云安全配置：讓數(shù)據(jù)遠(yuǎn)離危險(xiǎn)

Maria Korolov

對(duì)于完全在云中運(yùn)行的企業(yè)而言，其所有業(yè)務(wù)都可能面臨風(fēng)險(xiǎn)。監(jiān)視和驗(yàn)證云安全配置能有所幫助。

去年秋天，一位安全研究人員發(fā)現(xiàn)四個(gè)亞馬遜S3存儲(chǔ)桶存放了高度敏感的數(shù)據(jù)，有客戶憑證，還有一個(gè)備份數(shù)據(jù)庫包含了4萬個(gè)密碼。埃森哲無意中把這些存儲(chǔ)桶設(shè)置為允許公眾訪問，導(dǎo)致所有信息都被完全暴露了。研究人員將此事通知了埃森哲，埃森哲第二天便鎖定了數(shù)據(jù)。

并非埃森哲一家是這樣。其他將其亞馬遜S3存儲(chǔ)桶向公眾開放的公司還有Dow Jones、Verizon和軍事情報(bào)機(jī)構(gòu)INSCOM。越來越多的壞消息接踵而來。

11月，Uber發(fā)現(xiàn)黑客們掌握了他們也是存儲(chǔ)在亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）上的5700萬名用戶的個(gè)人信息，然后給黑客付了些錢，想把這次泄露事件隱瞞下來。接下來還有，上個(gè)月，Experian的一名客戶購買了一套包含1.2億美國家庭信息的數(shù)據(jù)集，也是將其放在公共的亞馬遜S3存儲(chǔ)桶中，結(jié)果被泄露了。

據(jù)RedLock最近的一份報(bào)告，使用Amazon S3這樣的云存儲(chǔ)服務(wù)的企業(yè)中，有53%的企業(yè)無意間向公眾公開了某種服務(wù)。RedLock公司首席執(zhí)行官兼聯(lián)合創(chuàng)始人Varun Badhwar表示：“我們發(fā)現(xiàn)250家企業(yè)的憑證泄露到了他們的云AWS環(huán)境中。”

專家指出，配置不當(dāng)?shù)脑品?wù)問題遠(yuǎn)不止AWS一家，隨著越來越多的數(shù)據(jù)和應(yīng)用程序遷移到云中，情況只會(huì)越來越嚴(yán)重。RedLock分析了客戶環(huán)境中500多萬份資源，以及公有云計(jì)算環(huán)境中的漏洞，發(fā)現(xiàn)有37%的數(shù)據(jù)庫能夠接受直接來自互聯(lián)網(wǎng)的入站連接，其中7%的數(shù)據(jù)庫已經(jīng)被可疑的IP地址訪問過了。RedLock報(bào)告說：“數(shù)據(jù)庫絕不應(yīng)該暴露在互聯(lián)網(wǎng)上。”

而且不僅僅是數(shù)據(jù)庫。如果出現(xiàn)配置錯(cuò)誤，黑客還有可能利用企業(yè)云賬戶來進(jìn)行比特幣挖礦操作。據(jù)RedLock的研究，Aviva和Gemalto便是被攻破的企業(yè)。Badhwar說：“現(xiàn)在這已經(jīng)是個(gè)大問題了。2018年，還會(huì)有很多這樣的事情發(fā)生。”

對(duì)于完全在云中運(yùn)行的企業(yè)而言，其所有業(yè)務(wù)都可能面臨風(fēng)險(xiǎn)。監(jiān)視和驗(yàn)證云安全配置能有所幫助。Veeva系統(tǒng)公司為生命科學(xué)行業(yè)提供基于云的內(nèi)容管理系統(tǒng)，該公司全球信息安全官David Tsao說：“資源配置不當(dāng)是嚴(yán)重的威脅，特別是考慮到我們公有云計(jì)算的規(guī)模。”他說，基于云計(jì)算的業(yè)務(wù)模式是企業(yè)成功的一個(gè)“非常重要的因素”。我們公司需要一種方法來連續(xù)監(jiān)視整個(gè)云環(huán)境，包括資源配置。

Veeva決定去找RedLock合作，這是新一批云安全管理初創(chuàng)公司中的一家。事實(shí)上，RedLock去年春天才悄然出現(xiàn)。Tsao說：“該公司的平臺(tái)可以幫助Veeva迅速發(fā)現(xiàn)云環(huán)境中的問題，提高了安全態(tài)勢(shì)的可見性。”

為什么會(huì)有云安全配置問題？

在傳統(tǒng)的本地部署環(huán)境中，節(jié)奏都很慢。企業(yè)有時(shí)間去配置自己的網(wǎng)絡(luò)，并對(duì)新軟件進(jìn)行安全審查。最敏感的信息一直隱藏在企業(yè)防火墻后面。

而在當(dāng)今的云和混合環(huán)境中，很多安全控制措施不再適用了。我們看到了這樣的結(jié)果。Dome9安全公司首席執(zhí)行官Zohar Alon表示：“配置錯(cuò)誤導(dǎo)致了目前云中的大部分?jǐn)?shù)據(jù)被盜和泄露事件。”

配置不當(dāng)導(dǎo)致的訪問控制問題隨處可見。例如，以幫助企業(yè)使用容器的開源Kubernetes平臺(tái)為例。黑客就是利用了該平臺(tái)，去年秋天接管了Aviva和Gemalto的亞馬遜服務(wù)器，讓這些服務(wù)器去為他們進(jìn)行比特幣挖礦。RedLock的Badhwar說：“這是容器管理事實(shí)上的標(biāo)準(zhǔn)平臺(tái)。我們發(fā)現(xiàn)很多被泄露的信息，都不需要登錄或者密碼。”

有些服務(wù)從一開始就配置錯(cuò)了。有時(shí)，臨時(shí)修改了設(shè)置，但再也沒有改回來。負(fù)責(zé)配置的人也是變來變?nèi)ァ?/p>

通常，客戶希望云提供商能夠處理好所有安全問題，自己沒有任何系統(tǒng)來確保云服務(wù)被正確的鎖定。Badhwar說：“其實(shí)應(yīng)該是共同承擔(dān)責(zé)任，但這還處于早期階段，大多數(shù)企業(yè)仍然不具備這方面的能力。”

目前以各種各樣的方式來提供云服務(wù)也使得這個(gè)問題更加嚴(yán)重。開發(fā)人員創(chuàng)建了虛擬服務(wù)器和容器，以便快速推出應(yīng)用程序，存儲(chǔ)數(shù)據(jù)。業(yè)務(wù)部門通過自己注冊(cè)來使用服務(wù)，個(gè)人用戶也是如此。

專家稱，本地?cái)?shù)據(jù)中心所采用的傳統(tǒng)配置管理方法并不適用于云服務(wù)。云平臺(tái)通常有自己的系統(tǒng)來監(jiān)視配置的更改。

Barracuda網(wǎng)絡(luò)公司的公有云副總裁Tim Jefferson指出，例如，AWS有AWS Cloud Trail和AWS Config。微軟的Azure云平臺(tái)有其運(yùn)營管理套件。其他流行的SaaS云提供商沒有集中的管理工具，而是讓個(gè)人用戶負(fù)責(zé)自己的安全和共享設(shè)置。

Kudelski安全公司首席技術(shù)官Andrew Howard說，云服務(wù)部署起來要比傳統(tǒng)的本地應(yīng)用程序快得多。他說：“所有敏感數(shù)據(jù)都在那里，誰知道它配置是否正確。如果我是一家大企業(yè)的安全官，這將是我最擔(dān)心的事情。總覺得不應(yīng)該因?yàn)檫@樣而被人攻破。”

即使是最基本的配置，例如，知道企業(yè)數(shù)據(jù)存放在哪里、怎樣訪問和共享等，都是問題。Howard建議企業(yè)使用云訪問安全代理來跟蹤云服務(wù)的使用。

新的云安全配置管理和驗(yàn)證工具

通常，必須手動(dòng)進(jìn)行配置管理。Howard說：“工具還沒有達(dá)到手動(dòng)配置的水平。這導(dǎo)致很多企業(yè)自己開發(fā)解決方案，或者使用不能完全解決問題的解決方案。有一些解決方案剛剛面市，應(yīng)用還沒有鋪開。”

例如，去年秋天，Veriflow將其網(wǎng)絡(luò)驗(yàn)證平臺(tái)擴(kuò)展到了AWS，包括S3存儲(chǔ)桶。該平臺(tái)自動(dòng)得出配置設(shè)置的目的是什么，然后檢查這些設(shè)置是否正確。

Veriflow系統(tǒng)公司的共同創(chuàng)始人兼首席技術(shù)官Brighten Godfrey指出，有時(shí)很難搞清楚設(shè)置的目的是什么，因?yàn)樘珡?fù)雜了，或者是因?yàn)樽畛踝龀鲈O(shè)置的人已經(jīng)離開公司了。

目前，這個(gè)平臺(tái)是只讀的。系統(tǒng)收集配置設(shè)置的相關(guān)信息，并發(fā)送警報(bào)，但不會(huì)自動(dòng)深入下去并修復(fù)問題。Godfrey說：“但未來，這個(gè)范圍可能會(huì)擴(kuò)大。”

另一家擴(kuò)展其云支持的安全供應(yīng)商是FireMon，該公司在去年11月推出了AWS的策略自動(dòng)化產(chǎn)品。除了監(jiān)視安全設(shè)置，F(xiàn)ireMon平臺(tái)還可以從單一控制臺(tái)進(jìn)行更改，而且更改起來更快，也減少了人為錯(cuò)誤。FireMon公司總監(jiān)Josh Mayfield評(píng)論說：“成千上萬的FireMon客戶使用這一功能來實(shí)施正確的安全控制、策略和規(guī)則。”

例如，如果使用量激增，企業(yè)必須迅速啟用大量的新服務(wù)器，那么在這一過程中安全性不會(huì)受到影響。他補(bǔ)充說：“能夠避免人為失誤帶來的錯(cuò)誤。”

Evident.io這家供應(yīng)商十多年來一直提供云保護(hù)服務(wù)。該公司自2014年起就支持AWS，去年夏天增加了為AWS GovCloud提供支持，9月份支持微軟Azure。

Tim Prendergast是該公司的首席執(zhí)行官，他非常熟悉云所面臨的挑戰(zhàn)。本世紀(jì)初，他成為Adobe系統(tǒng)公司的高級(jí)云架構(gòu)師。他說，當(dāng)時(shí)，公司的大部分業(yè)務(wù)都是運(yùn)行在物理的數(shù)據(jù)中心，有一些聰明的人把所有的東西都進(jìn)行了物理連接，并確保配置正確。

Prendergast說：“當(dāng)我們遷移到云之后，產(chǎn)品部門接管了一切，問題是他們以前從來沒有做過類似的工作。他們不知道怎樣去配置網(wǎng)絡(luò)。他們想把這部分剝離出去，因?yàn)樗麄冋娴闹皇窍腴_發(fā)軟件，他們的壓力是確保按時(shí)把產(chǎn)品投放市場(chǎng)。他們沒有時(shí)間去學(xué)習(xí)怎樣正確地配置云基礎(chǔ)設(shè)施和服務(wù)。”

Prendergast說，所以，他們走了捷徑。他說：“有很多配置和保護(hù)設(shè)置。一些公司甚至有數(shù)十億的設(shè)置。沒有一家公司能夠讓一個(gè)人安心坐下來，把所有設(shè)置都弄通。”

Evident的平臺(tái)監(jiān)控云基礎(chǔ)設(shè)施，包括AWS存儲(chǔ)桶。它有應(yīng)對(duì)措施，例如，從簡(jiǎn)單的警報(bào)級(jí)別開始。他說：“我們可以把它展示給人們看。或者，我們可以啟動(dòng)修復(fù)程序，打開一個(gè)標(biāo)簽或者呼叫某個(gè)人，我們還可以觸發(fā)一次自動(dòng)響應(yīng)。”

例如，如果某些Amazon存儲(chǔ)桶不應(yīng)該向公眾開放，那么系統(tǒng)可以查找有哪些地方進(jìn)行過更改。如果存儲(chǔ)桶被設(shè)置為向公眾開放，則自動(dòng)將其更改為私有。他說：“您不能公開您的數(shù)據(jù)，因?yàn)橄到y(tǒng)會(huì)強(qiáng)制使其回到正確的狀態(tài)。”

是由供應(yīng)商來解決這個(gè)問題嗎？

亞馬遜已采取措施，讓客戶更容易注意到存儲(chǔ)桶沒有受到保護(hù)，并且更容易通過加密來保護(hù)數(shù)據(jù)。很多供應(yīng)商，特別是那些服務(wù)于企業(yè)客戶的供應(yīng)商，有很強(qiáng)的安全能力，但這也要取決于客戶的使用情況。

Cygilant公司安全研究總監(jiān)Neil Weitzel指出，通常，企業(yè)設(shè)置自己的云服務(wù)，然后就運(yùn)行了。他說：“這就像是綠色牧場(chǎng)，而實(shí)際情況是，在云中運(yùn)行與在自己的數(shù)據(jù)中心運(yùn)行一樣，也有人員等方面的開銷。您仍然在管理基礎(chǔ)設(shè)施。”

Tripwire公司產(chǎn)品管理和戰(zhàn)略副總裁Tim Erlin指出，非常重要的一點(diǎn)是要了解有多少安全功能是由云提供商來處理的。他說：“例如，在供應(yīng)商提供的服務(wù)基礎(chǔ)上，由用戶負(fù)責(zé)所使用的服務(wù)和應(yīng)用程序的安全配置，而不是供應(yīng)商的責(zé)任。”

Erlin說，當(dāng)云供應(yīng)商讓客戶更方便地設(shè)置安全功能時(shí)，這種易用性也是一把雙刃劍。他說：“在進(jìn)行設(shè)置的時(shí)候，客戶也很容易無意間暴露環(huán)境中的數(shù)據(jù)。”

據(jù)Gartner，到2020年， 95%的云安全故障是由客戶造成的。DinCloud公司首席營銷官Ali Din說：“供應(yīng)商不應(yīng)該推卸責(zé)任。對(duì)于大型供應(yīng)商來說，他們的目標(biāo)是增長，服務(wù)于每一名客戶的不同應(yīng)用。”

Din說：“這意味著他們必須為每一種可能的設(shè)置和配置選擇進(jìn)行控制和綜合考慮。這導(dǎo)致非常復(fù)雜的局面。只要看看AWS在其網(wǎng)站上的下拉服務(wù)菜單，那真是讓人崩潰。”

Din建議企業(yè)放慢速度，確保員工經(jīng)過足夠的培訓(xùn)能夠正確地部署和管理云服務(wù)，并且他們可以找到工具，利用工具詳細(xì)地查看其云部署。

文件共享平臺(tái)Covata公司的安全副總裁Mike Fleck說：“我認(rèn)為這是一個(gè)可以解決的問題。”他補(bǔ)充說，但是沒有捷徑可走。“您只是打算去買點(diǎn)貨架產(chǎn)品，所有的問題就都能解決嗎？不會(huì)，要想讓所有一切在環(huán)境中運(yùn)轉(zhuǎn)起來，人們將不得不進(jìn)行投資，這絕非易事。”

Maria Korolov——特約撰稿人，過去20年一直涉足新興技術(shù)和新興市場(chǎng)。

原文網(wǎng)址：

http：//www.csoonline.com/article/3251605/cloud-security/cloud-security-configuration-errors-put-data-at-risk-new-tools-can-help.html