里尋找更簡便的方法來完成工作、進行創新并提高他們的生產力。但問題是IT安全人員無法看到影子IT,更別提如何管理它、保護它,或弄清楚何時允許或禁止其使用。
根據Gartner的數據,多達三分之一的成功實施的企業網絡攻擊利用了這些對IT人員不可見的資源,以及員工糟糕的密碼衛生習慣。根據Verizon 2021年數據泄露調查報告,超過80%的數據和隱私泄露是由于弱密碼或密碼操作不當造成的。
拿起免費的武器
雖然錯誤配置、影子IT等痛點和盲點給企業的云安全之旅挖了不少“大坑”,但是也有好消息,那就是越來越多的免費開源工具可以提供幫助,例如CloudQuery。
企業可以使用CloudQuery創建對云安全的深入可見性,CloudQuery是一種由SQL支持的開源云資產清單工具,可以對云資產的配置進行評估、審計和評估。
像CloudQuery這樣的工具可以描繪出生動的云全景圖,解決一系列安全問題,例如:
頻率分析:哪些應用程序僅由一個人運行?那個人是誰?他們的需求是什么?這個用戶是真人還是自動點擊器(可以自動在計算機屏幕上點擊鼠標)嗎?
用戶行為分析:用戶每天產生數百萬個網絡事件。使用工具對其行為進行分析可以檢測被盜的憑據、橫向移動和其他惡意行為。通過模式發現,IT團隊可以識別網絡入侵、內部威脅和危險行為的證據。
發現:“忘關水龍頭”導致的過度消費是公有云最常見的問題之一。可見性工具可以讓用戶深入了解他們在云上運行的確切內容:很多企業收到賬單前甚至不知道自己正在運行哪些云服務。
(來源:@GoUpSec)
