如今的科技正在快速發(fā)展。IT基礎(chǔ)設(shè)施正在發(fā)生變化,網(wǎng)絡攻擊面也在不斷增加,企業(yè)的云計算環(huán)境當然也在發(fā)展和進步。然而,隨著企業(yè)創(chuàng)建新的云計算部署場景以加快業(yè)務運營,面臨的風險也會發(fā)生變化。雖然很多風險并不是新的風險,但它們被重新設(shè)計以滲透到現(xiàn)代架構(gòu)中。
云部署面臨的威脅
本文將揭示現(xiàn)代云部署面臨的主要威脅,提供幫助企業(yè)保持行業(yè)領(lǐng)先地位并預防威脅的策略。
(1)橫向攻擊
復雜的網(wǎng)絡攻擊事件如今屢見不鮮。它涉及在云中未被發(fā)現(xiàn)的橫向移動能力。網(wǎng)絡攻擊者深入網(wǎng)絡以獲取敏感數(shù)據(jù)和高價值資產(chǎn),成功地做到這一點需要了解許多技術(shù)。
通常在橫向攻擊中,網(wǎng)絡攻擊者首先獲得對密鑰的訪問權(quán),并使用特定命令設(shè)置臨時憑證,然后他們獲得對帳戶的低權(quán)限訪問。他們也可能會嘗試采用暴力攻擊以獲取權(quán)限。然后他們執(zhí)行查找事件以查看可以模擬的活動,然后橫向移動以在整個系統(tǒng)中移動時執(zhí)行這些相同的命令,以升級其功能權(quán)限和角色。他們重復這一操作,直到具有足夠的權(quán)限來泄露數(shù)據(jù)庫和其他信息。
為了消除在這種網(wǎng)絡攻擊場景中被攻擊的可能性,重要的是限制角色和資產(chǎn)的權(quán)限,只允許員工采取必要的操作。這降低了網(wǎng)絡攻擊者能夠提升其權(quán)限的風險。此外,創(chuàng)建警報以顯示異常行為。雖然一個警報可能不會引起關(guān)注,但一系列類似的警報可以讓企業(yè)更快地采取行動,并可能使用自動化技術(shù)來阻止網(wǎng)絡攻擊的執(zhí)行。
(2)注入攻擊
無論是在傳統(tǒng)的還是現(xiàn)代的微服務環(huán)境中,SQL注入、操作系統(tǒng)命令注入、代碼注入等網(wǎng)絡攻擊仍然是企業(yè)面臨的風險。容器和無服務器功能添加到環(huán)境中的復雜性加劇了阻止注入攻擊的挑戰(zhàn)。
網(wǎng)絡攻擊的方法保持不變:應用程序處理來自不受信任來源的輸入。然而,對于微服務,輸入是通過大量事件觸發(fā)的,這很難進行人工管理。這意味著人們不能僅僅依賴安全控制和單個應用層,而且要確保代碼安全且不易受到注入攻擊。
由于有大量易受攻擊的代碼可以公開使用,網(wǎng)絡攻擊者可以很容易地利用這些代碼對微服務環(huán)境進行攻擊。例如,通過訪問環(huán)境,網(wǎng)絡攻擊者可以使用注入操作功能代碼來執(zhí)行網(wǎng)絡攻擊。為了抵消這種攻擊的可能性,代碼必須具有最低權(quán)限,以確保沒有人可以執(zhí)行或訪問超出要求的權(quán)限。執(zhí)行自動代碼掃描以識別企業(yè)使用的任何代碼存儲庫或庫中的漏洞也很重要。
(3)身份驗證受損
使用微服務,可以單獨運行數(shù)百個不同的功能,每個功能都有自己獨特的用途,并由不同的事件觸發(fā)。這些功能中的每一個都需要自己獨特的身份驗證協(xié)議,這就留下了出錯的空間。
網(wǎng)絡攻擊者會尋找諸如被遺忘的資源或冗余代碼,或打開存在已知安全漏洞的API,以獲得對環(huán)境的訪問權(quán)限。這將允許網(wǎng)絡攻擊者訪問包含敏感內(nèi)容或功能的網(wǎng)站,而無需進行正確的身份驗證。
雖然服務提供商可以處理大部分密碼管理和恢復工作流程,但客戶需要確保資源本身得到正確配置。但是,如果功能不是從最終用戶請求觸發(fā)的,而是在應用程序流程中觸發(fā)時,事情會變得更加復雜,會繞過身份驗證模式。
為了解決這個問題,對應用程序(包括應用程序流)進行持續(xù)監(jiān)控非常重要,這樣就可以識別應用程序觸發(fā)器。在這一基礎(chǔ)上,企業(yè)的安全團隊希望在資源未包含適當權(quán)限、具有冗余權(quán)限或觸發(fā)的行為異常或不符合要求時創(chuàng)建警報并對其進行分類。
(4)安全配置錯誤
在傳統(tǒng)應用程序中,安全配置錯誤可能發(fā)生在網(wǎng)絡、Web服務器、應用程序服務器、容器等。對于云平臺,存儲和數(shù)據(jù)庫默認是加密的。但是,為了增強安全性,客戶可以提供自己的加密密鑰或在多租戶架構(gòu)中創(chuàng)建更多分離。
而了解一些細微差別很重要。未鏈接的觸發(fā)器、未受保護的文件和目錄將如何影響企業(yè)的安全狀況?一些示例可能包括網(wǎng)絡攻擊者試圖識別錯誤配置的區(qū)域,以便他們可以訪問并導致拒絕服務,或泄漏敏感數(shù)據(jù)。
為了解決這個問題,企業(yè)需要確保利用來自其云計算提供商的內(nèi)置服務以及第三方服務來掃描其云帳戶以識別公共資源。企業(yè)安全團隊查看這些資源并驗證它們是否已實施訪問控制,并遵循最佳實踐指南。創(chuàng)建警報并設(shè)置持續(xù)監(jiān)控云計算環(huán)境的方法,因此如果檢測到異常行為或發(fā)現(xiàn)配置錯誤,則可以快速解決。對于微服務,需要查找未鏈接觸發(fā)器和資源。確保將進行超時設(shè)置和設(shè)置并發(fā)所需的最小值,并始終遵循配置最佳實踐。
(5)第三方漏洞
這已經(jīng)在之前的一些網(wǎng)絡攻擊和風險領(lǐng)域中提到過,但需要再次呼吁。隨著微服務執(zhí)行的不斷增加,開發(fā)人員對云計算基礎(chǔ)設(shè)施有了更多的控制權(quán),因此在安全方面承擔了更多的責任。
云計算是關(guān)于敏捷性和快速移動的。企業(yè)單擊按鈕即可啟動應用程序和功能,這通常意味著正在復制代碼和API。如果代碼存儲庫中內(nèi)置了隱藏的漏洞、廣泛的權(quán)限或冗余,則可以輕松地將它們合并到云計算應用程序環(huán)境中。
然而,這并不像建立安全門或質(zhì)量保證(QA)測試那么容易。這可能減慢開發(fā)速度并降低云計算的敏捷性,而這就是系統(tǒng)集成和自動化發(fā)揮關(guān)鍵作用的地方。安全團隊在持續(xù)集成(CI)/持續(xù)交付(CD)早期建立自動化安全措施很重要。他們必須確保在部署之前將最佳實踐標準和合規(guī)措施集成到資源中。
安全系統(tǒng)還應確保在啟動之前掃描代碼以查找漏洞。然后在運行時,對運行時環(huán)境進行連續(xù)掃描以快速識別漏洞。并在可能的情況下自動修復問題,這一點很重要。
結(jié)論
根據(jù)調(diào)研機構(gòu)451 Research公司的調(diào)查,如今90%的工作負載都在云中,并且云計算基礎(chǔ)設(shè)施的部署方式將會繼續(xù)改進和擴展。
企業(yè)的安全團隊必須了解威脅格局將如何隨著新興部署模型和不斷變化的攻擊面而進行的演變。對于他們來說,進一步與跨職能團隊集成以最好地優(yōu)化安全工具和程序同樣重要。這將確保提高安全性不會阻止業(yè)務發(fā)展,并且業(yè)務發(fā)展不會危及安全。