来自 Web前端 2020-04-29 17:44 的文章
当前位置: 网上澳门金莎娱乐 > Web前端 > 正文

为什么云端会不断泄漏数据?

尤其是,互联网即服务(Internet-as-a-service,IaaS)的主要关注点是,在创建根账户时立即锁定它,并为即将开始的工作创建超级管理账户。他强调道,“根账户的密钥需要以永远不会丢失或泄露的方式进行管理。”

另一个常见的错误是,允许从互联网直接进行安全Shell连接,这意味着任何能找到服务器地址的人都可以绕过防火墙,直接访问数据。2019年,Palo Alto网络公司42威胁研究部在公有云中搜索暴露的服务。在发现的暴露主机和服务中,有32%提供了开放的SSH服务。报告指出:尽管SSH是最安全的一种协议,但将这项强大的服务暴露给整个互联网还是太危险了。任何错误配置或者存在漏洞/泄漏的证书都可能导致主机被攻破。

“主流的云服务提供商有理由保持缄默,不提供关于云环境配置的大量细节,这样他们就不会把自己的剧本交给潜在的对手。”

作者:Fahmida Y.Rashid是一名自由撰稿人,为CSO撰稿,其写作主题是信息安全。

检查合规性要求,以确定是否有义务使用硬件安全模块(Hardware Security Module,HSM),这是一种外部设备,用于管理和保护数字密钥以实现强身份验证,并处理加密过程。组织内部创建的治理策略,也可能还需要特定的密钥管理方法。要与法律和风险管理主管沟通协商。某些客户合同可能需要以某种方式处理密钥。销售和法律人员可以在这方面提供帮助。

越来越复杂的企业IT环境。McAfee指出,企业越来越多地采用多云环境,再加上对企业所有正在使用的云服务缺乏全面的认识,这加剧了配置错误的问题。在最近的研究中,76%的企业报告称采用了多云环境,但一项对客户数据的检查发现,实际上这些环境中有92%是多云的,每年同比增长18%。

这些问题通常很容易解决,但首先,我们需要了解为什么云中的安全服务会带来与典型的云服务不同的挑战是很有帮助的。

一般而言,只有负载均衡器和防护主机能够直接出现在互联网上。很多管理员在公共子网中使用0.0.0.0/0,错误地启用了服务器的全局权限。连接完全放开了,每台计算机都能够进行连接。

然而,云服务提供商仍然使用自己的密钥管理解决方案,这就使情况进一步复杂化。

某一天,由于基于云的系统配置错误,又发生了一起数据泄露事件。今年夏天,臭名昭著的Capital One泄露事件就是最突出的一个例子。该泄露事件是由一个配置错误的开源Web应用防火墙造成的,这家金融服务公司在其托管在亚马逊网络服务上的业务中使用了WAF。

配置不当的数据存储是一个问题,可能会导致未经授权的访问和数据丢失。事实上,Digital Shadows 最近的研究发现,有 23 亿个文件以这种方式被曝光了。CSA 全球研究副总裁 John Yeoh 表示,不幸的是,“公共”是许多云数据存储配置的默认访问设置。

CloudKnox安全公司首席执行官Balaji Parimi指出,此外,云技术最近不断进步,例如,无服务器应用程序和架构、K8s容器化的工作负载和服务,以及越来越多地使用连接各种云服务的应用程序编程接口,等等,如果不采取预防措施,也没有持续监视和调整访问权限,那么,错误配置的可能性会非常高。他补充道,人们还只是刚刚开始了解这些新的云技术和趋势非常危险的一面。他们往往根据静态角色和有关访问权限的假设,将数十年前的安全方法应用于这些新技术。

行业接受用于云密钥管理的开放 API 可能是跨 IaaS、PaaS、SaaS 和本地自建环境管理密钥的潜在解决方案。Yeoh 说。“尽可能使用客户管理的关键解决方案是 CSA 的建议之一。”

责任编辑:周星如

Cahill 大声说:“但是,云服务提供商应该在多大程度上扫描客户的环境,并就管理不善或公开的敏感数据向他们发出警告呢?这就是主要的云服务提供商真正需要努力解决的问题。”

6.深度监视

虽然数据泄露的程度可能会有所不同,并且数据可能因内部威胁、黑客攻击和员工疏忽而丢失,但所有数据泄露都包含了可能会被盗窃者轻易读取的个人身份信息。而云端发生的数据泄露,影响就会放大了,动辄几亿用户数据遭到外泄,这给企业和用户带来了不可估量的严重后果。那么,为什么云端会不断泄露数据呢?Terry Sweenry 采访了安全界的几位大佬,从各方面剖析了云端不断泄露数据的原因。

1.明了你要负责什么

云安全联盟(Cloud Security Alliance,CSA)的培训总监 Ryan Bergsma 说,“当我们发现问题时,我们就会看到客户端的配置问题。”最常见的问题是什么?他说:“我们在密钥管理、访问控制和公开数据存储方面面临许多挑战。”

所有云服务都不尽相同,要负的责任也有所不同。软件即服务供应商会确保他们的应用程序受到保护,数据被安全地传输和存储,而IaaS环境并非总是如此。例如,企业应完全负责其AWS弹性计算云、亚马逊EBS和亚马逊虚拟私有云实例,包括配置操作系统、管理应用程序、保护数据等。

未来展望

在调查的同时,McAfee还检查了数百万云用户和数十亿事件中客户匿名的、汇总的事件数据。数据显示,使用IaaS环境的企业意识到了有错误配置,但更多的是那些没有引起他们注意的错误配置,这之间存在着巨大差距。调查对象表示,他们平均每月能发现37起错误配置事件,但McAfee的客户数据显示,这些企业每月实际发生大约3500起错误配置事件,每年同比增长54%。换句话说,根据McAfee的数据,企业IaaS环境中99%的错误配置都没有被发现。

“最大的风险是关键管理组件的职责分离和数据分离,这些组件被用于跨多云服务、本地自建(on-premises)环境、云代理和管理自己密钥的客户。”他解释道。

常识与现实的脱节。2019年9月,McAfee公司对11个国家1000家企业进行的调查发现,在IaaS环境中发生了很多泄露事件,这些事件不同于人们熟悉的恶意软件渗透方法。在大多数情况下,这类泄露事件是对云环境配置错误所留下的数据进行的机会性攻击。

大多数云客户在一定程度上使用加密,这就要求他们拥有灵活、健壮的密钥管理流程。CSA 的 Yeoh 建议,公司须明确自己的要求,特别是:

2.控制谁有权访问

他说,“为了安全使用,需要与受过良好教育的架构师和开发人员对服务进行适当的管理。”他希望能看到云服务商在终端用户错误配置、服务更改和默认设置等问题加强他们的通知机制。例如,Amazon 最近发布了针对 EC2 账户的 Block Public Access 工具来解决这一问题。

5.保证环境安全仍然很重要

他补充道:

3.保护数据

时间: 2019-09-09阅读: 206标签: 数据

Gartner称:挑战不在于云本身的安全性,而在于安全方面的政策和技术,以及对技术的控制。在几乎所有情况下,是用户而不是云提供商未能管理好用于保护企业数据的控件,首席信息官的问题不应该是云是否安全?,而是我是否安全地在使用云?

访问控制

4.保护证书

ESG 的 Cahill 指出,“在云安全准备方面存在差距。企业使用云计算的程度,已远远超过了他们安全使用这些服务的能力。”

那么,云系统配置错误的问题有多严重呢?Gartner曾经做过估计:到2022年,至少95%的云安全故障都是由客户造成的,原因是错误配置和管理不善。

综上所述,CSA 的建议不仅将改善基于云端的安全服务的安全功能,还将改善所有云服务的总体安全功能。但很明显的是,这一点仍然遥遥无期。

为每一个外部服务创建唯一的密钥,并遵循最小特权原则限制对其访问,确保密钥没有太多的访问权限。密钥如果落在犯罪分子手中,可以用来访问敏感资源和数据。创建IAM角色来分配特殊特权,例如进行API调用。

然而,Bergsma 补充道,最主要的问题是允许过多的访问。“记录和实施最低权限策略是必须的。”

此外,在不断增长的IaaS市场上,激烈的竞争促使亚马逊、微软和谷歌都在各自的产品中添加了新功能。云安全联盟全球研究副总裁John Yeoh指出:仅AWS今年就增加了大约1800项功能,而其推出的第一年只有大约28项功能。因此,对于安全从业人员来说,跟上新特性和功能的快速发展是很大的挑战,而这反过来又会导致错误的配置。Yeoh说:在复杂的多云环境中,所使用的每一个平台或者服务都应该有相应的专家,以确保采取了适当的安全措施。

默认情况下的公开曝光

有很多因素导致并加剧了配置错误的问题。

据 CSA 的 Bergsma 称,访问控制,包括特权用户访问,似乎是数据泄露或丢失的最大原因。他补充说,问题的根源在于不安全的默认配置,以及对访问控制的草率维护,比如旧用户未删除,或者允许过度使用管理控制。

不要使用root用户账户,即使是要用于管理任务。使用root用户来创建具有指定权限的新用户。锁定root账户,仅用于具体的账户和服务管理任务。对于其他的账户,为用户提供适当的权限。

Bergsma 说:“对于面向公众的服务和云计算,多因素身份验证及使用多个账户来获取权限是这样的一种方式,限制账户泄漏和任何受威胁账户的访问。”

配置错误的WAF显然被允许列出所有AWS数据存储桶中的所有文件,并允许读取每个文件的内容。据安全博客Krebs称,这一错误的配置使得入侵者能够欺骗防火墙,把请求转发到AWS上的一个关键后端资源上。博文解释说,该资源负责向云服务器分发临时信息,包括从安全服务发送的当前证书,用于访问该服务器可以访问的云中的任何资源。

最具破坏性的云数据泄漏是由相同类型的常见云安全挑战和配置错误造成的,以下是你需要知道的事情。

应与IaaS供应商仔细核实谁负责每一项云安全控制措施。

Yeoh 补充说,无论加密数据是在本地还是在云端中,以一种可行的方式扩展密钥管理是客户面临的主要挑战。

此次泄露事件影响了大约1亿美国公民,大约14万个社会保险号码和8万个银行账户号码被盗,最终可能导致Capital One损失高达1.5亿美元。

密钥管理

务必定期轮换密钥,以避免攻击者有时间截获被攻破的密钥,冒充特权用户渗透到云环境中。

服务提供商的局限性

Yeoh指出,关键是:越来越复杂的IT环境使得在整个环境中很难实现简单的安全控制措施,而这些措施有助于发现并防止错误配置问题。

本文由网上澳门金莎娱乐发布于Web前端,转载请注明出处:为什么云端会不断泄漏数据?

关键词: