數(shù)據(jù)和各類服務向云端遷移不禁讓很多企業(yè)開始重新思考自己的網(wǎng)絡安全體系。企業(yè)上云后究竟會面臨什么樣的安全風險?

[[271535]]

對乙方來說，本文是一個可作參考的 checklist——我采購的云安全工具與服務是否能夠保護我所有的敏感數(shù)據(jù)?是否能夠抵御以下每一項細分的云安全威脅?是否能夠防御云環(huán)境中的六大攻擊模式?

對于安全廠商來說，也可以反思自己的云安全產(chǎn)品與服務現(xiàn)狀：我現(xiàn)有的云安全能力能夠保護哪些敏感數(shù)據(jù)?能夠抵御哪些細分的云安全威脅?針對多樣的云攻擊模式，我已經(jīng)具備哪些對應的解決方案?

一、云上有哪些敏感數(shù)據(jù)?

1. 邁克菲《Cloud Adoption and Risk Report 2018》

2018 年 10 月，邁克菲發(fā)布了一個名為《Cloud Adoption and Risk Report 2018》的報告。該研究表明，2018 年通過云共享敏感數(shù)據(jù)的數(shù)量比上一年增加 53%——這是一個巨大的漲幅。

邁克菲的報告指出，云上的所有文件中，有 21% 是敏感數(shù)據(jù)，并且其中有 48% 的敏感文件最終會被共享。僅去年一年就有超過 28% 的機密數(shù)據(jù)存儲在云端。

敏感數(shù)據(jù)包括企業(yè)機密數(shù)據(jù) (27%)、電子郵件數(shù)據(jù) (20%)、密碼保護數(shù)據(jù) (17%)、個人身份信息 (PII) (16%)、付款信息 (12%) 以及個人病歷 (9%)。隨著人們對云計算的信任度和依賴度不斷提高，云上的機密數(shù)據(jù)也面臨了越來越高的安全風險。

而被黑客竊取不是這些數(shù)據(jù)所面臨的唯一風險。邁克菲發(fā)現(xiàn)，每個企業(yè)平均有 14 個配置錯誤的 IaaS(基礎架構即服務)在運行，每月平均有 2200 個錯誤配置引起的安全事件發(fā)生。

2. SANS Institute《 2019 年云安全報告》

而 SANS 今年 5 月發(fā)布了《 2019 年云安全報告》，調查樣本達數(shù)百個，涵蓋金融、IT、政府等多個行業(yè)，所在企業(yè)規(guī)?？缍却?、地域分布廣，從事職業(yè)包括安全分析師、IT部門管理人員、CSO、CISO、合規(guī)分析師等等。

該調查顯示，云上存儲量最大的是與商業(yè)智能相關的數(shù)據(jù) (48.2%)，知識產(chǎn)權類數(shù)據(jù)幾乎持平 (47.7%)，其次是客戶個人數(shù)據(jù) (47.7%) 和財務數(shù)據(jù) (41.7%)，另外存儲量較大的還包括企業(yè)員工信息 (37.7%)。詳見下圖：

云上敏感數(shù)據(jù)(數(shù)據(jù)來源：SANS Institute)

二、云安全威脅類型有哪些?

1. Alert Logic 研究報告

云安全廠商 Alert Logic 曾統(tǒng)計過一組關于與本地數(shù)據(jù)中心相比，每種形式的云環(huán)境所面臨的風險性質和數(shù)量的數(shù)據(jù)。該調查總共歷時 18 個月，分析了 3800 多家客戶 147 PB 的數(shù)據(jù)，對安全事件進行量化和分類。主要發(fā)現(xiàn)如下：

• 在混合云環(huán)境下，每個用戶平均遭遇的安全事件數(shù)最高，達977件，其次是托管私有云 (684)、本地數(shù)據(jù)中心 (612) 和公共云 (405)。
• 到目前為止，最常見的事件類型是 Web 應用程序攻擊 (75%)，其次是暴力攻擊 (16%)、偵察 (5%) 與服務器端勒索軟件 (2%)。
• Web 應用程序攻擊最常見的方法是 SQL (47.74%)，其次是 Joomla (26.11%)、Apache Struts (10.11%) 和 Magento (6.98%)。
• Wordpress 是最常見的暴力攻擊目標，占 41%;其次是 MS SQL，占 19%。

2. SANS Institute《 2019 年云安全報告》

第二組云環(huán)境所面臨威脅的數(shù)據(jù)仍來自于 SANS Institute 的《 2019 年云安全報告》。該調查發(fā)現(xiàn)，最嚴重的云威脅是身份劫持 (Account or credential hijacking0，達到 48.9%，其次是云服務的錯誤配置 (42.2%)，該數(shù)據(jù)也與前文邁克菲研究報告中發(fā)現(xiàn)的現(xiàn)象相吻合——“黑客攻擊不是云上敏感數(shù)據(jù)所面臨的唯一風險，錯誤配置問題也是導致大量安全事件的主要原因”。

排名第三的威脅是內部用戶的權限濫用 (Privileged user abuse)。其它威脅還包括未授權的應用程序組件、不安全的 API 接口、“影子IT”、拒絕服務攻擊、敏感數(shù)據(jù)直接從云應用上外泄、利用云廠商本身存在的漏洞或開放的 API、虛擬化攻擊、與其它托管云應用交叉使用過程中產(chǎn)生的安全風險等等。

云環(huán)境中的細分威脅類型(數(shù)據(jù)來源：SANS Institute)

如何減少安全威脅對云的影響，這里有 3 個基本但極其重要的建議：

• 對未知程序進行白名單訪問攔截，包括對組織中使用的每個應用程序進行風險評估。
• 掌握整個修復過程并提高修復工作的優(yōu)先級。
• 根據(jù)當前用戶職責限制訪問權限——對應用程序與操作系統(tǒng)的權限進行實時更新。

三、云環(huán)境的六大攻擊模式

隨著越來越多企業(yè)向私有云和公有云中的虛擬化和容器化數(shù)據(jù)中心過渡，傳統(tǒng)的安全防御措施顯然力不從心。很多安全專家認為安全工具必須適應虛擬基礎架構之間或其中的的新界限，在恰當?shù)臅r間部署在合適的位置上。2018 年 4 月，云安全廠商 ShieldX 提出了 2018 年可能會發(fā)生的 6 類云安全攻擊模式。

1. 跨云攻擊

黑客利用跨云攻擊，通過公有云即可訪問攻擊目標本地及私有云系統(tǒng)。公有云中被惡意攻擊者獲取的工作負載可能導致攻擊擴散至私有云。在物理環(huán)境中，如果橫向防御措施部署到位，就能把風險降到最低。但如果遷移到公有云上，很多企業(yè)都會忽視安全邊界發(fā)生了變化的現(xiàn)實情況。公有云不具備本地環(huán)境的防御能力，安全能力的直接遷移也很困難。

2. 跨數(shù)據(jù)中心攻擊

一旦黑客進入數(shù)據(jù)中心，他們的下一個動作就是橫向移動，即內網(wǎng)滲透。其中可能的一個原因是數(shù)據(jù)中心中的交付點 (PoD) 之間的連接被認為是可信區(qū)域。如果攻擊者成功入侵了其中一個 PoD，他就能進入其它與之相連的數(shù)據(jù)中心。

3. 跨租戶攻擊

在多租戶環(huán)境中，黑客可以利用云租戶之間的網(wǎng)絡流量發(fā)起攻擊。租戶可能會認為云廠商已經(jīng)對他們的資產(chǎn)進行了保護，但實際上，大部分的防御措施都需要他們自己實施。與本地環(huán)境類似，通過多層防御系統(tǒng)發(fā)送流量能夠降低此云威脅的風險，但部署時間與地點需要專業(yè)人員把握。

4. 跨工作負載攻擊

基于云和虛擬化的工作負載以及容器都可以輕易地實現(xiàn)連接。無論是在虛擬桌面、虛擬 Web 服務器還是數(shù)據(jù)庫上，攻擊者都可以訪問其它的工作負載。特別是當工作負載在同一個租戶上運行的情況下，防止跨工作負載攻擊活動的發(fā)生非常困難。如果把所有工作負載封鎖起來，盡管達到了安全的目的，但無法執(zhí)行正常功能、失去了原本存在的意義。我們建議將有類似安全要求的工作負載放置在具備一定安全措施的區(qū)域中，除了基本分段以外還可以進行流量監(jiān)控。

5. 編排攻擊

云編排技術能夠優(yōu)化很多關鍵任務，包括包括配置、服務器部署、存儲和網(wǎng)絡管理、身份和權限管理以及工作負載創(chuàng)建等。黑客通常會利用編排攻擊，竊取帳戶登錄密碼或私人加密密鑰。獲取信息后開始執(zhí)行編排任務，最終掌握系統(tǒng)的控制權限和訪問權限。防范編排攻擊需要一種采取異常賬戶的新興監(jiān)控方式。

6. 無服務器攻擊

無服務器應用程序能夠快速啟動云功能，而無需構建或擴展基礎架構。這種 “功能即服務” 的方式為黑客創(chuàng)造了新的機會，也為網(wǎng)絡維護者帶來了新的挑戰(zhàn)。任何新功能都有可能具備數(shù)據(jù)庫等敏感資產(chǎn)的訪問權限。因此，如果某個功能的權限設置不正確，攻擊者很有可能通過該功能執(zhí)行很多任務，例如，訪問數(shù)據(jù)或創(chuàng)建新賬戶等。與編排攻擊一樣，檢測無服務器攻擊的最佳方法是監(jiān)控賬戶行為，同時結合網(wǎng)絡流量監(jiān)測，優(yōu)化保護功能。

四、總結

云計算的便利性和適用性在科技飛速發(fā)展的今天已經(jīng)體現(xiàn)得淋漓盡致，不但優(yōu)化了用戶的采購和管理等工作，還為物聯(lián)網(wǎng)和加密貨幣的新技術應用提供了有利條件。但是云環(huán)境中的業(yè)務安全與數(shù)據(jù)安全問題也變得更加令人擔憂?？傮w來說，云安全的整體發(fā)展盡管緩慢，但仍在正向改善。很多云安全廠商也在努力彌合云上與云下安全措施的實施差距，根據(jù)云環(huán)境獨有的特點定向研發(fā)安全產(chǎn)品。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文