云安全的领域有很多需要了解和学习的,
原文来源:https://www.csoonline.com/article/3654153/common-threats-to-cloud-security.html
如有不当,还请各位师傅海涵
云身份和访问管理问题
尽管听起来有些迟钝,但云资源是复杂的。可能有一系列复杂的微服务与各种数据库、API等进行通信。因此,控制谁可以与谁交谈既非常重要又非常困难。最安全的云是默认情况下每扇门都关闭和锁定的云,这些门只会为正确的用户打开,并且有正当理由通过。
例如,SSRF 攻击
SSRF 攻击旨在利用网络(云或其他网络)中的信任和特权。他们使用恶意客户端向服务器发送请求。隐藏在该请求中的是一个触发器,它会导致服务器在网络内采取一些行动。由于服务器可以与任何资源(包括网络内部的内部资源)进行通信,因此通常在边界内受到保护的信息可能会被泄露。或者,可以强制内部服务器与外部资源进行通信,它可能假定它在其信任边界内。
这是泄露内部信息和颠覆信任边界的强大组合。SSRF 攻击特别阴险的原因在于它们通常与其他漏洞结合使用,允许攻击者在服务器上建立立足点,然后可以利用该立足点进行远程代码执行。在 2021 年曝光的广泛的Exchange 服务器漏洞利用案例中就是如此。不幸的是,无论您使用哪个公共云提供商,这种类型的攻击都是有可能的。
云元数据服务经常成为 SSRF 攻击的目标,因为它们在云中具有广泛的权限。它们允许轻松管理通常通过HTTP访问的云实例,使它们成为诱人的目标。SSRF 攻击可以诱骗实例连接其元数据服务,提供潜在的访问途径,或者诱使实例公开有价值的信息,例如帐户凭据。
无担保凭证
对于安全性如此重要的东西,凭证管理有许多令人担忧的问题。从人为错误到不安全的、已有数十年历史的身份验证协议,有很多方法会误入歧途。
常见的凭证问题
- 使用弱密码
- 硬编码凭证,而没有意识到代码最终可能会出现在可公开访问的存储库中——这些凭证也将如此
- 通过网络发送的未加密密码(或容易破解的哈希)
- 静态密码和证书——这些应该定期更改
- 缺少多因素身份验证
此外,初始访问经纪人已开始获取和出售云凭证——这些网络犯罪专家专注于获得访问权限并将其出售给出价最高的人。
配置错误
云环境中的大量配置设置及其短暂的性质使确保严格的安全规则成为一项艰巨的挑战。根据身份盗窃资源中心的说法,就人为错误而言,云配置错误是数据泄露的最常见原因。如果你深入研究所有关于重大违规的头条新闻,你会发现它出现了很多。
配置错误的存储桶位居榜首,就像这样令人疲倦的头条新闻证实了这一点。其他常见的有:
- 数据存储无加密
- 不适当的端口向互联网开放
- 糟糕的凭证做法,例如让它们处于默认状态
- 过于宽松的防火墙规则
- 关闭安全工具——故意、意外或恶意
不安全的 API
API 旨在简化云计算流程,但当不安全时,可以打开可能被不良行为者利用的通信线路。这个也经常登上头条。
网络犯罪分子被云 API 吸引的一个原因是它们已成为 IT 基础设施的规范。随着对 API 的依赖增加,攻击者发现了两种常用方法来利用它们进行恶意目的。
利用不充分的身份验证
在某些情况下,开发人员无需身份验证即可创建 API。因此,这些接口对互联网完全开放,任何人都可以使用它们访问企业系统和数据。可以把它想象成在一个社区里走来走去,直到你发现一个没有上锁的门。
利用开源软件
基于组件的软件开发方法已在 IT 世界中变得司空见惯。为了节省时间,许多开发人员将开源软件合并到他们的代码中。这可能会使许多应用程序容易受到供应链漏洞的影响。最近有一个小事件涉及您可能听说过的开源软件:Log4j。
阅读有关云 API 安全性的更多信息。
云软件供应链漏洞
虽然通常在 API 的上下文中讨论(如上所述),但供应链漏洞可以通过各种云组件引入。软件,无论是否用于云,通常由从开源库中提取的重复使用的代码块组成。如果您使用的开源软件存在漏洞,那么它现在就存在于您的软件中。
例如,接近 2021 年底,在开源 Apache 实用程序 Log4j 中发现了一个漏洞。该软件被广泛使用——从 Minecraft 到 iCloud—— Log4Shell 漏洞几乎破坏了互联网。
保护云免受供应链漏洞的影响是一项艰巨的挑战。易受攻击的软件可能已经存在了数年或数十年,并且可以进入无数其他应用程序和系统。许多组织甚至可能没有意识到他们的环境中存在漏洞。
云内部威胁
该短语用于指员工的疏忽和恶意行为,这些行为会危及组织的安全。从弱密码到错误配置,任何事情都可能引发无意的威胁。尽管有良好的人为错误可能是内幕威胁的更常见的来源,但仍有一些员工做出一些阴暗选择的例子。
加强对我们已经讨论过的所有云威胁的防御将有助于防御内部威胁——限制访问和权限、检查错误配置,以及监控可疑活动。
云环境的常见攻击
分布式拒绝服务攻击 (DOS)
拒绝服务 (DoS) 攻击是一种使目标系统过载以使其不可用的策略。DoS 攻击通过发送超出其处理能力的流量来攻击目标,导致其服务宕机——使其无法为其正常用户提供服务。分布式拒绝服务 (DDoS) 是一种 DoS 攻击,用于淹没目标的流量来自许多分布式来源。这种方法意味着不能仅仅通过阻断流量源来阻止攻击。
虽然云系统往往拥有更多资源(使它们更难拆除),但它们也可能拥有更多的用户。如果云系统被破坏,它可能会产生广泛的影响。
加密采矿
Cryptomining 恶意软件利用目标的计算资源来挖掘比特币等加密货币。该过程有时被称为加密劫持。在过去的几年里,它已成为对云基础设施最常见的攻击之一。容器管理平台等服务是攻击者的常见目标,他们经常使用安全性较差的 API 来获取访问权限。
针对加密货币攻击的云基础设施似乎呈上升趋势。2021 年底,谷歌分享了一些谷歌云账户被盗,其中 86% 被用于加密货币挖矿。其中一些还被用来扫描其他易受攻击的系统,以试图进一步传播感染。这些帐户是通过利用我们讨论过的一些安全漏洞——主要是弱(或不存在)密码和已安装软件中的供应链漏洞而受到损害。
责任共担模型
保护云环境的一个独特的复杂性是,按照共享责任模型的定义,将云服务提供商 (CSP) 负责的内容与单个组织必须为自己保护的内容划清界限。
在(非常)简化的术语中,云共享责任模型意味着 CSP 负责云的安全性,而客户负责保护他们放入云中的数据。根据部署类型(IaaS、PaaS 或 SaaS),将确定客户责任。
这也可能在检测和可见性方面带来挑战,因为攻击者的行为可能会在组织维护的云层(您可以在其中看到和检测它)和属于 CSP 的层之间移动。这有点像试图留意偶尔潜入视野之外的海豹。您永远无法确定它会在哪里弹出或在看不见的情况下做了什么。
云安全解决方案
现在我们已经了解了最大的云安全威胁,让我们来看看解决方案。以下是主要的云安全解决方案以及它们各自的作用。
CWPP 检查静态代码中的漏洞、执行系统强化并识别工作负载配置错误,所有这些都有助于降低安全风险。用例可以包括系统文件完整性监控、应用程序白名单、基于主机的防火墙、补丁和配置管理、反恶意软件扫描以及端点威胁检测和响应。
通常,CWPP 是基于代理的工具,它使用多种策略,包括网络分段、系统完整性保护、基于主机的入侵预防和检测以及反恶意软件功能。尽管它们在工作负载级别提供安全性,但 CWPP 不提供数据或应用层的覆盖。在保护容器时,CWPP 工具排除了运行时安全性,这是高级威胁检测和响应的重要组成部分。
网络检测和响应 (NDR)工具采用基于网络的方法来防御云威胁,包括保护容器。鉴于它能够检测外围内的入侵后行为,它可以实现纵深防御策略。每个工作负载都使用网络进行通信,使网络数据对安全分析师、事件响应者和法医调查员有用。
尽管基于网络的工具多年来一直用于本地安全,但过去在云环境中收集网络数据通常很困难。随着来自主要云服务提供商 (CSP) 以及第三方数据包代理的网络分路器的引入,以前与云中的 NDR 相关的大部分摩擦和复杂性已被消除。
CASB 工具可以是本地或云托管解决方案,用于监控云用户并实施 SSO、身份验证、凭证映射和加密等策略。它们位于 CSP 和用户之间。他们可以将现有的安全策略扩展到云中,并创建特定于云环境的自定义控件。它们通常用于查看 SaaS 应用程序。
SAST 工具扫描应用程序代码以识别潜在漏洞。它们是一种检测常见漏洞的可扩展方法,但可能难以识别更广泛的潜在漏洞。它们也常用于软件开发。
CSPM 是一种自动识别云配置错误的方法。它是从云基础设施安全态势评估 (CISPA) 工具演变而来的。
CIEM(不要与 SIEM 混淆)是一种在云中管理和实施访问权限的解决方案。一个有多种名称和形式的工具,它们也可以称为云权限管理解决方案或云权限管理解决方案。
