缺乏安全API可引發(fā)IaaS風(fēng)險(xiǎn)
IaaS的數(shù)據(jù)安全風(fēng)險(xiǎn)對(duì)企業(yè)遷移到云來(lái)說(shuō)是一個(gè)長(zhǎng)期存在的問(wèn)題,然而有一些特定的問(wèn)題需要我們時(shí)刻留意。
把數(shù)據(jù)、系統(tǒng)和應(yīng)用放到云環(huán)境中的風(fēng)險(xiǎn)已經(jīng)是眾所周知的事情。現(xiàn)今像云安全聯(lián)盟(CSA)這樣的組織一直描述各種云部署模型中存在的風(fēng)險(xiǎn),并在2015年5月發(fā)表題為“IaaS云存在的錯(cuò)誤可能讓你的數(shù)據(jù)處于危險(xiǎn)之中”的文章,Symantec描述了一些可能對(duì)基礎(chǔ)設(shè)施及服務(wù)(IaaS)云服務(wù)的客戶產(chǎn)成風(fēng)險(xiǎn)的主要領(lǐng)域。在一次采訪中,亞馬遜Web服務(wù)的資深安全項(xiàng)目經(jīng)理Bill Murray表示關(guān)于云安全最大的擔(dān)憂是,客戶沒(méi)有把基本的安全最佳實(shí)踐應(yīng)用到他們部署和管理的IaaS資產(chǎn)中。這與Symantec的研究結(jié)果相一致,該結(jié)果發(fā)現(xiàn)16000個(gè)已經(jīng)發(fā)現(xiàn)的云域中有0.3%的域文件夾結(jié)構(gòu)很容易被猜到,其不僅可以被訪問(wèn),而且還導(dǎo)致11000個(gè)文件,包含如信用卡交易、用戶名和密碼、電子郵件地址的敏感數(shù)據(jù)對(duì)任何人都可讀。研究人員還發(fā)現(xiàn)了一些泄露的可訪問(wèn)的密碼憑證,其中有些被硬編碼到應(yīng)用程序中。
Symantec在云安全研究中發(fā)現(xiàn)的首要問(wèn)題包括接口API、共享資源、數(shù)據(jù)泄露、惡意的內(nèi)部人員和錯(cuò)誤配置的問(wèn)題。所有這些都和CSA的報(bào)告“臭名昭著的九條:2013年云計(jì)算主要威脅”所描述的問(wèn)題一致。Symantec在研究中發(fā)現(xiàn)了這些數(shù)據(jù)安全風(fēng)險(xiǎn)的具體事例,不過(guò),在組織實(shí)施和評(píng)估云服務(wù)的今天,應(yīng)該提供一些“發(fā)人深思的東西”。
提防不安全的API
Symantec報(bào)告的一個(gè)核心主題是,許多最嚴(yán)重的IaaS風(fēng)險(xiǎn)很大程度是由于云管理員對(duì)操作系統(tǒng),應(yīng)用程序和云管理界面的錯(cuò)誤配置或缺乏安全控制。列出的第一個(gè)主要風(fēng)險(xiǎn)是缺乏安全的API,這些API是由云提供商提供以允許用戶與他們的服務(wù)以及服務(wù)管理更無(wú)縫的集成。盡管提供商負(fù)責(zé)提供安全的API和補(bǔ)丁,客戶應(yīng)該自己對(duì)這些API進(jìn)行評(píng)估,包括支持的傳輸方法以及什么樣的數(shù)據(jù)在與供應(yīng)商的交互過(guò)程中被來(lái)回發(fā)送。API或應(yīng)用程序的更新很容易導(dǎo)致兼容性問(wèn)題,甚至也可能引發(fā)數(shù)據(jù)泄露的場(chǎng)景,因此客戶應(yīng)該定期測(cè)試他們的程序和API交互的部分。
云提供商的責(zé)任
當(dāng)然云用戶本身無(wú)法完全減輕內(nèi)部人員威脅,云提供商必須監(jiān)控所有的活動(dòng)和實(shí)現(xiàn)可靠的職責(zé)和權(quán)限管理流程控制的分離。該報(bào)告明確提到將加密密鑰存儲(chǔ)到云里,那里惡意的內(nèi)部人員有可能訪問(wèn)到這些密鑰。虛擬化管理程序的漏洞也存在同樣的問(wèn)題--用戶無(wú)法查看虛擬機(jī)管理程序的配置或控制,因此供應(yīng)商將需要對(duì)虛擬化平臺(tái)和工具相關(guān)的補(bǔ)丁和新缺陷更加細(xì)心。大多數(shù)云供應(yīng)商也有對(duì)分布式DDoS攻擊的強(qiáng)力控制,以及對(duì)數(shù)據(jù)丟失的控制。但是,用戶沒(méi)有對(duì)云帳戶口令的訪問(wèn)控制權(quán)或無(wú)法監(jiān)控IaaS日志來(lái)查看非法活動(dòng)或者帳戶使用的情況。攻擊者正在黑市上以每個(gè)7到8美元的價(jià)格販?zhǔn)墼品?wù)帳戶。
防御IaaS攻擊
Symantec的報(bào)告中描述了各種不同的針對(duì)IaaS環(huán)境的攻擊,包括存儲(chǔ)枚舉,泄露的訪問(wèn)令牌等。建議云客戶要在選定IaaS前徹底調(diào)研云服務(wù)提供商的安全控制和服務(wù)水平協(xié)議。客戶應(yīng)盡可能利用多因素身份驗(yàn)證,對(duì)數(shù)據(jù)進(jìn)行加密以減少內(nèi)部威脅,維護(hù)密鑰的控制權(quán),并開始比以往任何時(shí)候都更關(guān)注在云環(huán)境中的可用日志。定期掃描基于云的系統(tǒng)漏洞也是一個(gè)最佳做法。
