云安全聯(lián)盟：2016年十二大云安全威脅

　　在將應用和數據遷移到云端這件事上，企業(yè)不再裹足不前，但安全問(wèn)題依然需要加以密切關(guān)注。最小化云端安全風(fēng)險的第一步，就是要認清那些頂級安全威脅。

　　云計算的共享特性和按需定制本質(zhì)除了給企業(yè)帶來(lái)效率上提升，也引入了新的安全威脅，有可能使企業(yè)得不償失。之前云安全聯(lián)盟(CSA)的報告便指出，云服務(wù)天生就能使用戶(hù)繞過(guò)公司范圍內的安全策略，建立起自己的影子IT項目服務(wù)賬戶(hù)。新的安全控制策略必須被引入。

　　云環(huán)境面對的威脅中有很多都與傳統企業(yè)網(wǎng)絡(luò )面對的威脅相同，但由于有大量數據存儲在云服務(wù)器上，云提供商便成為了黑客很喜歡下手的目標。萬(wàn)一受到攻擊，潛在損害的嚴重性，取決于所泄露數據的敏感性。個(gè)人財務(wù)信息泄露事件或許會(huì )登上新聞頭條，但涉及健康信息、商業(yè)機密和知識產(chǎn)權的數據泄露，卻有可能是更具毀滅性的打擊。

　　一旦發(fā)生數據泄露，公司企業(yè)或許會(huì )招致罰款，又或者將面臨法律訴訟或刑事指控。數據泄露調查和客戶(hù)通知的花費也有可能是天文數字。其他非直接影響，比如品牌形象下跌和業(yè)務(wù)流失，會(huì )持續影響公司長(cháng)達數年時(shí)間。

　　云服務(wù)提供商通常都會(huì )部署安全控制措施來(lái)保護云環(huán)境，但最終，保護自身云端數據的責任，還是要落在使用云服務(wù)的公司自己身上。CSA建議公司企業(yè)采用多因子身份驗證和加密措施來(lái)防護數據泄露。

　　數據泄露和其他攻擊通常都是身份驗證不嚴格、弱密碼橫行、密鑰或憑證管理松散的結果。公司企業(yè)在試圖根據用戶(hù)角色分配恰當權限的時(shí)候，通常都會(huì )陷入身份管理的泥潭。更糟糕的是，他們有時(shí)候還會(huì )在工作職能改變或用戶(hù)離職時(shí)忘了撤銷(xiāo)相關(guān)用戶(hù)的權限。

　　多因子身份驗證系統，比如一次性密碼、基于手機的身份驗證、智能卡等，可以有效保護云服務(wù)。因為有了多重驗證，攻擊者想要靠盜取的密碼登進(jìn)系統就難得多了。美國第二大醫療保險公司Anthem數據泄露事件中，超過(guò)8千萬(wàn)客戶(hù)記錄被盜，就是用戶(hù)憑證被竊的結果。Anthem沒(méi)有采用多因子身份驗證，因此，一旦攻擊者獲得了憑證，進(jìn)出系統如入無(wú)人之境。

　　將憑證和密鑰嵌入到源代碼里，并留在面向公眾的代碼庫（如GitHub）中，也是很多開(kāi)發(fā)者常犯的錯誤。CSA建議，密鑰應當妥善保管，防護良好的公鑰基礎設施也是必要的。密鑰和憑證還應當定期更換，讓攻擊者更難以利用竊取的密鑰登錄系統。

　　計劃與云提供商聯(lián)合身份管理的公司，需要理解提供商用以防護身份管理平臺的安全措施。將所有ID集中存放到單一庫中是有風(fēng)險的。要想集中起來(lái)方便管理，就要冒著(zhù)這個(gè)極高價(jià)值ID庫被攻擊者盯上的風(fēng)險。如何取舍，就看公司怎么權衡了。

　　基本上，現在每個(gè)云服務(wù)和云應用都提供API（應用編程接口）。IT團隊使用界面和API進(jìn)行云服務(wù)管理和互動(dòng)，服務(wù)開(kāi)通、管理、配置和監測都可以借由這些界面和接口完成。

　　從身份驗證和訪(fǎng)問(wèn)控制，到加密和行為監測，云服務(wù)的安全和可用性依賴(lài)于A(yíng)PI的安全性。由于公司企業(yè)可能需要開(kāi)放更多的服務(wù)和憑證，建立在這些界面和API基礎之上的第三方應用的風(fēng)險也就增加了。弱界面和有漏洞的API將使企業(yè)面臨很多安全問(wèn)題，機密性、完整性、可用性和可靠性都會(huì )受到考驗。

　　API和界面通常都可以從公網(wǎng)訪(fǎng)問(wèn)，也就成為了系統最暴露的部分。CSA建議對API和界面引入足夠的安全控制，比如“第一線(xiàn)防護和檢測”。威脅建模應用和系統，包括數據流和架構/設計，已成為開(kāi)發(fā)生命周期中的重要部分。專(zhuān)注安全的代碼審查和嚴格的滲透測試，也是CSA給出的推薦選項。

　　系統漏洞，或者程序中可供利用的漏洞，真不是什么新鮮事物。但是，隨著(zhù)云計算中多租戶(hù)的出現，這些漏洞的問(wèn)題就大了。公司企業(yè)共享內存、數據庫和其他資源，催生出了新的攻擊方式。

　　幸運的是，針對系統漏洞的攻擊，用“基本的IT過(guò)程”就可以緩解。最佳實(shí)踐包括：定期漏洞掃描、及時(shí)補丁管理和緊跟系統威脅報告。

　　CSA報告表明：修復系統漏洞的花費與其他IT支出相比要少一些。部署IT過(guò)程來(lái)發(fā)現和修復漏洞的開(kāi)銷(xiāo)，比漏洞遭受攻擊的潛在損害要小。管制產(chǎn)業(yè)（如國防、航天航空業(yè)）需要盡可能快地打補丁，最好是作為自動(dòng)化過(guò)程和循環(huán)作業(yè)的一部分來(lái)實(shí)施。變更處理緊急修復的控制流程，要確保該修復活動(dòng)被恰當地記錄下來(lái)，并由技術(shù)團隊進(jìn)行審核。

　　網(wǎng)絡(luò )釣魚(yú)、詐騙、軟件漏洞利用，依然是很成功的攻擊方式。而云服務(wù)的出現，又為此類(lèi)威脅增加了新的維度。因為攻擊者可以利用云服務(wù)竊聽(tīng)用戶(hù)活動(dòng)、操縱交易、修改數據。利用云應用發(fā)起其他攻擊也不無(wú)可能。

　　常見(jiàn)的深度防護保護策略能夠控制數據泄露引發(fā)的破壞。公司企業(yè)應禁止在用戶(hù)和服務(wù)間共享賬戶(hù)憑證，還應在可用的地方啟用多因子身份驗證方案。用戶(hù)賬戶(hù)，甚至是服務(wù)賬戶(hù)，都應該受到監管，以便每一筆交易都能被追蹤到某個(gè)實(shí)際的人身上。關(guān)鍵就在于，要避免賬戶(hù)憑證被盜。

　　內部人員威脅擁有很多張面具：現員工或前雇員、系統管理員、承包商、商業(yè)合作伙伴……惡意行為可以從單純的數據偷盜，到報復公司。在云環(huán)境下，惡意滿(mǎn)滿(mǎn)的內部人員可以破壞掉整個(gè)基礎設施，或者操作篡改數據。安全性完全依賴(lài)于云服務(wù)提供商的系統，比如加密系統，是風(fēng)險最大的。

　　CSA建議：公司企業(yè)自己控制加密過(guò)程和密鑰，分離職責，最小化用戶(hù)權限。管理員活動(dòng)的有效日志記錄、監測和審計也是非常重要。

　　不過(guò)，話(huà)又說(shuō)回來(lái)，一些拙劣的日常操作也很容易被誤解為“惡意”內部人員行為。典型的例子就是，管理員不小心把敏感客戶(hù)數據庫拷貝到了可公開(kāi)訪(fǎng)問(wèn)的服務(wù)器上。鑒于潛在的暴露風(fēng)險更大，云環(huán)境下，合適的培訓和管理對于防止此類(lèi)低級錯誤就顯得更為重要了。

　　CSA把高級持續性威脅（APT）比作“寄生”形式的攻擊真是太形象了。APT滲透進(jìn)系統，建立起橋頭堡，然后，在相當長(cháng)一段時(shí)間內，源源不斷地，悄悄地偷走數據和知識產(chǎn)權。跟寄生蟲(chóng)沒(méi)什么差別。

　　APT通常在整個(gè)網(wǎng)絡(luò )內逡巡，混入正常流量中，因此，他們很難被偵測到。主要云提供商應用高級技術(shù)阻止APT滲透進(jìn)他們的基礎設施，但客戶(hù)也必須像在內部系統里進(jìn)行的一樣，勤于檢測云賬戶(hù)中的APT活動(dòng)。

　　常見(jiàn)的切入點(diǎn)包括：魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)、直接攻擊、U盤(pán)預載惡意軟件和通過(guò)已經(jīng)被黑的第三方網(wǎng)絡(luò )。CSA強烈建議公司企業(yè)培訓用戶(hù)識別各種網(wǎng)絡(luò )釣魚(yú)技巧。

　　定期意識強化培訓能使用戶(hù)保持警惕，更不容易被誘使放進(jìn)APT，IT部門(mén)也需要緊跟最新的高級攻擊方式。不過(guò)，高級安全控制、過(guò)程管理、事件響應計劃，以及IT員工培訓，都會(huì )導致安全預算的增加。公司企業(yè)必須在這筆支出和遭到APT攻擊可能造成的經(jīng)濟損失之間進(jìn)行權衡。

　　隨著(zhù)云服務(wù)的成熟，由于提供商失誤導致的永久數據丟失已經(jīng)極少見(jiàn)了。但惡意黑客已經(jīng)會(huì )用永久刪除云端數據來(lái)危害公司企業(yè)了，而且云數據中心跟其他任何設施一樣對自然災害無(wú)能為力。

　　云提供商建議多地分布式部署數據和應用以增強防護。足夠的數據備份措施，堅守業(yè)務(wù)持續性和災難恢復最佳實(shí)踐，都是最基本的防永久數據丟失的方法。日常數據備份和離線(xiàn)存儲在云環(huán)境下依然重要。

　　預防數據丟失的責任并非全部壓在云服務(wù)提供商肩頭。如果客戶(hù)在上傳到云端之間先把數據加密，那保護好密鑰的責任就落在客戶(hù)自己身上了。一旦密鑰丟失，數據丟失也就在所難免。

　　合規策略通常都會(huì )規定公司必須保留審計記錄和其他文件的時(shí)限。此類(lèi)數據若丟失，就會(huì )產(chǎn)生嚴重的監管后果。新歐盟數據保護規定中，數據損毀和個(gè)人數據損壞也被視為數據泄露，需要進(jìn)行恰當的通知。最好知曉相關(guān)規定，以便陷入麻煩之中。

　　一家公司，若在沒(méi)有完全理解云環(huán)境及其相關(guān)風(fēng)險的情況下，就投入云服務(wù)的懷抱，那等在它前方的，比然是無(wú)數的商業(yè)、金融、技術(shù)、法律和合規風(fēng)險。公司是否遷移到云環(huán)境，是否與另一家公司在云端合作，都需要進(jìn)行盡職調查。沒(méi)能仔細審查合同的公司，可能就不會(huì )注意到提供商在數據丟失或泄露時(shí)的責任條款。

　　在將App部署到特定云時(shí)，如果公司開(kāi)發(fā)團隊缺乏對云技術(shù)的了解，運營(yíng)和架構問(wèn)題也會(huì )冒頭。CSA提醒公司企業(yè)：每訂閱任何一個(gè)云服務(wù)，都必須進(jìn)行全面細致的盡職調查，弄清他們承擔的風(fēng)險。

　　云服務(wù)可能被用于支持違法活動(dòng)，比如利用云計算資源破解密鑰、發(fā)起分布式拒絕服務(wù)（DDoS）攻擊、發(fā)送垃圾郵件和釣魚(yú)郵件、托管惡意內容等。

　　提供商要能識別出濫用類(lèi)型，例如通過(guò)檢查流量來(lái)識別出DDoS攻擊，還要為客戶(hù)提供監測他們云環(huán)境健康的工具。客戶(hù)要確保提供商擁有濫用報告機制。盡管客戶(hù)可能不是惡意活動(dòng)的直接獵物，云服務(wù)濫用依然可能造成服務(wù)可用性問(wèn)題和數據丟失問(wèn)題。

　　DoS攻擊以及有很多年的歷史了，但由于云計算，這種攻擊方式枯木逢春了——因為它們通常會(huì )影響到可用性，系統響應會(huì )被大幅拖慢甚至直接超時(shí)，能給攻擊者帶來(lái)很好的攻擊效果。遭受拒絕服務(wù)攻擊，就像經(jīng)歷上下班交通擁堵；只有一條到達目的地的路，但你除了坐等，毫無(wú)辦法。

　　DoS攻擊消耗大量的處理能力，最終都要由客戶(hù)買(mǎi)單。盡管高流量的DDoS攻擊如今更為常見(jiàn)，公司企業(yè)仍然要留意非對稱(chēng)的、應用級的DoS攻擊，保護好自己的Web服務(wù)器和數據庫。

　　在處理DoS攻擊上，云服務(wù)提供商一般都比客戶(hù)更有經(jīng)驗，準備更充分。個(gè)中關(guān)鍵，就在于攻擊發(fā)生前就要有緩解計劃，這樣管理員們才能在需要的時(shí)候可以訪(fǎng)問(wèn)到這些資源。

　　共享技術(shù)中的漏洞給云計算帶來(lái)了相當大的威脅。云服務(wù)提供商共享基礎設施、平臺和應用，一旦其中任何一個(gè)層級出現漏洞，每個(gè)人都會(huì )受到影響。一個(gè)漏洞或錯誤配置，就能導致整個(gè)提供商的云環(huán)境遭到破壞。

　　若一個(gè)內部組件被攻破，就比如說(shuō)一個(gè)管理程序、一個(gè)共享平臺組件，或者一個(gè)應用吧，整個(gè)環(huán)境都會(huì )面臨潛在的宕機或數據泄露風(fēng)險。CSA建議采用深度防御策略，包括在所有托管主機上應用多因子身份驗證，啟用基于主機和基于網(wǎng)絡(luò )的入侵檢測系統，應用最小特權、網(wǎng)絡(luò )分段概念，實(shí)行共享資源補丁策略等等。