值得采用的頂級云安全控制措施

Fahmida+Y.+Rashid

編譯 Charles

某一天，由于基于云系統的配置不完善，又出現了一起數據泄露事件。在最近的一次事件中，Verizon的600多萬名美國客戶信息被泄露，這再次提醒我們，云供應商和企業應同時擔負起云安全的責任。

有一種誤解，認為是由云服務供應商負責云環境的安全，但這只是故事的一半。亞馬遜、微軟和谷歌等云安全供應商，負責其物理數據中心以及運行虛擬機的服務器硬件的安全，而讓每個客戶自己保護好虛擬機和應用程序。云供應商提供了一系列安全服務和工具來保證客戶工作負載的安全，而實際由管理員去實施必要的防護措施。如果客戶不能保護他們自己的網絡、用戶和應用程序，云供應商提供再多的安全防御措施也沒什么用。

一家第三方服務供應商處理Verizon的后臺和呼叫中心業務，在亞馬遜網絡服務（AWS）簡單存儲服務（S3）的數據存儲桶中存儲過去六個月內致電過呼叫中心的所有客戶的呼叫數據，包括每一名Verizon客戶的姓名、地址、電話號碼，以及賬號PIN碼等。采集數據是為了幫助改進客戶服務體驗，但由于S3存儲桶配置不正確，而允許外部訪問，任何人只要有足夠耐心弄清楚網絡地址，就能夠下載信息。拿到數據的騙子們假裝成Verizon客戶打電話，從而訪問客戶帳戶。

這類錯誤太常見了。云安全公司RedLock的云基礎設施安全研究小組最近的研究發現，40%的企業由于配置錯誤，不經意間已經至少暴露了一項公有云服務。

錯誤配置是嚴重的問題

Verizon只是由于配置錯誤而導致數據被暴露在公有云中的眾多企業中的一家。就在幾星期前，由于美國職業摔跤（WWE）協會把未加密數據庫放在了AWS的S3存儲桶中，而且沒有進行訪問控制和密碼保護，導致3百多萬摔跤愛好者的個人數據被泄露。六月，共和黨全國委員會證實，1億9千8百萬注冊美國選民的個人身份信息——大約占選民的60%，以明文方式被存儲在數據分析公司Deep Root Analytics擁有的開放Amazon S3存儲服務器中。由于把文件存儲在S3存儲桶中，國防承包商Booz Allen Hamilton屬于五角大樓的6萬份文件被暴露，包括與美國軍事項目有關的敏感文件，6份未加密的安全證書。

云安全創業公司RedLock首席執行官和聯合創始人Varun Badhwar說：“問題不在于云是不安全的，而在于最終是由顧客負責安全地配置他們的網絡、應用程序和數據。如果采用這種服務的企業能夠正確的進行配置，AWS等公有云基礎設施是非常安全的。”

云安全公司Threat Stack分析了使用AWS的200家公司，發現73%的公司至少有一個關鍵的安全配置錯誤，例如，讓未經授權的用戶直接訪問數據，錯誤配置的對象成為大規模攻擊的一部分，通過登錄AWS控制臺來控制整個環境。這些泄露事件是由于基本的安全疏忽和未制定IT政策而造成的，而不是惡意對手主動攻擊造成的。

不論是誰在做配置——是IT管理員、開發人員、工程師還是安全部門，有太多的人并沒有完全理解怎樣配置他們的云環境。企業再也不能把公有云視為存儲信息的一種老方法，而應該采用以下安全措施，以確保未經授權的用戶不能訪問其云環境、應用程序和數據。

1.知道您要負責什么

所有云服務并不一樣，要負起的責任也各不相同。軟件即服務（SaaS）供應商會確保他們的應用程序受到保護，數據被安全地傳輸和存儲，而云基礎設施通常不是這種情形。例如，企業應完全負責其AWS彈性計算云（EC2）、亞馬遜EBS和亞馬遜虛擬私有云（VPC）的應用，包括配置操作系統、管理應用程序、保護數據等。

相反，亞馬遜維護簡單存儲服務（S3）的操作系統和應用程序，而企業負責管理數據、訪問控制和身份識別策略。亞馬遜提供了為S3數據加密的工具，但這取決于企業在進入和離開服務器時是否啟用了保護功能。應與供應商核實誰負責每一項云安全控制功能。

2.控制誰有權訪問

RedLock的CSI發現公有云有31%的數據庫是開放給互聯網的。事實上，公有云環境中93%的資源對出站流量根本沒有進行限制。9%的云工作負載既沒有負載均衡器也沒有受到防護主機的保護，能接受來自任何端口任何IP地址的數據流，這是非?？膳碌?。只有負載均衡器和防護主機能夠直接出現在互聯網上。

正是因為S3存儲桶被設置為允許外部訪問才導致Verizon數據被泄露。遺憾的是這類錯誤太常見了。Threat Stack公司在其研究中發現，37%的企業的S3存儲桶允許所有人訪問。很多管理員在公共子網中使用0.0.0.0/0，錯誤地啟用了服務器的全局權限。連接完全放開了，每臺計算機都能夠進行連接。

對于AWS的情況，S3存儲桶絕不應該有公共訪問策略。

在Threat Stack的分析中，另一常見的錯誤是打開SSH，73%的企業都這樣做了。Threat Stack公司還發現，13%的企業允許從互聯網直接連接SSH，這意味著任何能找到服務器地址的人都可以繞過防火墻，直接訪問數據。

主要云供應商都會提供身份識別和訪問控制工具；請使用它們。應知道誰在何時訪問了哪些數據。在創建身份識別和訪問控制策略時，把最高權限限制在最小范圍內，只在需要時臨時授予額外權限。盡可能把安全組配置為最窄安全焦點，并在可能的情況下使用參考安全組ID。

亞馬遜VPC允許管理員在AWS云中創建一個邏輯隔離的網絡，以便在虛擬網絡中啟動服務器。這是保護產品環境不受開發和發布環境影響并保持數據隔離的一種方法。

3.保護數據

另一常見的錯誤是數據沒有經過加密便放在了云上。RedLock的CSI發現，公有云中82%的數據庫是不加密的。選民信息和敏感的五角大樓文件之所以被泄露，是因為數據沒有加密，未經授權方能夠訪問服務器。把敏感數據存儲在云中而沒有對服務器的訪問進行適當控制以保護數據，這樣做是不負責任的，也是危險的。endprint

盡可能控制好加密密鑰。雖然可以讓云服務供應商訪問密鑰，但底線是保護數據的責任在于企業。

WinMagic首席運營官Mark Hickman說：“這就類似于相信您的家庭裝修人員，把家里的鑰匙交給了他。您希望一切都沒問題，但您永遠都不能100%確定他們會鎖上門，也無法確定他們的分包商會干些什么。那么，為什么還要冒險讓他們一開始就能拿到您的鑰匙呢？”

即使云供應商提供了加密工具和管理服務，很多企業實際并沒有使用。加密是一種安全保障措施——即使安全配置失敗，數據落入未授權方的手中，他們也不能使用數據。

4.保護證書

如OneLogin泄露事件所展示的，AWS訪問密鑰被泄露的情況并不少見。這些密鑰會出現在公共網站、源代碼庫、未受保護的Kubernetes儀表板，以及其他一些論壇上。要把AWS訪問密鑰視為最敏感的寶貴資產，教育開發人員避免在公共論壇中泄露此類密鑰。

為每一個外部服務創建唯一的密鑰，并遵循最小特權原則限制對其訪問。應限制密鑰的訪問權限，如果錯誤的落在別人手中，它們會被用于訪問敏感的資源和數據。創建IAM角色來分配特殊特權，例如進行API調用。

一定要定期換密鑰。RedLock發現63%的訪問密鑰超過90天都沒有被換掉。這使得攻擊者有時間截獲密鑰，作為特權用戶滲透到云環境中。

不要使用root用戶帳戶，即使是要用于管理任務?？梢允褂胷oot用戶來創建具有指定權限的新用戶。鎖定root帳戶（可以通過添加多重身份驗證來實現），僅用于非常具體的帳戶和服務管理任務。對于其他的，為用戶提供適當的權限。

檢查用戶帳戶，查找那些未被使用的賬戶，并禁用它們。如果沒有人使用這些賬戶，何必給攻擊者留下攻擊的后門呢。

5.保證環境安全仍然很重要

對于云環境防護，深度防御尤其重要，因為即使一項控制功能失敗，也會有其他安全功能保持應用程序、網絡和數據的安全。

多重身份認證（MFA）功能在用戶名和密碼之上提供了額外的保護層，使攻擊者更難入侵。應啟用MFA，限制對管理控制臺、儀表板和特權帳戶的訪問。Redlock發現，58%的root賬戶沒有啟用多重身份認證功能。Threat Stack發現，62%的企業至少有一個AWS用戶沒有啟用多重身份認證功能。

6.增強可視化

主要云供應商都提供某種級別的日志記錄工具，因此一定要啟用安全日志記錄和監視功能，看看是否有未經授權的訪問和其他問題。亞馬遜為審查AWS環境提供了CloudTrail，但很多企業最終并沒有使用該服務。當啟用后，CloudTrail會記錄所有AWS API調用的歷史，包括API調用者的身份、調用的時間、調用者的源IP地址、請求參數，以及AWS服務返回的響應數據。它還可以用于變更跟蹤、資源管理、安全性分析和合規審查等。

不要讓錯誤導致出現泄露

數據泄露并不總是由外部攻擊者造成的，敏感數據也可能是由人為錯誤而被泄露的。忘記啟用某項功能，或者認為某件事情已經完成了，但卻不去檢驗一下，這些人為錯誤都會給攻擊者敞開大門。企業應定期評估其云環境及其供應商和合作伙伴的安全性。正如Verizon泄露事件所示，第三方供應商犯下的錯誤成為企業頭痛的問題。

共享安全模型的存在是有原因的——不管誰負責云工作負載的安全性，企業最終要對數據的一切負責。

Fahmida Y. Rashid是CSO的資深作家，其寫作主題是信息安全。

原文網址：

http：//www.csoonline.com/article/3208905/cloud-security/top-cloud-security-controls-you-should-be-using.htmlendprint