在一段簡(jiǎn)短的視頻解說(shuō)和評(píng)論中，Snyk首席架構(gòu)師、開(kāi)發(fā)首家云安全SaaS公司Fugue的創(chuàng)始首席執(zhí)行官Josh Stella，就針對(duì)云環(huán)境的攻擊者為何如此容易避開(kāi)企業(yè)的安全措施向業(yè)務(wù)和安全領(lǐng)導(dǎo)者提供建議，并討論創(chuàng)建固有安全云架構(gòu)的五個(gè)關(guān)鍵步驟。

云計(jì)算網(wǎng)絡(luò)攻擊不像好萊塢驚悚片中的場(chǎng)景。沒(méi)有人會(huì)慢慢把湯姆·克魯斯放進(jìn)預(yù)選目標(biāo)的安全數(shù)據(jù)中心，該中心配備了超靈敏的噪音、溫度和運(yùn)動(dòng)探測(cè)器，以便他可以竊取特定的文件。

現(xiàn)實(shí)生活中的劇本要平淡得多。攻擊者坐在筆記本電腦前，部署自動(dòng)化技術(shù)掃描互聯(lián)網(wǎng)，尋找可利用的漏洞。他們得到的是一個(gè)虛擬的目標(biāo)“購(gòu)物列表”，可以從中選擇，一旦進(jìn)入云環(huán)境，他們就會(huì)利用體系結(jié)構(gòu)的弱點(diǎn)來(lái)查找敏感數(shù)據(jù)，如個(gè)人識(shí)別信息(PII)，并在幾分鐘內(nèi)提取出來(lái)，通常是從對(duì)象存儲(chǔ)服務(wù)或數(shù)據(jù)庫(kù)快照中提取出來(lái)。

聽(tīng)起來(lái)很簡(jiǎn)單，很容易防范，但根據(jù)剛剛發(fā)布的2022年版Verizon年度數(shù)據(jù)泄露調(diào)查報(bào)告(DBIR)，“錯(cuò)誤配置錯(cuò)誤的上升始于2018年，主要是由于云數(shù)據(jù)存儲(chǔ)的實(shí)施沒(méi)有適當(dāng)?shù)脑L問(wèn)控制……盡管主要云提供商努力使默認(rèn)配置更加安全(我們對(duì)此表示贊賞)，但這些錯(cuò)誤仍然存在。”

攻擊者無(wú)法穿越安全團(tuán)隊(duì)可以使用傳統(tǒng)入侵檢測(cè)和預(yù)防解決方案和流程監(jiān)控的傳統(tǒng)網(wǎng)絡(luò)。企業(yè)正試圖用昨天的數(shù)據(jù)中心安全技術(shù)來(lái)挫敗今天的云攻擊者，但他們對(duì)云威脅的前景還不完全了解。

通常，重點(diǎn)是識(shí)別攻擊者可以利用的資源配置錯(cuò)誤來(lái)進(jìn)入環(huán)境，并分析日志事件以識(shí)別可疑活動(dòng)“危害指標(biāo)”(IOC)。這些可能是身份和訪問(wèn)管理(IAM)配置中的更改，以提升權(quán)限，關(guān)閉加密以訪問(wèn)數(shù)據(jù)，或記錄以覆蓋個(gè)人軌跡。這些都是任何云安全工作所必需的活動(dòng)，但最終它們還不足以保證云數(shù)據(jù)的安全。錯(cuò)誤配置只代表了黑客進(jìn)入云環(huán)境并破壞API控制平面的途徑之一，幾乎每一次重大的云破壞都會(huì)發(fā)生這種情況。

花這么多的時(shí)間和精力來(lái)發(fā)現(xiàn)和消除單一資源的錯(cuò)誤配置并不能回答“當(dāng)它們通過(guò)并進(jìn)入控制平面時(shí)會(huì)發(fā)生什么?”因?yàn)檎?qǐng)放心，他們遲早會(huì)的。

沒(méi)有一個(gè)企業(yè)云環(huán)境不存在錯(cuò)誤配置。云安全團(tuán)隊(duì)通常每天都會(huì)發(fā)現(xiàn)并修復(fù)數(shù)十個(gè)或數(shù)百個(gè)。僅僅專注于識(shí)別IOC以阻止正在進(jìn)行的攻擊的風(fēng)險(xiǎn)更大;在團(tuán)隊(duì)有機(jī)會(huì)做出響應(yīng)之前，云破壞可能會(huì)在幾分鐘內(nèi)發(fā)生。即使有最好的監(jiān)控、分析和警報(bào)工具，你也只能指望很快發(fā)現(xiàn)自己被黑客攻擊了。

新的威脅格局

開(kāi)發(fā)人員和工程師越來(lái)越多地使用基礎(chǔ)設(shè)施即代碼(IaC)，該代碼針對(duì)云提供商的應(yīng)用程序編程接口(API)進(jìn)行操作，以在其工作時(shí)實(shí)時(shí)構(gòu)建和修改其云基礎(chǔ)設(shè)施，包括安全關(guān)鍵配置。云中的變化是恒定的，每次變化都會(huì)帶來(lái)錯(cuò)誤配置漏洞的風(fēng)險(xiǎn)，攻擊者可以使用自動(dòng)檢測(cè)快速利用該漏洞。

控制平面是配置和操作云的API表面。例如，您可以使用控制平面來(lái)構(gòu)建容器、修改網(wǎng)絡(luò)路由，以及訪問(wèn)數(shù)據(jù)庫(kù)中的數(shù)據(jù)或數(shù)據(jù)庫(kù)快照(這是黑客比入侵實(shí)時(shí)生產(chǎn)數(shù)據(jù)庫(kù)更常見(jiàn)的目標(biāo))。換句話說(shuō)，API控制平面是用于配置和操作云的API集合。

將任何成功的云穿透事件的潛在爆炸半徑最小化，意味著在環(huán)境的架構(gòu)設(shè)計(jì)中防止控制平面受損。

安全云架構(gòu)的五個(gè)步驟

任何組織都可以采取五個(gè)步驟來(lái)設(shè)計(jì)其云環(huán)境，使其在本質(zhì)上能夠安全地抵御控制平面泄露攻擊：

1、將控制平面泄露風(fēng)險(xiǎn)降至最低。現(xiàn)在是時(shí)候?qū)ⅰ霸棋e(cuò)誤配置”的定義從單一資源錯(cuò)誤配置擴(kuò)展到包括架構(gòu)錯(cuò)誤配置的時(shí)候了，這些架構(gòu)錯(cuò)誤配置涉及多個(gè)資源以及它們之間的關(guān)系。

對(duì)于現(xiàn)有云環(huán)境，通過(guò)分析資源訪問(wèn)策略和IAM配置來(lái)評(píng)估任何潛在滲透事件的爆炸半徑，以確定攻擊者可以利用的過(guò)度許可設(shè)置進(jìn)行發(fā)現(xiàn)、移動(dòng)和數(shù)據(jù)提取。當(dāng)您找到它們時(shí)——相信我，您會(huì)找到它們的——與您的開(kāi)發(fā)人員和DevOps團(tuán)隊(duì)合作，在不破壞應(yīng)用程序的情況下消除這些架構(gòu)錯(cuò)誤配置。這可能需要一些返工來(lái)解決現(xiàn)有環(huán)境中的這些漏洞，因此最好在設(shè)計(jì)和開(kāi)發(fā)階段解決體系結(jié)構(gòu)安全問(wèn)題。

2、采用策略作為云基礎(chǔ)設(shè)施的代碼。策略即代碼(Policy as code，PaC)是一種用機(jī)器可以理解的語(yǔ)言表達(dá)策略的方法，如開(kāi)放策略代理、開(kāi)源標(biāo)準(zhǔn)和云原生計(jì)算基礎(chǔ)項(xiàng)目。

在軟件定義的世界中，安全性的角色是領(lǐng)域?qū)＜遥驑?gòu)建人員(開(kāi)發(fā)人員)傳授知識(shí)，以確保他們?cè)诎踩沫h(huán)境中工作。不是規(guī)則手冊(cè)或清單，而是代碼。記住，是開(kāi)發(fā)人員在云中構(gòu)建應(yīng)用程序和應(yīng)用程序的基礎(chǔ)設(shè)施。這一切都是通過(guò)代碼完成的，因此開(kāi)發(fā)人員(而不是安全團(tuán)隊(duì))擁有這個(gè)過(guò)程。PaC使團(tuán)隊(duì)能夠用編程語(yǔ)言表達(dá)安全性和法規(guī)遵從性規(guī)則，應(yīng)用程序可以使用該語(yǔ)言檢查配置的正確性，并識(shí)別不需要的條件或不應(yīng)該出現(xiàn)的情況。

使所有云涉眾能夠安全地運(yùn)行，而不會(huì)對(duì)規(guī)則是什么以及應(yīng)該如何應(yīng)用規(guī)則產(chǎn)生任何歧義或分歧，這有助于在單一的策略真相來(lái)源下協(xié)調(diào)所有團(tuán)隊(duì)，消除解釋和應(yīng)用策略時(shí)的人為錯(cuò)誤，并在軟件開(kāi)發(fā)生命周期(SDLC)的每個(gè)階段實(shí)現(xiàn)安全自動(dòng)化(評(píng)估、實(shí)施等)。

3、使開(kāi)發(fā)人員能夠構(gòu)建安全的云環(huán)境。IT團(tuán)隊(duì)提供物理基礎(chǔ)設(shè)施并將其提供給開(kāi)發(fā)人員的日子一去不復(fù)返了。如今，開(kāi)發(fā)人員和DevOps工程師使用IaC表達(dá)他們想要的基礎(chǔ)設(shè)施并自動(dòng)提供。

雖然這對(duì)于高效的云操作非常有用，但它增加了大規(guī)模傳播漏洞的風(fēng)險(xiǎn)。然而，IaC的采用為我們提供了一個(gè)前所未有的機(jī)會(huì)：能夠在部署前檢查基礎(chǔ)設(shè)施安全。有了PaC，我們可以為開(kāi)發(fā)人員提供在開(kāi)發(fā)過(guò)程中檢查安全性的工具，并指導(dǎo)他們?cè)O(shè)計(jì)固有的安全環(huán)境，以最大限度地減少控制平面泄露威脅。每個(gè)人都可以更快、更安全地移動(dòng)。

4、使用護(hù)欄以防止錯(cuò)誤配置。無(wú)論您在通過(guò)IaC檢查和更安全的設(shè)計(jì)“擴(kuò)展”云安全方面有多成功，錯(cuò)誤配置仍然可能會(huì)漏掉，部署后云資源的變異是一個(gè)持續(xù)的風(fēng)險(xiǎn)。

您應(yīng)該在持續(xù)集成和持續(xù)交付(CI/CD)管道中構(gòu)建自動(dòng)安全檢查，以自動(dòng)捕獲部署過(guò)程中的錯(cuò)誤配置，并在構(gòu)建未通過(guò)安全檢查時(shí)自動(dòng)失敗。對(duì)于敏感度較低的部署，請(qǐng)?zhí)嵝褕F(tuán)隊(duì)注意違規(guī)行為，以便他們可以在必要時(shí)進(jìn)行調(diào)查和補(bǔ)救。由于部署后對(duì)云資源的更改非常普遍，因此保持連續(xù)的運(yùn)行時(shí)監(jiān)控以檢測(cè)漂移是至關(guān)重要的。確保運(yùn)行的內(nèi)容反映了創(chuàng)建它的IaC模板，并檢查危險(xiǎn)的錯(cuò)誤配置事件和可能包含漏洞的孤立資源。在所有這些用例中，您采用PaC將繼續(xù)支付紅利。

5、構(gòu)建云安全架構(gòu)專業(yè)知識(shí)。企業(yè)云采用率的不斷提高，要求安全專業(yè)人員將注意力從傳統(tǒng)的安全方法(如威脅檢測(cè)和監(jiān)控網(wǎng)絡(luò)流量)轉(zhuǎn)移開(kāi)來(lái)，以了解控制平面泄露攻擊是如何工作的，以及如何有效地使用安全架構(gòu)設(shè)計(jì)來(lái)防止它們。

為了做到這一點(diǎn)，組織需要云安全工程師和架構(gòu)師，他們可以與開(kāi)發(fā)人員和DevOps團(tuán)隊(duì)密切合作，了解云用例，并幫助在開(kāi)發(fā)過(guò)程中建立安全的設(shè)計(jì)原則。

保護(hù)云環(huán)境的最終目標(biāo)是在任何成功的初始攻擊滲透事件發(fā)生之前使其變得毫無(wú)意義。畢竟，如果攻擊者無(wú)法從企業(yè)云環(huán)境中獲得任何資源，誰(shuí)會(huì)在乎攻擊者是否能夠訪問(wèn)該資源?

讓您的安全團(tuán)隊(duì)學(xué)習(xí)云應(yīng)用程序如何工作，以幫助確保云基礎(chǔ)設(shè)施支持應(yīng)用程序，而不會(huì)帶來(lái)不必要的風(fēng)險(xiǎn)。他們還需要知道如何利用PaC來(lái)檢查環(huán)境中更深層次的多資源漏洞，并幫助指導(dǎo)開(kāi)發(fā)人員設(shè)計(jì)和構(gòu)建本質(zhì)上安全的環(huán)境。