在过去一年中,我们看到索尼以及Epsilon公司遭遇了重大安全泄露事故,但在这些数据泄露事故中,云环境并不是攻击中的薄弱环节。
有些人认为Epsilon是电子邮件营销服务供应商(换句话说,就是SaaS公司),所以这次泄露事故与云环境脱不了干系,但这次攻击中,攻击者使用的是传统的钓鱼攻击来获取对电子邮件服务器的访问权限,而不是利用管理程序漏洞。
云供应商(例如Drophbox和Google)当然存在自己的问题,但与云相关的问题主要涉及系统中断,而不是数据泄露。随着越来越多的企业资源转移到云环境,我们将不可避免地听到更多与云计算相关的事故,但我们仍将看到更多针对企业内部资源的攻击事故。
这并不意味着投资于云环境的企业可以松一口气,基于云的应用程序安全测试服务供应商Veracode公司研究副总裁Chris Eng表示:“攻击者目前使用的攻击方法已经很够用,他们只需要使用相同的SQL注入攻击就可以成功发动攻击,而不需要花大量时间来开发新的攻击方法,”
黑客并不是将云视为目标
通过索尼数据泄露事故,我们发现一个令人不安的趋势:攻击者并不是将云视为目标,而是将其作为一种资源。攻击者使用偷来的信用卡来租赁Amazon EC2服务器,然后对索尼公司发动攻击。
“云计算向合法企业提供一切服务,同样也提供给攻击者,”安全监控公司Vigilant公司高级情报专家Scott Roberts表示,“越来越多的网络犯罪分子租用云基础设施来安装垃圾邮件程序(spambot)或者打造恶意软件命令以及控制基础设施。每个月只需要花50美元或者60美元,攻击者就可以利用很好的云资源。” 攻击者可以将这些廉价的基础设施加入低成本、自动化恶意软件工具包,并可以租借僵尸网络来发动攻击。
虽然攻击者目前没有专门针对云环境,但大多数专家认为他们很快将开始攻击云环境,毕竟越来越多的企业资源开始转移到云环境。“云环境本身已经是一个诱人的目标,”Eng表示,“在云环境中,数据非常集中,你只要瞄准一个供应商,就可以攻击多个企业。”
当问及为什么要抢银行时,Willie Sutton表示(虽然后来他否认了这个说法):“因为钱在那里。”现在,最重要的企业资产仍然位于企业防火墙内,以后呢?可能会转移到云环境中。
为什么云环境容易受到攻击
云环境的优势在于,主要云供应商有责任保护他们的环境,如果Amazon或者谷歌遭遇泄露事故,他们的业务将受到严重影响。
主要云供应商都清楚这一点,他们都在努力采取措施避免事故的发生。Amazon网络服务发言人Rena Lunak表示:“很早以前,网络就已经不再是物理孤岛,企业逐渐发现需要连接到其他企业,然后有了互联网,企业网络开始与公共基础设施相连接。”
为了减轻风险,很多企业正采取措施来隔离他们的流量,例如使用多协议标签交换(MPLS)链接和加密。“亚马逊在云环境对网络采取了相同的方法:我们保持数据包级的网络流量隔离,并采用行业标准的加密,”她表示,“因为亚马逊的虚拟私有云允许客户建立自己的IP地址空间,客户可以使用他们已经非常熟悉的工具和软件基础设施来监控和控制他们的云网络。”
这些听起来都很不错,但是一些常见错误(例如糟糕的身份验证方法或者开放管理端口)可能让供应商的安全保护措施付诸东流。
“迁移到云环境存在的一个问题是,你需要远程管理你的资源,”云安全供应商CloudPassage公司首席执行官Carson Sweet表示,“很多很多公司没有关闭管理端口,攻击者就是利用了这一点。”#p#
云环境如何影响你的内部网络?
Sweet指出,云环境中糟糕的安全做法可能会影响企业内部网络的安全。很多担心云威胁的企业根本不会将企业最重要的数据转移到云环境中。
在CompTIA调查的企业中,有82%的企业相信云供应商能够提供一个安全的环境,58%的企业不会将关键企业财务信息转移到云环境,56%的企业不会将信用卡数据放入云环境,将近一半的受访者拒绝将机密知识产权、商业机密或者人力资源信息放入云环境。
这里的逻辑很简单:将机密数据放在企业防火墙后面更加安全。然而,这个逻辑有一个致命的缺陷。
Sweet谈到曾经CloudPassage的一名客户(不愿意透露姓名)在云环境中部署了开发服务器,攻击者将一个工具包放到一台虚拟服务器中,当开发人员发现服务器中丢失了一些东西,于是他们将服务器带回企业环境来重新镜像,不幸的是,攻击者的攻击工具包感染了整个网络。Sweet表示:“如果你不注意的话,虚拟机可能会成为木马。”
请确保API密钥的安全
我最常听到的云安全问题是API密钥的安全。大多数企业使用API密钥来访问他们的云服务,这些密钥非常重要。
“API密钥是一个巨大的问题,”Sweet表示,“如果我知道你的API密钥在服务器的位置,我能够拿到它们,然后我就可以进入你的云环境。”
API密钥必须受到保护,我们经常会看到IT管理员将这些密钥通过电子邮件来发送给另一名管理员,或者将密钥存储在并不难被发现的配置文件中。
API密钥必须保存在一个安全的加密的位置,并且进行定期检查,必须确保只有具有正当理由的人才能访问这些密钥。另外,云经纪人可以帮你保管密钥,但你必须意识到你正在将云安全的关键部分外包给第三方。
询问云供应商的10个问题
在对云服务供应商进行评估时,请一定要问以下十个问题:
1. 你是否使用安全开发生命周期来开发你的服务?
2. 你能否证明或者提供渗透测试结果?
3. 你部署了怎样的数据保护政策?
4. 你的数据隐私政策是什么?
5. 你如何执行这些不同的政策?
6. 安全涵盖在你的SLA中吗?如果没有,为什么?
7. 你如何备份和恢复数据?
8. 你如何加密动态数据和静态数据?
9. 你如何将我的数据与别人的数据分开?
10. 我对你的日志信息有怎样的能见度?