云基础设施需要解决的一些安全问题与内部部署的传统基础设施相同。有些是不同的,或包括额外的挑战。第一步是识别与云基础设施相关的风险。您需要实施应对措施和其他应对措施,以减少或减轻这些风险。确保你真的记录了它们,并在所有利益相关者在场和参与的情况下排练它们。这将形成您的总体云安全战略。
没有云安全策略就像忽视地面网络的网络安全一样。实际上,这可能更糟,因为云的本质是面向互联网的。
企业面临的特定风险略有不同,这取决于使用云的方式以及使用的云产品的组合:基础设施即服务、平台即服务、软件即服务、容器即服务等等。对风险进行分类有不同的方法。我们把他们聚集在一起,形成一个连贯但通用的风险群体。可能有一些不适用于企业的确切用例,但在丢弃它们之前,需要确保确实如此。
错误配置和人为错误
在各种规模的组织中,由于疏忽、过度工作或根本不知道更好的方法而导致的错误仍然比比皆是。忘记的项目和错过的设置会导致每周的系统故障。2017年Equifax的大规模漏洞泄露了超过1.6亿人的个人数据,利用了过时的SSL证书。如果有一个管理可更新项目的流程,并有明确的指导,说明谁应对该流程负责,那么证书很可能会被更新,而且违约行为也不会发生。
安全研究人员几乎每周都会使用Shodan之类的工具来发现不安全的容器,Shodan是一个搜索设备、端口和服务的搜索引擎。其中一些违约和风险敞口的出现是因为人们期望事情在违约时是安全的,而事实并非如此。一旦启动了远程服务器,就需要执行与其他服务器相同的强化步骤和安全改进。修补也很重要。为了维护服务器防御的完整性,它需要及时应用安全和维护补丁。
应用程序,尤其是数据存储和数据库,如弹性搜索,也需要在安装后进行加固。默认帐户需要更改其凭据,并使用提供的最高安全级别保护API。
如果可用,应使用双因素或多因素身份验证。避免基于SMS的双因素身份验证,很容易受到影响。如果不需要未使用的API,则应关闭它们,或者使用未发布的API密钥和专用API密钥阻止它们的使用。Web应用程序防火墙将针对SQL注入攻击和跨站点脚本等威胁提供保护。
缺乏变更控制
与配置错误相关的是在更改或更新工作系统时引入的漏洞。应以可控和可预测的方式进行。这意味着计划并同意更改,检查代码,将更改应用到沙盒系统,测试它们,并将它们推出到活动系统。这是非常适合自动化的东西,只要开发到部署管道是适当的健壮的,并且实际测试您认为它做什么,尽可能彻底地测试您所需要的。
你需要注意的其他变化是在威胁环境中。您无法控制新的漏洞被发现并添加到威胁参与者可以使用的漏洞列表中。您可以做的是确保扫描云基础设施,以便解决所有当前已知的漏洞。
应针对您的云基础设施运行频繁且彻底的渗透扫描。发现并纠正漏洞是保持云投资安全的核心要素。渗透扫描可以搜索忘记的开放端口、薄弱或未受保护的API、过时的协议栈、常见错误配置、常见漏洞和暴露数据库中的所有漏洞,等等。它们可以自动执行,并设置为在发现可操作项时发出警报。
账户劫持
帐户劫持是指通过访问授权人员的电子邮件帐户、登录凭据或任何其他需要对计算机系统或服务进行身份验证的信息来破坏系统的行为。然后,威胁行为人有权更改帐户密码并进行恶意和非法活动。如果他们破坏了一个管理员的帐户,他们可以为自己创建一个新帐户,然后登录到该帐户,使管理员的帐户看起来没有受到影响。
钓鱼攻击或字典攻击是获取凭据的常见手段。除了使用常用数字和字母替换的字典单词和排列之外,字典攻击还使用来自其他数据泄露的密码数据库。如果任何帐户持有人在其他系统上被发现以前的漏洞,并在您的系统上重新使用泄露的密码,他们已经在您的系统上创建了一个漏洞。密码不应在其他系统上重复使用。
双因素和多因素身份验证在这里会有所帮助,自动扫描日志查找失败的访问尝试也会有所帮助。但一定要检查你的托管服务提供商的政策和程序。你假设他们会遵循行业最佳实践,但在2019年,有消息称谷歌已将G套件密码以纯文本形式存储了14年。
能见度降低
雾天开车是一项吃力不讨好的工作。管理一个没有安全专业人员用来监视和验证网络安全的低层次、细粒度信息的系统也是一个类似的前景。如果你能看到你需要的东西,你就不会做得那么好。
大多数云服务器通常支持多种连接方法,例如远程桌面协议、安全Shell和内置web门户等。所有这些都可以被攻击。如果攻击正在发生,你需要知道。一些托管提供商可以为您提供更好的日志记录或更透明的日志访问,但您必须请求这样做。默认情况下他们不会这么做。
访问日志只是第一步。你需要分析它们,寻找可疑的行为或不寻常的事件。将来自多个不同系统的日志聚合起来,并在一个时间轴上查看它们,可能比逐个浏览每个日志更具启发性。要真正做到这一点,唯一的方法就是使用自动工具来寻找无法解释或可疑的事件。更好的工具还将匹配并找到可能是攻击结果的事件模式,这当然值得进一步调查。
不遵守数据保护法规
不合规是数据保护和数据隐私相当于系统配置错误。不执行法律要求的政策和程序以确保个人数据的合法收集、处理和传输是另一种类型的脆弱性,但它仍然是脆弱性。
这也是一个容易落入的陷阱。数据保护显然是一件好事,而要求组织以保护和保护人们数据的方式运作的立法也是一件好事。但是,如果没有专家帮助或拥有足够技能和经验的内部资源,跟踪立法本身是非常困难的。
新的立法一直在颁布,现有的立法也在修订。当英国在2020年1月31日离开欧洲经济联盟(EEU)时,英国公司发现自己处于一个奇怪的境地。对于他们持有的任何英国公民数据,他们必须遵守《2018年英国数据保护法》第二章中包含的英国特定版本的一般数据保护条例。如果他们持有的任何个人资料属于居住在欧洲其他地方的人,那么欧盟GDPR就起作用了。
GDPR适用于所有的组织,不管它们在哪里。如果您收集、处理或存储属于英国或欧洲公民的个人数据,其中一个GDPRs将适用于您,必须处理此问题的不仅仅是英国和欧盟组织。同样的模式也适用于加州消费者隐私法案(CCPA)。它保护加州居民,不管数据处理发生在哪里。因此,这并不是只有加州的组织才需要解决的问题。重要的不是你的位置。重要的是你正在处理其数据的人的位置。
加州并不是唯一一个通过立法解决数据隐私问题的州。内华达州和缅因州也有立法,纽约、马里兰州、马萨诸塞州、夏威夷和北达科他州也在实施各自的数据隐私法。
这是除了垂直集中的联邦立法,如健康保险便携性和责任法案(HIPAA),儿童在线隐私保护规则(COPPA)和格莱姆-里奇-布莱利法案(GLBA)的立法,如果其中任何一个适用于您的活动。
如果您通过云基础设施中的门户或网站收集信息,或者在托管服务器上处理数据,那么这些大量的立法将适用于您。在数据泄露的情况下,不合规行为可能会招致重大的经济处罚,同时还会损害声誉,并可能引发集体诉讼。
做得好就是全职工作
安全是一个永无止境的挑战,云计算带来了它自己独特的关注点。谨慎选择主机或服务提供商是一个关键因素。在正式接触他们之前,确保你做了彻底的尽职调查。
•他们是否认真对待安全问题?他们的业绩如何?
•他们是提供指导和支持,还是向你推销他们的服务,让你去做?
•作为服务的一部分,他们提供了哪些安全工具和措施?
•可以使用哪些日志?
当讨论云计算时,通常有人会给出这样一个众所周知的声音:“云只是指其他人的计算机。”和所有的声音一样,这是一个严重的过于简单化。但这里面还是有些道理的。这是一个清醒的想法。