云安全聯(lián)盟：2016年十二大云安全威脅

　　在將應(yīng)用和數(shù)據(jù)遷移到云端這件事上，企業(yè)不再裹足不前，但安全問題依然需要加以密切關(guān)注。最小化云端安全風(fēng)險的第一步，就是要認(rèn)清那些頂級安全威脅。

　　云計算的共享特性和按需定制本質(zhì)除了給企業(yè)帶來效率上提升，也引入了新的安全威脅，有可能使企業(yè)得不償失。之前云安全聯(lián)盟(CSA)的報告便指出，云服務(wù)天生就能使用戶繞過公司范圍內(nèi)的安全策略，建立起自己的影子IT項目服務(wù)賬戶。新的安全控制策略必須被引入。

　　云環(huán)境面對的威脅中有很多都與傳統(tǒng)企業(yè)網(wǎng)絡(luò)面對的威脅相同，但由于有大量數(shù)據(jù)存儲在云服務(wù)器上，云提供商便成為了黑客很喜歡下手的目標(biāo)。萬一受到攻擊，潛在損害的嚴(yán)重性，取決于所泄露數(shù)據(jù)的敏感性。個人財務(wù)信息泄露事件或許會登上新聞頭條，但涉及健康信息、商業(yè)機密和知識產(chǎn)權(quán)的數(shù)據(jù)泄露，卻有可能是更具毀滅性的打擊。

　　一旦發(fā)生數(shù)據(jù)泄露，公司企業(yè)或許會招致罰款，又或者將面臨法律訴訟或刑事指控。數(shù)據(jù)泄露調(diào)查和客戶通知的花費也有可能是天文數(shù)字。其他非直接影響，比如品牌形象下跌和業(yè)務(wù)流失，會持續(xù)影響公司長達(dá)數(shù)年時間。

　　云服務(wù)提供商通常都會部署安全控制措施來保護云環(huán)境，但最終，保護自身云端數(shù)據(jù)的責(zé)任，還是要落在使用云服務(wù)的公司自己身上。CSA建議公司企業(yè)采用多因子身份驗證和加密措施來防護數(shù)據(jù)泄露。

　　數(shù)據(jù)泄露和其他攻擊通常都是身份驗證不嚴(yán)格、弱密碼橫行、密鑰或憑證管理松散的結(jié)果。公司企業(yè)在試圖根據(jù)用戶角色分配恰當(dāng)權(quán)限的時候，通常都會陷入身份管理的泥潭。更糟糕的是，他們有時候還會在工作職能改變或用戶離職時忘了撤銷相關(guān)用戶的權(quán)限。

　　多因子身份驗證系統(tǒng)，比如一次性密碼、基于手機的身份驗證、智能卡等，可以有效保護云服務(wù)。因為有了多重驗證，攻擊者想要靠盜取的密碼登進系統(tǒng)就難得多了。美國第二大醫(yī)療保險公司Anthem數(shù)據(jù)泄露事件中，超過8千萬客戶記錄被盜，就是用戶憑證被竊的結(jié)果。Anthem沒有采用多因子身份驗證，因此，一旦攻擊者獲得了憑證，進出系統(tǒng)如入無人之境。

　　將憑證和密鑰嵌入到源代碼里，并留在面向公眾的代碼庫（如GitHub）中，也是很多開發(fā)者常犯的錯誤。CSA建議，密鑰應(yīng)當(dāng)妥善保管，防護良好的公鑰基礎(chǔ)設(shè)施也是必要的。密鑰和憑證還應(yīng)當(dāng)定期更換，讓攻擊者更難以利用竊取的密鑰登錄系統(tǒng)。

　　計劃與云提供商聯(lián)合身份管理的公司，需要理解提供商用以防護身份管理平臺的安全措施。將所有ID集中存放到單一庫中是有風(fēng)險的。要想集中起來方便管理，就要冒著這個極高價值ID庫被攻擊者盯上的風(fēng)險。如何取舍，就看公司怎么權(quán)衡了。

　　基本上，現(xiàn)在每個云服務(wù)和云應(yīng)用都提供API（應(yīng)用編程接口）。IT團隊使用界面和API進行云服務(wù)管理和互動，服務(wù)開通、管理、配置和監(jiān)測都可以借由這些界面和接口完成。

　　從身份驗證和訪問控制，到加密和行為監(jiān)測，云服務(wù)的安全和可用性依賴于API的安全性。由于公司企業(yè)可能需要開放更多的服務(wù)和憑證，建立在這些界面和API基礎(chǔ)之上的第三方應(yīng)用的風(fēng)險也就增加了。弱界面和有漏洞的API將使企業(yè)面臨很多安全問題，機密性、完整性、可用性和可靠性都會受到考驗。

　　API和界面通常都可以從公網(wǎng)訪問，也就成為了系統(tǒng)最暴露的部分。CSA建議對API和界面引入足夠的安全控制，比如“第一線防護和檢測”。威脅建模應(yīng)用和系統(tǒng)，包括數(shù)據(jù)流和架構(gòu)/設(shè)計，已成為開發(fā)生命周期中的重要部分。專注安全的代碼審查和嚴(yán)格的滲透測試，也是CSA給出的推薦選項。

　　系統(tǒng)漏洞，或者程序中可供利用的漏洞，真不是什么新鮮事物。但是，隨著云計算中多租戶的出現(xiàn)，這些漏洞的問題就大了。公司企業(yè)共享內(nèi)存、數(shù)據(jù)庫和其他資源，催生出了新的攻擊方式。

　　幸運的是，針對系統(tǒng)漏洞的攻擊，用“基本的IT過程”就可以緩解。最佳實踐包括：定期漏洞掃描、及時補丁管理和緊跟系統(tǒng)威脅報告。

　　CSA報告表明：修復(fù)系統(tǒng)漏洞的花費與其他IT支出相比要少一些。部署IT過程來發(fā)現(xiàn)和修復(fù)漏洞的開銷，比漏洞遭受攻擊的潛在損害要小。管制產(chǎn)業(yè)（如國防、航天航空業(yè)）需要盡可能快地打補丁，最好是作為自動化過程和循環(huán)作業(yè)的一部分來實施。變更處理緊急修復(fù)的控制流程，要確保該修復(fù)活動被恰當(dāng)?shù)赜涗浵聛�，并由技術(shù)團隊進行審核。

　　網(wǎng)絡(luò)釣魚、詐騙、軟件漏洞利用，依然是很成功的攻擊方式。而云服務(wù)的出現(xiàn)，又為此類威脅增加了新的維度。因為攻擊者可以利用云服務(wù)竊聽用戶活動、操縱交易、修改數(shù)據(jù)。利用云應(yīng)用發(fā)起其他攻擊也不無可能。

　　常見的深度防護保護策略能夠控制數(shù)據(jù)泄露引發(fā)的破壞。公司企業(yè)應(yīng)禁止在用戶和服務(wù)間共享賬戶憑證，還應(yīng)在可用的地方啟用多因子身份驗證方案。用戶賬戶，甚至是服務(wù)賬戶，都應(yīng)該受到監(jiān)管，以便每一筆交易都能被追蹤到某個實際的人身上。關(guān)鍵就在于，要避免賬戶憑證被盜。

　　內(nèi)部人員威脅擁有很多張面具：現(xiàn)員工或前雇員、系統(tǒng)管理員、承包商、商業(yè)合作伙伴……惡意行為可以從單純的數(shù)據(jù)偷盜，到報復(fù)公司。在云環(huán)境下，惡意滿滿的內(nèi)部人員可以破壞掉整個基礎(chǔ)設(shè)施，或者操作篡改數(shù)據(jù)。安全性完全依賴于云服務(wù)提供商的系統(tǒng)，比如加密系統(tǒng)，是風(fēng)險最大的。

　　CSA建議：公司企業(yè)自己控制加密過程和密鑰，分離職責(zé)，最小化用戶權(quán)限。管理員活動的有效日志記錄、監(jiān)測和審計也是非常重要。

　　不過，話又說回來，一些拙劣的日常操作也很容易被誤解為“惡意”內(nèi)部人員行為。典型的例子就是，管理員不小心把敏感客戶數(shù)據(jù)庫拷貝到了可公開訪問的服務(wù)器上。鑒于潛在的暴露風(fēng)險更大，云環(huán)境下，合適的培訓(xùn)和管理對于防止此類低級錯誤就顯得更為重要了。

　　CSA把高級持續(xù)性威脅（APT）比作“寄生”形式的攻擊真是太形象了。APT滲透進系統(tǒng)，建立起橋頭堡，然后，在相當(dāng)長一段時間內(nèi)，源源不斷地，悄悄地偷走數(shù)據(jù)和知識產(chǎn)權(quán)。跟寄生蟲沒什么差別。

　　APT通常在整個網(wǎng)絡(luò)內(nèi)逡巡，混入正常流量中，因此，他們很難被偵測到。主要云提供商應(yīng)用高級技術(shù)阻止APT滲透進他們的基礎(chǔ)設(shè)施，但客戶也必須像在內(nèi)部系統(tǒng)里進行的一樣，勤于檢測云賬戶中的APT活動。

　　常見的切入點包括：魚叉式網(wǎng)絡(luò)釣魚、直接攻擊、U盤預(yù)載惡意軟件和通過已經(jīng)被黑的第三方網(wǎng)絡(luò)。CSA強烈建議公司企業(yè)培訓(xùn)用戶識別各種網(wǎng)絡(luò)釣魚技巧。

　　定期意識強化培訓(xùn)能使用戶保持警惕，更不容易被誘使放進APT，IT部門也需要緊跟最新的高級攻擊方式。不過，高級安全控制、過程管理、事件響應(yīng)計劃，以及IT員工培訓(xùn)，都會導(dǎo)致安全預(yù)算的增加。公司企業(yè)必須在這筆支出和遭到APT攻擊可能造成的經(jīng)濟損失之間進行權(quán)衡。

　　隨著云服務(wù)的成熟，由于提供商失誤導(dǎo)致的永久數(shù)據(jù)丟失已經(jīng)極少見了。但惡意黑客已經(jīng)會用永久刪除云端數(shù)據(jù)來危害公司企業(yè)了，而且云數(shù)據(jù)中心跟其他任何設(shè)施一樣對自然災(zāi)害無能為力。

　　云提供商建議多地分布式部署數(shù)據(jù)和應(yīng)用以增強防護。足夠的數(shù)據(jù)備份措施，堅守業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)最佳實踐，都是最基本的防永久數(shù)據(jù)丟失的方法。日常數(shù)據(jù)備份和離線存儲在云環(huán)境下依然重要。

　　預(yù)防數(shù)據(jù)丟失的責(zé)任并非全部壓在云服務(wù)提供商肩頭。如果客戶在上傳到云端之間先把數(shù)據(jù)加密，那保護好密鑰的責(zé)任就落在客戶自己身上了。一旦密鑰丟失，數(shù)據(jù)丟失也就在所難免。

　　合規(guī)策略通常都會規(guī)定公司必須保留審計記錄和其他文件的時限。此類數(shù)據(jù)若丟失，就會產(chǎn)生嚴(yán)重的監(jiān)管后果。新歐盟數(shù)據(jù)保護規(guī)定中，數(shù)據(jù)損毀和個人數(shù)據(jù)損壞也被視為數(shù)據(jù)泄露，需要進行恰當(dāng)?shù)耐ㄖ�。最好知曉相關(guān)規(guī)定，以便陷入麻煩之中。

　　一家公司，若在沒有完全理解云環(huán)境及其相關(guān)風(fēng)險的情況下，就投入云服務(wù)的懷抱，那等在它前方的，比然是無數(shù)的商業(yè)、金融、技術(shù)、法律和合規(guī)風(fēng)險。公司是否遷移到云環(huán)境，是否與另一家公司在云端合作，都需要進行盡職調(diào)查。沒能仔細(xì)審查合同的公司，可能就不會注意到提供商在數(shù)據(jù)丟失或泄露時的責(zé)任條款。

　　在將App部署到特定云時，如果公司開發(fā)團隊缺乏對云技術(shù)的了解，運營和架構(gòu)問題也會冒頭。CSA提醒公司企業(yè)：每訂閱任何一個云服務(wù)，都必須進行全面細(xì)致的盡職調(diào)查，弄清他們承擔(dān)的風(fēng)險。

　　云服務(wù)可能被用于支持違法活動，比如利用云計算資源破解密鑰、發(fā)起分布式拒絕服務(wù)（DDoS）攻擊、發(fā)送垃圾郵件和釣魚郵件、托管惡意內(nèi)容等。

　　提供商要能識別出濫用類型，例如通過檢查流量來識別出DDoS攻擊，還要為客戶提供監(jiān)測他們云環(huán)境健康的工具�？蛻粢�確保提供商擁有濫用報告機制。盡管客戶可能不是惡意活動的直接獵物，云服務(wù)濫用依然可能造成服務(wù)可用性問題和數(shù)據(jù)丟失問題。

　　DoS攻擊以及有很多年的歷史了，但由于云計算，這種攻擊方式枯木逢春了——因為它們通常會影響到可用性，系統(tǒng)響應(yīng)會被大幅拖慢甚至直接超時，能給攻擊者帶來很好的攻擊效果。遭受拒絕服務(wù)攻擊，就像經(jīng)歷上下班交通擁堵；只有一條到達(dá)目的地的路，但你除了坐等，毫無辦法。

　　DoS攻擊消耗大量的處理能力，最終都要由客戶買單。盡管高流量的DDoS攻擊如今更為常見，公司企業(yè)仍然要留意非對稱的、應(yīng)用級的DoS攻擊，保護好自己的Web服務(wù)器和數(shù)據(jù)庫。

　　在處理DoS攻擊上，云服務(wù)提供商一般都比客戶更有經(jīng)驗，準(zhǔn)備更充分。個中關(guān)鍵，就在于攻擊發(fā)生前就要有緩解計劃，這樣管理員們才能在需要的時候可以訪問到這些資源。

　　共享技術(shù)中的漏洞給云計算帶來了相當(dāng)大的威脅。云服務(wù)提供商共享基礎(chǔ)設(shè)施、平臺和應(yīng)用，一旦其中任何一個層級出現(xiàn)漏洞，每個人都會受到影響。一個漏洞或錯誤配置，就能導(dǎo)致整個提供商的云環(huán)境遭到破壞。

　　若一個內(nèi)部組件被攻破，就比如說一個管理程序、一個共享平臺組件，或者一個應(yīng)用吧，整個環(huán)境都會面臨潛在的宕機或數(shù)據(jù)泄露風(fēng)險。CSA建議采用深度防御策略，包括在所有托管主機上應(yīng)用多因子身份驗證，啟用基于主機和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，應(yīng)用最小特權(quán)、網(wǎng)絡(luò)分段概念，實行共享資源補丁策略等等。