云安全的14个痛点
新冠疫情加速了企业向公有云的迁移,包括亚马逊网络服务、谷歌计算平台、阿里云和微软Azure等公有云服务在过去两年都发展迅猛。但过程并非一帆风顺:大规模迁移带来了一系列复杂的安全挑战,导致了一系列重大的数据泄露事故。
来不及穿裤子的云
面对远程办公大潮和全球经济的高度不确定性,公有云服务的优势是支持敏捷性和可扩展性,企业可根据需要快速启动新用户和实例。对于某些企业和机构,公有云可以节省成本(编者:总体来说成本并不是云计算的优势和卖点),因为不必维护自己的物理基础设施。
根据Gartner在2021年8月的预测,到2026年,公有云支出将超过所有企业IT支出的45%,而2021年这一比例还不到17%,这意味着未来五年公有云市场仍有巨大的成长空间。
Gartner研究副总裁Sid Nag表示:“即便没有疫情,企业自建数据中心的需求仍然会下降。”“容器化、虚拟化和边缘计算等新兴技术正变得越来越主流,并推动了额外的云计算支出。简而言之,疫情只不过是CIO拥抱云计算的推手。”
然而,由于云安全滞后于高速发展的技术变革,安全与IT团队对云安全的策略往往不能达成一致。
根据云安全联盟(CSA)于2021年9月发布的一份报告,近70%的受访者(包括1090名IT和安全专业人员)报告说,他们公司的云安全、IT运营和开发团队在安全政策和/或执行策略上存在分歧。
以下,我们将列举云安全的诸多痛点,并从中选择两个重点(错误配置和缺乏可见性),进行解读,为IT和安全团队达成策略共识提供参考。
云安全的十四个痛点
有多种因素导致云环境的部署和维护变得复杂。IT和安全团队最常遇到的问题和风险包括:
- 人员技能不足
- 数据丢失/泄漏
- API漏洞
- 恶意软件感染
- 身份和访问管理控制不足
- 对云应用程序中的数据和工作负载缺乏可见性
- 无法监控进出云应用程序的数据
- 在IT可见性之外配置的云应用程序(例如影子IT)
- 无法防止恶意内部盗窃或滥用数据
- 针对云应用提供商的高级威胁和攻击
- 无法评估云应用提供商运营的安全性
- 供应商未能提醒客户注意漏洞
- 无法维持合规性
- 云硬件和/或云软件的错误配置
云安全最大的“漏勺”:错误配置
匆忙上云时缺乏规划导致了一些简单而低级的错误,从而引发了严重的安全灾难。根据甲骨文和毕马威2020年的云威胁报告,高达51%的组织报告错误配置导致了敏感数据的泄露。
此类错误配置包括但不限于:在没有任何身份验证机制的情况下不经意间将未加密的数据暴露于公共互联网、授予对存储桶的公共访问权限、不当创建网络功能、允许所有系统用户访问暴露的云存储数据以及将加密密码和密钥存储在开放存储库等问题。
这类疏忽导致的配置错误已经导致了一系列的重大数据泄露事故,例如:
- 2021年11月:免费VPN服务商Quickfox对Elasticsearch、Logstash和Kibana(ELK)堆栈的错误配置,导致超过100万用户数据泄露。
- 2021年3月:由于亚马逊网络服务(AWS)的云配置错误,工艺品零售商Hobby Lobby将138GB的敏感客户信息、公司应用程序的源代码以及员工姓名和电子邮件地址暴露在公共互联网上。
- 2019年12月:vpnMentor发现了一个被入侵的数据库,该数据库泄露了超过50万份高度敏感的私人法律和财务文件。该数据库属于两家金融技术公司——Advantage Capital Funding和Argus Capital Funding,它们将数据存储在AWS S3存储桶中,但没有采取加密、身份验证或访问凭证等基本安全措施。
事实上,在2020年,美国国家安全局(NSA)得出的结论是,云资源配置错误是最常见的云安全风险,也是攻击者最容易利用的漏洞,导致未经授权访问云数据和服务。可能的后果包括拒绝服务(DoS)攻击、恶意软件安装,以及帐户泄露和数据泄露。
CSA的报告印证了NSA的调查结果:超过六分之一的公司(17%)报告说,他们在上一年因云配置错误而发生了公有云安全漏洞或数据泄露事件。
当大规模数据泄露事件发生时,谁应该承担责任呢?在问责之前,我们需要搞清楚一个概念:公有云的共享责任模型。
错误配置的根源:不了解云安全责任共担模型
虽然公有云服务提供商通常会提供工具来帮助客户管理云配置,但客户的错误配置“仍然是最普遍的云安全漏洞。”
据NSA的报告,云安全错误配置通常源于对共享责任模型的误解。
云安全的责任共担模型 数据来源:McAfee
根据AI网络安全威胁检测和响应公司Vectra AI首席执行官Oliver Tavakoli的说法,迁移到AWS、谷歌云平台和Microsoft Azure等公有云产生了共同责任的概念,该概念与整个云方案的安全性和合规性密切相关,企业用户需要格外留意。
AWS的基础设施即服务(IaaS)模型和微软的平台即服务(PaaS)Azure模型都试图传达这样一个原则:“我们负责基础设施,您负责您控制的内容。”
AWS的责任共担模型 数据来源:AWS
Tavakoli指出:“换而言之,AWS将确保对S3存储桶的访问策略的一致性,而客户的责任是为存储桶中的数据制订规则。或者,对于Azure上提供的PaaS服务,微软的责任是确保用于提供服务的操作系统得到修补和强化。”
因此,公有云提供商通常不会考虑让用户在未经身份验证的情况下将其存储桶公开到互联网上。但是,Tavakoli指出,他们对漏洞的处理方式表明,云服务商分担的那部分责任实际上会使客户的安全状况复杂化,例如下面这两个截然不同的结果:
“躺赢”:2019年2月,所有云服务商都修补了一个容器逃逸漏洞CVE-2019-5736,该漏洞可能允许攻击者访问底层操作系统的内容和在同一管理程序下运行的任何虚拟机(VM),在本案例中,所有公有云客户都从责任共担模型中受益。相比之下,在企业数据中心运行容器的客户则不得不手忙脚乱地自行修补容器操作系统映像。
“躺枪”:2021年8月,微软Azure Cosmos DB(可扩展的多租户NoSQL数据库)中的一个漏洞被披露,该漏洞允许一个云帐户上的攻击者篡改其他客户的云实例中的数据。该漏洞仅影响启用了Cosmos DB的Jupyter Notebook功能的客户。但不幸的是,2021年2月之后创建的所有Cosmos DB都自动启用了该功能。因此,那些从来没有使用过该功能的客户也都暴露了。
微软Azure的责任共担模型 数据来源:微软
上述案例表明,责任共担有时也意味着“云提供商没有积极主动监控违规/入侵的动力。”
Warfield指出:在许多情况下,即便收到外部安全研究人员的报告,公有云提供商有时也“不会通知他们的客户”。但并不是说云服务商不关心安全性,“由于IaaS/PaaS/SaaS解决方案的业务性质,大量安全工作实际上留给了客户,”Warfield指出。
“我确信这涉及到责任问题,”Warfield指出:“假如微软没能调整(客户)机器上的安全设置,律师们总能给出合乎逻辑的理由。”
但除了“合法性”,大型云提供商“怠慢”客户的原因往往是安全人员短缺,其直接的后果就是云安全中的一些主要问题,例如配置错误和缺乏可见性,事实上都是20年前的问题“旧伤复发”。
缺乏能见度
云安全的另一个最大盲点是缺乏可见性,无论是对企业公有云帐户中的数据和工作负载,还包括IT团队可见性之外配置的云应用程序(例如影子IT)。
影子IT指存储在未经批准的IT资源中的数据,以及员工使用未经批准的(消费级)云应用程序完成公司的工作。这不是什么新鲜事,长期以来,员工一直在IT部门的盲区里寻找更简便的方法来完成工作、进行创新并提高他们的生产力。但问题是IT安全人员无法看到影子IT,更别提如何管理它、保护它,或弄清楚何时允许或禁止其使用。
根据Gartner的数据,多达三分之一的成功实施的企业网络攻击利用了这些对IT人员不可见的资源,以及员工糟糕的密码卫生习惯。根据Verizon 2021年数据泄露调查报告,超过80%的数据和隐私泄露是由于弱密码或密码操作不当造成的。
拿起免费的武器
虽然错误配置、影子IT等痛点和盲点给企业的云安全之旅挖了不少“大坑”,但是也有好消息,那就是越来越多的免费开源工具可以提供帮助,例如CloudQuery。
企业可以使用CloudQuery创建对云安全的深入可见性,CloudQuery是一种由SQL支持的开源云资产清单工具,可以对云资产的配置进行评估、审计和评估。
像CloudQuery这样的工具可以描绘出生动的云全景图,解决一系列安全问题,例如:
频率分析:哪些应用程序仅由一个人运行?那个人是谁?他们的需求是什么?这个用户是真人还是自动点击器(可以自动在计算机屏幕上点击鼠标)吗?
用户行为分析:用户每天产生数百万个网络事件。使用工具对其行为进行分析可以检测被盗的凭据、横向移动和其他恶意行为。通过模式发现,IT团队可以识别网络入侵、内部威胁和危险行为的证据。
发现:“忘关水龙头”导致的过度消费是公有云最常见的问题之一。可见性工具可以让用户深入了解他们在云上运行的确切内容:很多企业收到账单前甚至不知道自己正在运行哪些云服务。