为什么云端会不断泄漏数据?

日期:2020-05-07编辑作者:Web前端

服务提供商的局限性

1.明了你要负责什么

然而,云服务提供商仍然使用自己的密钥管理解决方案,这就使情况进一步复杂化。

6.深度监视

那么,为什么Amazon Web Services(AWS)、Microsoft Azure 和 Google 不为企业客户做更多的故障排除工作呢?每个优秀的安全从业者都知道,警惕和恐怖之间有一条微妙的界线,大多数云服务提供商都在努力确保自己不会跨越这条界线。

检查用户账户,查找那些未被使用的账户,并禁用它们。如果没有人使用这些账户,何必给攻击者留下攻击的后门呢。

大多数云客户在一定程度上使用加密,这就要求他们拥有灵活、健壮的密钥管理流程。CSA 的 Yeoh 建议,公司须明确自己的要求,特别是:

常识与现实的脱节。2019年9月,McAfee公司对11个国家1000家企业进行的调查发现,在IaaS环境中发生了很多泄露事件,这些事件不同于人们熟悉的恶意软件渗透方法。在大多数情况下,这类泄露事件是对云环境配置错误所留下的数据进行的机会性攻击。

尽管云计算服务有很多受欢迎的好处:节省成本、减少人员、提高生产率——专家称,随着信息安全专家将组织的更多安全功能转移到云端中,他们遇到了一些常规配置方面的挑战。

所有云服务都不尽相同,要负的责任也有所不同。软件即服务供应商会确保他们的应用程序受到保护,数据被安全地传输和存储,而IaaS环境并非总是如此。例如,企业应完全负责其AWS弹性计算云、亚马逊EBS和亚马逊虚拟私有云实例,包括配置操作系统、管理应用程序、保护数据等。

密钥管理

主要云供应商都提供某种级别的日志记录工具,因此一定要启用安全日志记录和监视功能,看看是否有未经授权的访问和其他问题。例如,亚马逊为审查AWS环境提供了CloudTrail,但很多企业并没有使用该服务。当启用后,CloudTrail会记录所有AWS API调用的历史,包括API调用者的身份、调用的时间、调用者的源IP地址、请求参数,以及AWS服务返回的响应数据。它还可以用于变更跟踪、资源管理、安全性分析和合规审查等。

咨询公司 Enterprise Strategy Group 高级分析师兼集团总监 Doug Cahill 表示,云服务提供商在向客户提供云安全最佳实践方面做得很好。但他们很少分享。

越来越复杂的企业IT环境。McAfee指出,企业越来越多地采用多云环境,再加上对企业所有正在使用的云服务缺乏全面的认识,这加剧了配置错误的问题。在最近的研究中,76%的企业报告称采用了多云环境,但一项对客户数据的检查发现,实际上这些环境中有92%是多云的,每年同比增长18%。

据 CSA 的 Bergsma 称,访问控制,包括特权用户访问,似乎是数据泄露或丢失的最大原因。他补充说,问题的根源在于不安全的默认配置,以及对访问控制的草率维护,比如旧用户未删除,或者允许过度使用管理控制。

某一天,由于基于云的系统配置错误,又发生了一起数据泄露事件。今年夏天,臭名昭著的Capital One泄露事件就是最突出的一个例子。该泄露事件是由一个配置错误的开源Web应用防火墙造成的,这家金融服务公司在其托管在亚马逊网络服务上的业务中使用了WAF。

这些问题通常很容易解决,但首先,我们需要了解为什么云中的安全服务会带来与典型的云服务不同的挑战是很有帮助的。

由于管理员忘记打开基本的安全控制功能,导致人为错误,是云端数据泄露的主要原因之一。无论你使用的是亚马逊网络服务、微软Azure还是谷歌云平台,请记住本文介绍的这些规则以保护企业的云工作负载。

行业接受用于云密钥管理的开放 API 可能是跨 IaaS、PaaS、SaaS 和本地自建环境管理密钥的潜在解决方案。Yeoh 说。“尽可能使用客户管理的关键解决方案是 CSA 的建议之一。”

3.保护数据

原文链接:Why Clouds Keep Leaking Data

James A. Martin是旧金山一位经验丰富的科技记者和博客写手,由于其在CIO.com上的博文而获得了2014年ASBPE国家金奖。

Bergsma 说:“对于面向公众的服务和云计算,多因素身份验证及使用多个账户来获取权限是这样的一种方式,限制账户泄漏和任何受威胁账户的访问。”

在调查的同时,McAfee还检查了数百万云用户和数十亿事件中客户匿名的、汇总的事件数据。数据显示,使用IaaS环境的企业意识到了有错误配置,但更多的是那些没有引起他们注意的错误配置,这之间存在着巨大差距。调查对象表示,他们平均每月能发现37起错误配置事件,但McAfee的客户数据显示,这些企业每月实际发生大约3500起错误配置事件,每年同比增长54%。换句话说,根据McAfee的数据,企业IaaS环境中99%的错误配置都没有被发现。

默认情况下的公开曝光

前移方法提倡在开发过程中尽早考虑安全因素,而不是在开发的最后阶段增加安全措施。McAfee的Flaherty说:企业不仅应该监控IaaS平台上的东西,还应该在平台上线前检查所有进入平台的代码。采用前移方法,能够在潜在的错误配置发展为问题之前进行审核并解决问题。寻找能够与Jenkins、K8s等其他工具相集成的安全工具,自动审核并更正过程。

“最大的风险是关键管理组件的职责分离和数据分离,这些组件被用于跨多云服务、本地自建(on-premises)环境、云代理和管理自己密钥的客户。”他解释道。

Yeoh指出,关键是:越来越复杂的IT环境使得在整个环境中很难实现简单的安全控制措施,而这些措施有助于发现并防止错误配置问题。

安全服务(及其相关配置)并不是通用性解决方案,不像其他 XaaS(X 即服务)云服务,它们中的许多云服务依赖于模块化的方法来访问和存储数据。然而,在安全性方面,客户配置是高度定制的,以便处理一些遗留系统、法规要求和组织实践的某种组合,从而保护客户、用户及其所有数据。

诚然,在当今日益复杂的多云环境中,这可能是很大的挑战。但是,要知道某个东西应该是怎样表现的,然后观察它什么时候发生变化,这要比不断地和入侵者进行打地鼠游戏容易得多。如果你非常了解自己的环境,并且知道预期会发生什么,那就能够更有效地检测出错误配置等威胁,并主动补救风险。归根结底,安全在于深度监视,而不是控制。

他说,“为了安全使用,需要与受过良好教育的架构师和开发人员对服务进行适当的管理。”他希望能看到云服务商在终端用户错误配置、服务更改和默认设置等问题加强他们的通知机制。例如,Amazon 最近发布了针对 EC2 账户的 Block Public Access 工具来解决这一问题。

主要云供应商都会提供身份识别和访问控制工具,请使用它们,应知道谁在何时访问了哪些数据。在创建身份识别和访问控制策略时,把最高权限限制在最小范围内,只在需要时临时授予额外权限。尽可能把安全组配置为最窄安全权限,并在可能的情况下使用参考安全组ID。考虑使用CloudKnox之类的工具,这些工具支持企业根据用户活动数据设置访问控制权限。

“主流的云服务提供商有理由保持缄默,不提供关于云环境配置的大量细节,这样他们就不会把自己的剧本交给潜在的对手。”

为每一个外部服务创建唯一的密钥,并遵循最小特权原则限制对其访问,确保密钥没有太多的访问权限。密钥如果落在犯罪分子手中,可以用来访问敏感资源和数据。创建IAM角色来分配特殊特权,例如进行API调用。

尤其是,互联网即服务(Internet-as-a-service,IaaS)的主要关注点是,在创建根账户时立即锁定它,并为即将开始的工作创建超级管理账户。他强调道,“根账户的密钥需要以永远不会丢失或泄露的方式进行管理。”

企业应控制好谁可以使用他们的云服务。例如,根据Redlock云安全情报部门2018年5月的研究,超过一半的企业意外地暴露了至少一项云存储服务,例如,AWS S3存储驱动器。尽管亚马逊和其他云提供商都警告说,应避免任何有互联网连接的人访问存储驱动器内容。

然而,Bergsma 补充道,最主要的问题是允许过多的访问。“记录和实施最低权限策略是必须的。”

2.控制谁有权访问

检查合规性要求,以确定是否有义务使用硬件安全模块(Hardware Security Module,HSM),这是一种外部设备,用于管理和保护数字密钥以实现强身份验证,并处理加密过程。组织内部创建的治理策略,也可能还需要特定的密钥管理方法。要与法律和风险管理主管沟通协商。某些客户合同可能需要以某种方式处理密钥。销售和法律人员可以在这方面提供帮助。

以下介绍的是企业应采用的7种云安全控制举措。

这就是为什么许多客户转向使用第三方密钥管理代理的原因。但这并适用于所有的客户,更不用说增加另一家服务商来管理,并支付费用。

编译:Charles

他补充道:

5.保证环境安全仍然很重要

虽然数据泄露的程度可能会有所不同,并且数据可能因内部威胁、黑客攻击和员工疏忽而丢失,但所有数据泄露都包含了可能会被盗窃者轻易读取的个人身份信息。而云端发生的数据泄露,影响就会放大了,动辄几亿用户数据遭到外泄,这给企业和用户带来了不可估量的严重后果。那么,为什么云端会不断泄露数据呢?Terry Sweenry 采访了安全界的几位大佬,从各方面剖析了云端不断泄露数据的原因。

应与IaaS供应商仔细核实谁负责每一项云安全控制措施。

ESG 的 Cahill 指出,“在云安全准备方面存在差距。企业使用云计算的程度,已远远超过了他们安全使用这些服务的能力。”

不过,Threat Stack公司的首席安全官Sam Bisbee指出,仅有前移方法还不够。Bisbee说:应该在运行前扫描代码并执行配置检查,但人们往往忘记检查工作负载在投入运行后是否符合要求。如果根据我当时知道的情况,进行了扫描,然后部署我的代码,这样是可以的。但是工作负载会持续运行数月甚至数年,会发现新的漏洞,并且随着时间的推移,代码中的风险也会增加。如果不持续监控,就不会受到保护。

云安全联盟(Cloud Security Alliance,CSA)的培训总监 Ryan Bergsma 说,“当我们发现问题时,我们就会看到客户端的配置问题。”最常见的问题是什么?他说:“我们在密钥管理、访问控制和公开数据存储方面面临许多挑战。”

责任编辑:周星如

时间: 2019-09-09阅读: 206标签: 数据

一般而言,只有负载均衡器和防护主机能够直接出现在互联网上。很多管理员在公共子网中使用0.0.0.0/0,错误地启用了服务器的全局权限。连接完全放开了,每台计算机都能够进行连接。

配置不当的数据存储是一个问题,可能会导致未经授权的访问和数据丢失。事实上,Digital Shadows 最近的研究发现,有 23 亿个文件以这种方式被曝光了。CSA 全球研究副总裁 John Yeoh 表示,不幸的是,“公共”是许多云数据存储配置的默认访问设置。

7.采用前移方法以保证安全

本文由www.129028.com金沙发布于Web前端,转载请注明出处:为什么云端会不断泄漏数据?

关键词:

自己动手实现一个axioswww.129028.com金沙:

有很多同学看了本系列的前几篇之后建议我暂时先不用TS,于是小肆之后将把TS换成JS继续下面的文章。今天给大家带...

详细>>

vue使用slot分发内容与react使用prop分发内容

时间: 2019-09-09阅读: 95标签: propvue 前言 将slot元素作为承载分发内容的出口 有echarts使用经验的同学可能遇到过这样的...

详细>>

ES6+ 中对象解构小技巧

3.解构中的 rest(变量由多变少) 与spread(变量由少变多) 对象解构不仅可以用于变量声明,还可以用于变量赋值 : let ...

详细>>

JS如何提高扩展运算符的性能?

时间: 2019-08-04阅读: 175标签: 性能 在这篇文章中,我们会进行一个有趣的测试,看看我们如何提高扩展运算符的性能。...

详细>>