配置錯(cuò)誤的興起始于2018年,主要是由沒有適當(dāng)訪問控制權(quán)力的云數(shù)據(jù)存儲(chǔ)實(shí)現(xiàn)驅(qū)動(dòng)的……盡管主要云計(jì)算提供商努力使默認(rèn)配置更安全�,但這些錯(cuò)誤仍然存在。
云計(jì)算網(wǎng)絡(luò)攻擊并不像人們想像的那樣驚心動(dòng)魄��,現(xiàn)實(shí)生活中的劇本更加平淡無(wú)奇����。網(wǎng)絡(luò)攻擊者部署自動(dòng)化技術(shù)來掃描互聯(lián)網(wǎng)以尋找可利用的漏洞。他們得到的是一個(gè)可供選擇的目標(biāo)虛擬“購(gòu)物清單”��,一旦進(jìn)入云計(jì)算環(huán)境�����,他們就會(huì)利用其架構(gòu)上的弱點(diǎn)來查找敏感數(shù)據(jù)�,例如個(gè)人身份信息(PII)可以在幾分鐘內(nèi)提取出來,通常是從對(duì)象存儲(chǔ)服務(wù)或數(shù)據(jù)庫(kù)快照�����。
安全防御聽起來容易����,但Verizon公司日前發(fā)布的2022年度數(shù)據(jù)泄露調(diào)查報(bào)告(DBIR)指出,錯(cuò)誤配置的興起始于2018年��,主要是由云計(jì)算數(shù)據(jù)存儲(chǔ)實(shí)施驅(qū)動(dòng)的在沒有適當(dāng)?shù)脑L問控制的情況下……盡管主要云提供商努力使默認(rèn)配置更安全,但這些錯(cuò)誤仍然存??在����。
網(wǎng)絡(luò)攻擊者不會(huì)遍歷安全團(tuán)隊(duì)使用傳統(tǒng)入侵檢測(cè)和預(yù)防解決方案和流程監(jiān)控的傳統(tǒng)網(wǎng)絡(luò)。企業(yè)正試圖用以往的數(shù)據(jù)中心安全技術(shù)挫敗當(dāng)今的云計(jì)算攻擊者����,并且對(duì)云計(jì)算威脅形勢(shì)沒有完全了解����。
通常情況下,重點(diǎn)是識(shí)別網(wǎng)絡(luò)攻擊者可以利用以進(jìn)入云計(jì)算環(huán)境的資源錯(cuò)誤配置�����,并分析日志事件以識(shí)別可疑活動(dòng)的妥協(xié)指標(biāo)(IOC)����。這些可能是身份和訪問管理(IAM)配置的更改以提升權(quán)限、關(guān)閉加密以訪問數(shù)據(jù)或記錄以掩蓋蹤跡�����。對(duì)于任何云安全工作來說�,這些都是必要的活動(dòng)����,但最終它們還不足以保證云計(jì)算數(shù)據(jù)的安全�����。錯(cuò)誤配置只是黑客進(jìn)入云環(huán)境并破壞API控制平臺(tái)的途徑之一�����,這種情況幾乎在每一次重大的云漏洞中都會(huì)發(fā)生����。
花費(fèi)大量時(shí)間和精力來查找和消除單一資源的錯(cuò)誤配置并不能回答這個(gè)問題:當(dāng)他們侵入并訪問控制平臺(tái)時(shí)會(huì)發(fā)生什么?因?yàn)榫W(wǎng)絡(luò)攻擊者遲早會(huì)侵入�。
在通常情況下,任何企業(yè)云計(jì)算環(huán)境中都會(huì)有一些配置錯(cuò)誤���,云安全團(tuán)隊(duì)通常每天都會(huì)發(fā)現(xiàn)并修復(fù)數(shù)十個(gè)或數(shù)百個(gè)漏洞�����。只專注于識(shí)別妥協(xié)指標(biāo)(IOC)以阻止正在進(jìn)行的網(wǎng)絡(luò)攻擊甚至風(fēng)險(xiǎn)更大���;在團(tuán)隊(duì)有機(jī)會(huì)做出響應(yīng)之前的幾分鐘內(nèi)��,云計(jì)算漏洞就有可能發(fā)生���。即使使用最好的監(jiān)控、分析和警報(bào)工具����,也只能希望快速發(fā)現(xiàn)被黑客入侵。
新的威脅格局
開發(fā)人員和工程師越來越多地使用基礎(chǔ)設(shè)施即代碼(IaC)����,它針對(duì)云計(jì)算提供商的應(yīng)用程序編程接口(API)運(yùn)行�,以在其工作時(shí)實(shí)時(shí)構(gòu)建和修改他們的云計(jì)算基礎(chǔ)設(shè)施,包括安全關(guān)鍵配置����。云中的變化是一個(gè)常數(shù),每次變化都會(huì)帶來錯(cuò)誤配置漏洞的風(fēng)險(xiǎn)����,網(wǎng)絡(luò)攻擊者可以使用自動(dòng)檢測(cè)快速利用這些漏洞。
控制平面是配置和操作云的API表面��。例如��,企業(yè)可以使用控制平臺(tái)來構(gòu)建容器、修改網(wǎng)絡(luò)路由以及訪問數(shù)據(jù)庫(kù)中的數(shù)據(jù)或數(shù)據(jù)庫(kù)的快照(這對(duì)于黑客來說是比侵入實(shí)時(shí)生產(chǎn)數(shù)據(jù)庫(kù)更受歡迎的目標(biāo))����。換句話說,API控制平臺(tái)是用于配置和操作云計(jì)算服務(wù)的API的集合��。
最小化任何成功的云計(jì)算攻擊事件的潛在攻擊半徑意味著在環(huán)境的架構(gòu)設(shè)計(jì)中防止控制平臺(tái)受損�。
安全云架構(gòu)的一些步驟
任何企業(yè)都可以采取五個(gè)步驟來設(shè)計(jì)其云計(jì)算環(huán)境,使其在本質(zhì)上能夠抵御云控制平臺(tái)入侵攻擊:
最小化控制云平臺(tái)風(fēng)險(xiǎn)���,F(xiàn)在是時(shí)候?qū)?duì)“云錯(cuò)誤配置”的定義從單一資源錯(cuò)誤配置擴(kuò)大到包括架構(gòu)錯(cuò)誤配置���,那些涉及多個(gè)資源以及它們?nèi)绾蜗嗷リP(guān)聯(lián)的錯(cuò)誤配置。
對(duì)于現(xiàn)有的云計(jì)算環(huán)境��,通過分析資源訪問策略和IAM配置來評(píng)估任何潛在滲透事件的攻擊半徑��,以識(shí)別網(wǎng)絡(luò)攻擊者可用于發(fā)現(xiàn)��、移動(dòng)和數(shù)據(jù)提取的過于寬松的設(shè)置��。當(dāng)企業(yè)的開發(fā)人員和DevOps團(tuán)隊(duì)合作�,在不破壞應(yīng)用程序的情況下消除這些架構(gòu)的錯(cuò)誤配置。這可能需要一些返工來解決現(xiàn)有環(huán)境中的這些漏洞,因此最好在設(shè)計(jì)和開發(fā)階段解決架構(gòu)安全問題���。
采用策略作為云基礎(chǔ)設(shè)施的代碼���。策略即代碼(PaC)是一種以機(jī)器可以理解的語(yǔ)言表達(dá)策略的方法,例如Open Policy Agent��、開源標(biāo)準(zhǔn)和云原生計(jì)算基金會(huì)項(xiàng)目�。
在軟件定義的世界中,安全的角色是領(lǐng)域?qū)<���,他將知識(shí)傳授給構(gòu)建東西的開發(fā)人員��,以確保他們?cè)诎踩沫h(huán)境中工作�。不是規(guī)則手冊(cè)或清單�,而是代碼����。需要記住的是,在云中構(gòu)建應(yīng)用程序和應(yīng)用程序基礎(chǔ)設(shè)施的是開發(fā)人員�����。這一切都是用代碼完成的����,所以開發(fā)人員而不是安全團(tuán)隊(duì)擁有這個(gè)過程���。策略即代碼(PaC)使開發(fā)團(tuán)隊(duì)能夠以編程語(yǔ)言表達(dá)安全性和合規(guī)性規(guī)則,應(yīng)用程序可以使用這些語(yǔ)言來檢查配置的正確性����,并識(shí)別不需要的條件或不應(yīng)該出現(xiàn)的事情。
使所有云計(jì)算利益相關(guān)者能夠安全地運(yùn)行���,而不會(huì)對(duì)規(guī)則是什么以及應(yīng)如何應(yīng)用規(guī)則產(chǎn)生任何歧義或分歧���,這有助于使所有團(tuán)隊(duì)在政策的單一真實(shí)來源下保持一致,消除解釋和應(yīng)用政策時(shí)的人為錯(cuò)誤�,并推動(dòng)安全自動(dòng)化(評(píng)估和執(zhí)行等)在軟件開發(fā)生命周期(SDLC)的每個(gè)階段。
使開發(fā)人員能夠構(gòu)建安全的云環(huán)境���。IT團(tuán)隊(duì)配置物理基礎(chǔ)設(shè)施并將其提供給開發(fā)人員的日子已經(jīng)一去不復(fù)返了�����。如今����,開發(fā)人員和DevOps工程師使用基礎(chǔ)設(shè)施即代碼(IaC)來表達(dá)他們想要的基礎(chǔ)設(shè)施并自動(dòng)提供它。
雖然這對(duì)于高效的云詐運(yùn)營(yíng)非常有用���,但它增加了大規(guī)模傳播漏洞的風(fēng)險(xiǎn)�����。但是���,采用基礎(chǔ)設(shè)施即代碼(IaC)為企業(yè)提供了一個(gè)前所未有的機(jī)會(huì):能夠在部署前檢查基礎(chǔ)設(shè)施安全性。借助策略即代碼(PaC)����,可以為開發(fā)人員提供工具以在開發(fā)時(shí)檢查安全性,并指導(dǎo)他們?cè)O(shè)計(jì)內(nèi)在安全的環(huán)境�����,以最大限度地減少控制平臺(tái)危害威脅��。每個(gè)人都可以更快���、更安全地移動(dòng)。
使用安全護(hù)欄來防止配置錯(cuò)誤。無(wú)論企業(yè)在通過基礎(chǔ)設(shè)施即代碼(IaC)檢查和更安全的設(shè)計(jì)“擴(kuò)展”云安全方面取得多么成功���,錯(cuò)誤配置仍然可能會(huì)漏掉��,并且云計(jì)算資源的部署后突變是一個(gè)持續(xù)存在的風(fēng)險(xiǎn)�。
企業(yè)應(yīng)該在持續(xù)集成(CI)/持續(xù)交付(CD)管道中構(gòu)建自動(dòng)安全檢查��,以在部署過程中自動(dòng)捕獲錯(cuò)誤配置����,并在安全檢查失敗時(shí)自動(dòng)使構(gòu)建失敗。對(duì)于不太敏感的部署�,提醒團(tuán)隊(duì)注意違規(guī)行為,以便他們可以在必要時(shí)進(jìn)行調(diào)查和補(bǔ)救���。由于云計(jì)算資源的部署后更改無(wú)處不在����,因此保持持續(xù)的運(yùn)行時(shí)監(jiān)控以檢測(cè)漂移至關(guān)重要�。確保正在運(yùn)行的內(nèi)容反映了創(chuàng)建它的基礎(chǔ)設(shè)施即代碼(IaC)模板,并檢查危險(xiǎn)的錯(cuò)誤配置事件和可能包含漏洞的孤立資源�����。在所有這些用例中,企業(yè)對(duì)策略即代碼(PaC)的采用將繼續(xù)帶來好處���。
構(gòu)建云安全架構(gòu)專業(yè)知識(shí)�����。企業(yè)云采用率的提高要求安全專業(yè)人員將注意力從威脅檢測(cè)和監(jiān)控網(wǎng)絡(luò)流量等傳統(tǒng)安全方法����,轉(zhuǎn)移到了解控制平臺(tái)破壞網(wǎng)絡(luò)攻擊的工作原理���,以及如何有效地使用安全架構(gòu)設(shè)計(jì)來防止它們�����。
為了做到這一點(diǎn)�,企業(yè)需要能夠與開發(fā)人員和DevOps團(tuán)隊(duì)密切合作的云計(jì)算安全工程師和架構(gòu)師�,以了解云計(jì)算用例并幫助在開發(fā)過程中建立安全設(shè)計(jì)原則。
保護(hù)云計(jì)算環(huán)境的最終目標(biāo)是在任何成功的初始攻擊滲透事件發(fā)生之前使其毫無(wú)意義��。畢竟��,如果網(wǎng)絡(luò)攻擊者無(wú)法從中獲得任何收益����,那么誰(shuí)會(huì)在意網(wǎng)絡(luò)攻擊者是否可以訪問企業(yè)云環(huán)境中的資源呢?
讓企業(yè)的安全團(tuán)隊(duì)了解云計(jì)算應(yīng)用程序的工作原理��,以幫助確保云計(jì)算基礎(chǔ)設(shè)施支持應(yīng)用程序而不會(huì)引入不必要的風(fēng)險(xiǎn)���。他們還需要知道如何利用策略即代碼(PaC)檢查環(huán)境中是否存在更深層次的多資源漏洞��,并幫助指導(dǎo)開發(fā)人員設(shè)計(jì)和構(gòu)建本質(zhì)上安全的環(huán)境����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
