据有关报告显示,公共云、私有云和混合云的风险差异很大。在向云数据和服务迈进的过程中,许多公司都在重新思考他们的网络安全方法。他们需要云安全策略吗?云安全策略有什么不同?而最近的一些调查揭示了安全战略是如何变化的,更重要的一点是,它们应该如何改变。本文将讲述有关执行成功的云安全策略所需的工具、信息和组织结构的建议。
在云中放置更多IT基础架构在某些方面更安全一些。例如,您可以合理的确定系统正在运行补丁的最新版本。云服务提供商也在构建新的功能,例如使用机器语言进行异常检测。但是同时,它也带来了新的风险,其中一些是误解如何管理云安全的结果。
重要的是要了解公司的云IT战略——无论是混合型、私有托管型还是公共型,都影响其网络安全战略和战术的执行。
什么是云安全风险?
来自云安全提供商Alert Logic的数据显示了与本地数据中心相比,每种形式的云环境的风险性质和数量。在18个月的时间里,该公司分析了来自3,800多家客户的147 PB的数据,以对安全事件进行量化和分类。在此期间,它发现了超过220万个真正的安全事件。主要发现包括:
· 混合云环境中平均每个客户的安全事件数是977个,其次是托管私有云684个,本地数据中心612个和公共云405个。
· 到目前为止,最常见的安全事件类型是Web应用程序攻击(75%),其次是暴力攻击(16%),侦察(5%)和服务器端勒索软件(2%)。
· Web应用程序攻击最常见的载体是SQL(47.74%),Joomla(26.11%),Apache Struts(10.11%)和Magento(6.98%)。
· Wordpress是最常见的暴力攻击目标,占41%,其次是MS SQL,占19%。
由此可见,无论是公共云、私有云还是混合云环境,Web应用程序威胁都占据主导地位,它们之间的不同之处在于其风险程度。Alert Logic的联合创始人Misha Govshteyn说。
作为防御者,我们有较高的并且有效的保护公共云的能力,因为我们看到了更好的信噪比并且减少了更少的噪音攻击。而当我们在公共云环境中意识到安全事件时,我们知道必须要引起注意了。
数据显示,某些平台比其他平台更容易受到攻击。尽管你付出了最大努力,但还是会增加你的攻击面。他指出尽管人们普遍认为,LAMP堆栈比基于Microsoft的应用程序堆栈更容易受到攻击,他还将PHP应用程序视为热点。
Govshteyn说:
在内容管理系统中,特别是Wordpress、Joomla和Django,作为Web应用程序的平台,其存在的漏洞远远超过人们的想象。只有当您了解开发团队倾向于使用的Web框架和平台时,才有可能保证这些系统的安全。但大多数安全人员几乎不关注这些细节,并常常存在侥幸心理而做出决定。
为了最大限度地降低云威胁的影响,Alert Logic有三个主要建议:
· 依靠应用程序白名单和阻止访问未知程序。这包括对组织中使用的每个应用程序进行风险与价值评估。
· 了解您自己的补丁程序并优先处理修补程序的部署。
· 根据当前用户职责来限制管理和访问权限。保持应用程序和操作系统的权限是最新的。
6种云威胁
今年4月份,云安全平台提供商ShieldX概述了它认为可能在2018年发生的六类云安全威胁。大多数组织都很难降低这些威胁的风险,因为他们的防御与其性质之间存在差距。ShieldX首席技术官兼高级副总裁Manuel Nedbal说:
物理数据中心外形与虚拟外围之间存在不匹配的现象。传统的安全控件是为了保护物理形状因素而建立的,这为安全威胁打开了大门。
1.跨云攻击
通过跨云攻击,黑客可以通过公共云访问内部部署系统和私有云系统。由恶意行为者接管的公共云中的工作负载可能导致将攻击扩散到私有云。
如果防御措施到位,风险就可以降至最低,但通过迁移到公共云,组织往往忽略了延伸到新环境的事实。然而,与内部防御相比,公共云不提供相同的安全控件,并且很难移动传统安全性。Nedbal说,对云的攻击量还正在不断增加。一旦有公开的工作负载,它就会受到攻击,公共云中的防御也比传统的内部部署控件更弱。此外,如果一个组织对其内部部署和云系统有不同的控件集,那么它可以留下黑客利用的空间。
2.跨数据中心攻击
一旦黑客击中数据中心位置,他们的下一步就是横向扩散。原因是数据中心中的交付点(PoD)之间的连接被认为是可信区域。如果攻击者攻击一个PoD,那么它就可以传播到其他连接的数据中心。
在一篇博客文章中,Nedbal建议通过一个多层防御系统发送所有流量,该系统具有与外围相似的一组安全控件。
3.跨租户攻击
在多租户环境中,黑客可以利用云租户之间的网络流量。租户可能会认为提供商已将其资产保护在云端,但实际上他们负责实施大部分防御措施。同样,通过具有适当控件的多层防御系统发送流量将降低此云威胁的风险,但它需要能够在需要的地方和时间以适当的比例放置这些控件。
4.跨工作负载攻击
云和虚拟化的工作负载可以轻松的与其他人连接。无论是在虚拟桌面、虚拟Web服务器还是数据库上,攻击者都可以访问其他工作负载。Nedbal说:“如果您将所有工作负载封锁,那么它们就是安全的,但无法执行它们设计的功能。”在博客文章中,他建议将具有类似安全要求的工作负载放在一个具有适当控制区域中,除了基本的分段之外,还可以监视流量。
5.编排攻击
Cloud Orchestration支持许多关键任务,包括配置、服务器部署、存储和网络管理、身份和权限管理以及工作负载创建。黑客通常会执行编排攻击来窃取帐户登录信息或私人加密密钥。有了这些,攻击者可以执行编排任务以基本上获得控件和访问。Nedbal说:“一旦进入,攻击者可以为自己的目的创建额外的工作负载,如加密挖掘或删除工作负载。”他们可以窃取的特权越多,所带来的伤害就越大。
Nedbal说,防范编排攻击的方法是通过监控管理员行为。编排威胁需要一种新型的安全监控,而不是传统网络安全系统的一部分,它可以寻找异常行为的异常账户模式。
6.无服务器攻击
无服务器应用程序允许组织快速启动云的功能,而无需构建或扩展基础架构。通过所谓的服务功能(FaaS),它们为黑客提供了新的机会,同时也为网络维护者带来了新的挑战。新功能可能可以访问敏感资产,如数据库。如果该功能的权限设置不正确,攻击者可能够通过该功能执行许多任务,包括访问数据或创建新帐户。与编排攻击一样,检测无服务器攻击的最佳方法是监控帐户行为,但必须与网络流量检查相结合才能生效。