云安全配置：讓數據遠離危險

Maria Korolov

對于完全在云中運行的企業(yè)而言，其所有業(yè)務都可能面臨風險。監(jiān)視和驗證云安全配置能有所幫助。

去年秋天，一位安全研究人員發(fā)現四個亞馬遜S3存儲桶存放了高度敏感的數據，有客戶憑證，還有一個備份數據庫包含了4萬個密碼。埃森哲無意中把這些存儲桶設置為允許公眾訪問，導致所有信息都被完全暴露了。研究人員將此事通知了埃森哲，埃森哲第二天便鎖定了數據。

并非埃森哲一家是這樣。其他將其亞馬遜S3存儲桶向公眾開放的公司還有Dow Jones、Verizon和軍事情報機構INSCOM。越來越多的壞消息接踵而來。

11月，Uber發(fā)現黑客們掌握了他們也是存儲在亞馬遜網絡服務（AWS）上的5700萬名用戶的個人信息，然后給黑客付了些錢，想把這次泄露事件隱瞞下來。接下來還有，上個月，Experian的一名客戶購買了一套包含1.2億美國家庭信息的數據集，也是將其放在公共的亞馬遜S3存儲桶中，結果被泄露了。

據RedLock最近的一份報告，使用Amazon S3這樣的云存儲服務的企業(yè)中，有53%的企業(yè)無意間向公眾公開了某種服務。RedLock公司首席執(zhí)行官兼聯(lián)合創(chuàng)始人Varun Badhwar表示：“我們發(fā)現250家企業(yè)的憑證泄露到了他們的云AWS環(huán)境中?！?/p>

專家指出，配置不當的云服務問題遠不止AWS一家，隨著越來越多的數據和應用程序遷移到云中，情況只會越來越嚴重。RedLock分析了客戶環(huán)境中500多萬份資源，以及公有云計算環(huán)境中的漏洞，發(fā)現有37%的數據庫能夠接受直接來自互聯(lián)網的入站連接，其中7%的數據庫已經被可疑的IP地址訪問過了。RedLock報告說：“數據庫絕不應該暴露在互聯(lián)網上?！?/p>

而且不僅僅是數據庫。如果出現配置錯誤，黑客還有可能利用企業(yè)云賬戶來進行比特幣挖礦操作。據RedLock的研究，Aviva和Gemalto便是被攻破的企業(yè)。Badhwar說：“現在這已經是個大問題了。2018年，還會有很多這樣的事情發(fā)生?！?/p>

對于完全在云中運行的企業(yè)而言，其所有業(yè)務都可能面臨風險。監(jiān)視和驗證云安全配置能有所幫助。Veeva系統(tǒng)公司為生命科學行業(yè)提供基于云的內容管理系統(tǒng)，該公司全球信息安全官David Tsao說：“資源配置不當是嚴重的威脅，特別是考慮到我們公有云計算的規(guī)模?！彼f，基于云計算的業(yè)務模式是企業(yè)成功的一個“非常重要的因素”。我們公司需要一種方法來連續(xù)監(jiān)視整個云環(huán)境，包括資源配置。

Veeva決定去找RedLock合作，這是新一批云安全管理初創(chuàng)公司中的一家。事實上，RedLock去年春天才悄然出現。Tsao說：“該公司的平臺可以幫助Veeva迅速發(fā)現云環(huán)境中的問題，提高了安全態(tài)勢的可見性。”

為什么會有云安全配置問題？

在傳統(tǒng)的本地部署環(huán)境中，節(jié)奏都很慢。企業(yè)有時間去配置自己的網絡，并對新軟件進行安全審查。最敏感的信息一直隱藏在企業(yè)防火墻后面。

而在當今的云和混合環(huán)境中，很多安全控制措施不再適用了。我們看到了這樣的結果。Dome9安全公司首席執(zhí)行官Zohar Alon表示：“配置錯誤導致了目前云中的大部分數據被盜和泄露事件?！?/p>

配置不當導致的訪問控制問題隨處可見。例如，以幫助企業(yè)使用容器的開源Kubernetes平臺為例。黑客就是利用了該平臺，去年秋天接管了Aviva和Gemalto的亞馬遜服務器，讓這些服務器去為他們進行比特幣挖礦。RedLock的Badhwar說：“這是容器管理事實上的標準平臺。我們發(fā)現很多被泄露的信息，都不需要登錄或者密碼?！?/p>

有些服務從一開始就配置錯了。有時，臨時修改了設置，但再也沒有改回來。負責配置的人也是變來變去。

通常，客戶希望云提供商能夠處理好所有安全問題，自己沒有任何系統(tǒng)來確保云服務被正確的鎖定。Badhwar說：“其實應該是共同承擔責任，但這還處于早期階段，大多數企業(yè)仍然不具備這方面的能力?！?/p>

目前以各種各樣的方式來提供云服務也使得這個問題更加嚴重。開發(fā)人員創(chuàng)建了虛擬服務器和容器，以便快速推出應用程序，存儲數據。業(yè)務部門通過自己注冊來使用服務，個人用戶也是如此。

專家稱，本地數據中心所采用的傳統(tǒng)配置管理方法并不適用于云服務。云平臺通常有自己的系統(tǒng)來監(jiān)視配置的更改。

Barracuda網絡公司的公有云副總裁Tim Jefferson指出，例如，AWS有AWS Cloud Trail和AWS Config。微軟的Azure云平臺有其運營管理套件。其他流行的SaaS云提供商沒有集中的管理工具，而是讓個人用戶負責自己的安全和共享設置。

Kudelski安全公司首席技術官Andrew Howard說，云服務部署起來要比傳統(tǒng)的本地應用程序快得多。他說：“所有敏感數據都在那里，誰知道它配置是否正確。如果我是一家大企業(yè)的安全官，這將是我最擔心的事情?？傆X得不應該因為這樣而被人攻破?！?/p>

即使是最基本的配置，例如，知道企業(yè)數據存放在哪里、怎樣訪問和共享等，都是問題。Howard建議企業(yè)使用云訪問安全代理來跟蹤云服務的使用。

新的云安全配置管理和驗證工具

通常，必須手動進行配置管理。Howard說：“工具還沒有達到手動配置的水平。這導致很多企業(yè)自己開發(fā)解決方案，或者使用不能完全解決問題的解決方案。有一些解決方案剛剛面市，應用還沒有鋪開?！?/p>

例如，去年秋天，Veriflow將其網絡驗證平臺擴展到了AWS，包括S3存儲桶。該平臺自動得出配置設置的目的是什么，然后檢查這些設置是否正確。

Veriflow系統(tǒng)公司的共同創(chuàng)始人兼首席技術官Brighten Godfrey指出，有時很難搞清楚設置的目的是什么，因為太復雜了，或者是因為最初做出設置的人已經離開公司了。

目前，這個平臺是只讀的。系統(tǒng)收集配置設置的相關信息，并發(fā)送警報，但不會自動深入下去并修復問題。Godfrey說：“但未來，這個范圍可能會擴大?！?/p>

另一家擴展其云支持的安全供應商是FireMon，該公司在去年11月推出了AWS的策略自動化產品。除了監(jiān)視安全設置，FireMon平臺還可以從單一控制臺進行更改，而且更改起來更快，也減少了人為錯誤。FireMon公司總監(jiān)Josh Mayfield評論說：“成千上萬的FireMon客戶使用這一功能來實施正確的安全控制、策略和規(guī)則?！?/p>

例如，如果使用量激增，企業(yè)必須迅速啟用大量的新服務器，那么在這一過程中安全性不會受到影響。他補充說：“能夠避免人為失誤帶來的錯誤。”

Evident.io這家供應商十多年來一直提供云保護服務。該公司自2014年起就支持AWS，去年夏天增加了為AWS GovCloud提供支持，9月份支持微軟Azure。

Tim Prendergast是該公司的首席執(zhí)行官，他非常熟悉云所面臨的挑戰(zhàn)。本世紀初，他成為Adobe系統(tǒng)公司的高級云架構師。他說，當時，公司的大部分業(yè)務都是運行在物理的數據中心，有一些聰明的人把所有的東西都進行了物理連接，并確保配置正確。

Prendergast說：“當我們遷移到云之后，產品部門接管了一切，問題是他們以前從來沒有做過類似的工作。他們不知道怎樣去配置網絡。他們想把這部分剝離出去，因為他們真的只是想開發(fā)軟件，他們的壓力是確保按時把產品投放市場。他們沒有時間去學習怎樣正確地配置云基礎設施和服務?！?/p>

Prendergast說，所以，他們走了捷徑。他說：“有很多配置和保護設置。一些公司甚至有數十億的設置。沒有一家公司能夠讓一個人安心坐下來，把所有設置都弄通?！?/p>

Evident的平臺監(jiān)控云基礎設施，包括AWS存儲桶。它有應對措施，例如，從簡單的警報級別開始。他說：“我們可以把它展示給人們看?；蛘撸覀兛梢詥有迯统绦?，打開一個標簽或者呼叫某個人，我們還可以觸發(fā)一次自動響應?！?/p>

例如，如果某些Amazon存儲桶不應該向公眾開放，那么系統(tǒng)可以查找有哪些地方進行過更改。如果存儲桶被設置為向公眾開放，則自動將其更改為私有。他說：“您不能公開您的數據，因為系統(tǒng)會強制使其回到正確的狀態(tài)?！?/p>

是由供應商來解決這個問題嗎？

亞馬遜已采取措施，讓客戶更容易注意到存儲桶沒有受到保護，并且更容易通過加密來保護數據。很多供應商，特別是那些服務于企業(yè)客戶的供應商，有很強的安全能力，但這也要取決于客戶的使用情況。

Cygilant公司安全研究總監(jiān)Neil Weitzel指出，通常，企業(yè)設置自己的云服務，然后就運行了。他說：“這就像是綠色牧場，而實際情況是，在云中運行與在自己的數據中心運行一樣，也有人員等方面的開銷。您仍然在管理基礎設施。”

Tripwire公司產品管理和戰(zhàn)略副總裁Tim Erlin指出，非常重要的一點是要了解有多少安全功能是由云提供商來處理的。他說：“例如，在供應商提供的服務基礎上，由用戶負責所使用的服務和應用程序的安全配置，而不是供應商的責任。”

Erlin說，當云供應商讓客戶更方便地設置安全功能時，這種易用性也是一把雙刃劍。他說：“在進行設置的時候，客戶也很容易無意間暴露環(huán)境中的數據?！?/p>

據Gartner，到2020年， 95%的云安全故障是由客戶造成的。DinCloud公司首席營銷官Ali Din說：“供應商不應該推卸責任。對于大型供應商來說，他們的目標是增長，服務于每一名客戶的不同應用?！?/p>

Din說：“這意味著他們必須為每一種可能的設置和配置選擇進行控制和綜合考慮。這導致非常復雜的局面。只要看看AWS在其網站上的下拉服務菜單，那真是讓人崩潰?！?/p>

Din建議企業(yè)放慢速度，確保員工經過足夠的培訓能夠正確地部署和管理云服務，并且他們可以找到工具，利用工具詳細地查看其云部署。

文件共享平臺Covata公司的安全副總裁Mike Fleck說：“我認為這是一個可以解決的問題。”他補充說，但是沒有捷徑可走?！澳皇谴蛩闳ベI點貨架產品，所有的問題就都能解決嗎？不會，要想讓所有一切在環(huán)境中運轉起來，人們將不得不進行投資，這絕非易事?！?/p>

Maria Korolov——特約撰稿人，過去20年一直涉足新興技術和新興市場。

原文網址：

http：//www.csoonline.com/article/3251605/cloud-security/cloud-security-configuration-errors-put-data-at-risk-new-tools-can-help.html