隨著企業(yè)構(gòu)建混合云和多云系統(tǒng),安全問(wèn)題可能變得更糟
研究表明,在加速采用云計(jì)算服務(wù)的壓力下,一些IT組織通常會(huì)跳過(guò)關(guān)鍵的安全規(guī)劃步驟。
混合云和多云架構(gòu)在企業(yè)IT基礎(chǔ)設(shè)施中風(fēng)靡一時(shí)。但是,為每項(xiàng)任務(wù)靈活部署正確的工具需要一組復(fù)雜的技術(shù),這些技術(shù)將所有不同的資產(chǎn)相互關(guān)聯(lián)。這為黑客創(chuàng)造了更大的攻擊面。企業(yè)經(jīng)營(yíng)業(yè)務(wù)所依賴的服務(wù)越多,就越難跟蹤它們的安全性。
這一問(wèn)題的一些最新示例與API(應(yīng)用程序編程接口)有關(guān)。在過(guò)去的幾個(gè)月里,Peloton、Clubhouse、Experian、Equifax、Instagram、Amazon和PayPal都由于API相關(guān)的網(wǎng)絡(luò)安全問(wèn)題而成為行業(yè)媒體報(bào)道的對(duì)象。
API是應(yīng)用程序相互通信的方式。例如,移動(dòng)應(yīng)用程序或Web前端可能會(huì)使用API與后端數(shù)據(jù)庫(kù)進(jìn)行通信。這意味著如果API被利用,后端數(shù)據(jù)庫(kù)很容易受到攻擊。例如,Clubhouse使用的API允許任何人查詢社交網(wǎng)絡(luò)公共用戶資料的數(shù)據(jù)庫(kù)。
API只是基于云計(jì)算的基礎(chǔ)設(shè)施的潛在攻擊面的一個(gè)例子,而涉及云基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全事件現(xiàn)在已超過(guò)涉及內(nèi)部部署資源的網(wǎng)絡(luò)安全事件并不奇怪。
云攻擊面是一個(gè)傳統(tǒng)問(wèn)題
隨著網(wǎng)絡(luò)犯罪分子越來(lái)越意識(shí)到存在的這些漏洞,對(duì)云計(jì)算架構(gòu)的網(wǎng)絡(luò)攻擊一直在加速。
Dropbox、Office365和Salesforce等軟件即服務(wù)應(yīng)用程序可用于通過(guò)惡意文件共享竊取數(shù)據(jù)或在企業(yè)中傳播惡意軟件;受損帳戶可用于訪問(wèn)敏感數(shù)據(jù)。這些只是SaaS平臺(tái)攻擊向量的幾個(gè)例子。
云存儲(chǔ)是另一個(gè)易受攻擊的類別。例如,安全性差的AWS存儲(chǔ)桶多年來(lái)一直是許多重大數(shù)據(jù)泄露事件的核心。
然后是云計(jì)算基礎(chǔ)設(shè)施,從虛擬機(jī)到容器再到無(wú)服務(wù)器。它容易受到惡意軟件的攻擊,從流氓加密挖掘到勒索軟件,并可用于對(duì)其他系統(tǒng)發(fā)起攻擊。
最后,是API層,將所有內(nèi)容連接在一起的鏈接。
德勤公司網(wǎng)絡(luò)安全部董事總經(jīng)理Andrew Douglas表示:“大多數(shù)企業(yè)多年來(lái)都面臨云計(jì)算攻擊,并且對(duì)此一無(wú)所知。他們使用SaaS應(yīng)用程序,并在10年前試用不同的云計(jì)算提供商提供的服務(wù)。”
企業(yè)面臨越來(lái)越大的遷移到云平臺(tái)的壓力,而冠狀病毒疫情已經(jīng)加速了這一發(fā)展。雖然安全技術(shù)變得越來(lái)越全面和強(qiáng)大,但I(xiàn)T經(jīng)理很想跳過(guò)安全規(guī)劃步驟,直接將新的解決方案投入生產(chǎn)。
Douglas說(shuō),“快速行動(dòng)的誘惑很大。我們的客戶正試圖加快他們的企業(yè)向云平臺(tái)的轉(zhuǎn)移,但他們是否投入時(shí)間和投資來(lái)實(shí)現(xiàn)安全性,這已經(jīng)很滯后了。”
那些確實(shí)希望在安全規(guī)劃方面進(jìn)行前期投資的企業(yè)面臨的最大挑戰(zhàn)是如何準(zhǔn)確地了解其所有資產(chǎn)。并提出一些問(wèn)題,例如“我們有什么?我們每天都在做什么?我們?cè)谠破脚_(tái)中有哪些訂閱?什么是基礎(chǔ)設(shè)施即代碼?什么是無(wú)服務(wù)器功能?如何了解每個(gè)訂閱中的各個(gè)組件以及它們是如何被使用的,這些都是面臨的挑戰(zhàn),尤其是在云計(jì)算服務(wù)提供商都競(jìng)相快速推出新功能和新特性的情況下。”
可見(jiàn)性工具改善多云安全態(tài)勢(shì)
在多云環(huán)境中,云計(jì)算機(jī)攻擊面可見(jiàn)性問(wèn)題呈指數(shù)級(jí)惡化。
一家在線零售商的一位IT運(yùn)營(yíng)經(jīng)理表示,在多年前就投資了一個(gè)可見(jiàn)性工具。該公司在AWS、Azure和內(nèi)部部署數(shù)據(jù)中心擁有基礎(chǔ)設(shè)施,位于員工設(shè)備等典型的潛在攻擊媒介之上。
這名不愿透露自己和所在公司名稱的經(jīng)理表示,他選擇了Alert Logic,這是一種適用于整個(gè)混合環(huán)境的可見(jiàn)性工具。
他說(shuō),“將我們所有的安全事件集中在一處,讓我們的處理工作更輕松,我們現(xiàn)在對(duì)所有的安全事件都感到很頭疼。而這允許集中管理和更容易地識(shí)別潛在的安全漏洞。我們是該工具漏洞領(lǐng)域的主要用戶,用它來(lái)突出當(dāng)前的問(wèn)題。這有助于確保正確修補(bǔ)所有內(nèi)容,并識(shí)別和緩解已知漏洞。除此之外,我們還利用了合規(guī)性。”
他表示,其所在的公司作為零售商必須遵守支付卡行業(yè)安全協(xié)議。他說(shuō),“PCI掃描每月運(yùn)行一次,再次讓我們能夠制定需要執(zhí)行的工作路線圖。”
數(shù)據(jù)暴露的規(guī)模是史無(wú)前例的
云計(jì)算安全供應(yīng)商Zscaler公司上個(gè)月發(fā)布了一份關(guān)于企業(yè)攻擊面狀態(tài)的全球報(bào)告,特別是在疫情期間暴露的那些攻擊面。
對(duì)1500家公司(主要是大型企業(yè))的深入分析發(fā)現(xiàn)了202000多個(gè)漏洞,其中49%被歸類為嚴(yán)重或高危漏洞。
分析發(fā)現(xiàn),AWS、Azure和谷歌云中有將近40萬(wàn)臺(tái)服務(wù)器暴露在互聯(lián)網(wǎng)上,20多萬(wàn)個(gè)暴露端口,以及超過(guò)60500個(gè)暴露實(shí)例。此外,47%的受支持協(xié)議已經(jīng)過(guò)時(shí)且易受攻擊。
大公司并不比小公司更安全。其事實(shí)是:企業(yè)規(guī)模越大,就越有可能使用更多的云計(jì)算資源,并存在更多的漏洞。
