目前许多组织都遭遇了网络攻击,这表明云计算的安全是一个复杂的技术和合同问题。
在最近发生的主要云安全事件中,Capital One公司的数据泄露事件影响了美国的1亿人和加拿大的600万人。 其实,Capital One公司并不是唯一遭遇网络攻击的公司。 与此同时,黑客Paige A. Thompson窃取了其他30多家公司、教育机构和其他实体的数TB数据。
正如这位被指控的网络攻击者对AWS的构成所述,“很多组织在安全方面都是错误的。 ”
那么,只有这家公司在安全方面有重大失误吗? 不,这个事件和别人不一样。 首先有几件事需要知道。 调查显示,Capital One公司的业务严重依赖亚马逊网络服务( AWS )的云计算服务。 然后,网络攻击将通过存储在亚马逊简单存储服务器( S3存储桶)上的数据进行。 但由于防火墙设置错误,此次攻击不是在没有任何安全措施的情况下对S3内存进行的攻击。
简而言之,这些违规行为并不是因为企业犯了愚蠢的安全错误,而是因为它们在维护自身安全方面表现得非常糟糕。
由于Capital One的modsecurity web APP防火墙( WAF )配置错误,网络攻击者(原AWS人员)欺骗防火墙,将请求转发给重要的AWS后端资源攻击者使用服务器端请求伪造( SSRF )攻击欺骗防火墙使攻击者进入。
人们今后会看到更多这样的攻击吧。 正如Cloudflare公司产品安全团队的经理Evan Johnson所说:“这个问题很常见,大家都知道,但很难预防,AWS平台没有任何应对和缓解措施。”
因此,很明显,很多人可以归咎于AWS公司的公共云服务。 但是正如所谓的攻击者自己就AWS的配置所说的那样,很多公司在这方面是错误的。 正如Gartner在调查报告中预测的那样,“云安全故障的95%都是客户的错。 ”
但是,也有人像参议员Ron Wyden一样,把这次数据泄露的大部分责任推给了AWS公司。 AWS公司确实需要为此做出解释,但真正的问题是如果企业安全措施不到位,在遭遇攻击时会蒙受巨大损失。 此外,采用的云服务规模越大,损失就越大。
正如安全专家Brian Krebs指出的那样,此漏洞不是由先前未知的“零第”缺陷或内部攻击造成的,而是由使用众所周知错误的攻击造成的。
但是,在这一系列的安全灾害事件中,谁真的犯了安全错误呢? 您是云计算提供商还是使用云服务的公司? 答案是他们有责任。
云安全共享责任模型的客户和云计算提供商分别负责云堆栈的不同部分。 这一概念称为共享责任模型( SRM )。 快速思考这种模式的方法是云计算提供商需要负责云平台的安全,采用云平台的用户需要负责云中的业务安全。
AWS和Microsoft Azure公司明确支持这种模式。 但所有公共云都在不同程度上使用,为企业目前处理云安全的技术和合同方法奠定了基础。
从最基本的层面来说,这意味着公司有责任管理流程级别以上的所有内容。 其中包括客户操作系统、APP应用软件、云计算实例防火墙以及传输和空闲加密数据。 云计算提供商负责主机操作系统、虚拟化层及其设备的物理安全。 当然在现实世界里,没这么简单。 人们需要了解最新的安全事件。
AWS表示:“安全和合规是AWS和用户之间的共同责任。 该共享模式有助于减轻用户的运营负担。 因为AWS公司可以运行、管理和控制从主机操作系统和虚拟化层到组件的物理安全组件,以及服务运营设施。 客户将承担操作系统责任和管理(包括更新和安全补丁)、其他相关APP应用程序以及AWS提供的安全组防火墙配置。 ’对Capital One公司来说,他们没有正确安装防火墙。 但是,获取AWSid和访问管理( IAM )角色的临时证书变得简单了。 有了这些临时证书,进行服务器端请求伪造( SSRF )攻击就比较容易了。
约翰逊声称,有几种方法可以减少临时证书的使用。 Netflix公司还表示企业可以在AWS云平台上发现临时安全证书的使用。 AWS公司可以更好地锁定防火墙,但Capital One公司会首先安装防火墙。 简而言之,这一切都相当混乱。
这不足为奇。 正如业内专家指出的,云的安全要求被视为范围。 云计算服务客户适用于该组织的所有法规、行业、业务要求( GDPR、PCI DSS、合同等),其总和等于该组织的所有特定安全要求。 这些安全要求有助于确保数据的机密性、完整性和可用性。
安全要求的范围之一是云计算服务提供商,另一个是采用云计算服务的用户。 提供商负责这些安全要求的一部分,用户对其馀部分负责,但需要满足一些安全要求。 云计算服务提供商和使用云服务的用户有义务保护数据。
但是,明确谁负责什么的界限也不容易。 没有适合所有云平台安全性的解决方案。 例如,如果使用软件即服务( SaaS )办公室套件(如Google的GSuite ),显然是由Google而不是用户负责的。 在平台资产服务( PAAs )中运行您自己的APP应用程序可以同时承担该程序运行的可靠性和责任。 如果仔细观察,您会发现AWS公司提供了三种不同的共享责任模式( SRM )。 这些是基础设施服务、集装箱服务和抽象服务。 Azure和其他公共云运营商也有类似的安全策略设置。
基础架构包括计算服务(如EC2 )和支持服务(如灵活块存储( EBS )、自动扩展和虚拟专用网络( VPC ) )。 使用此模型,用户可以在AWS云平台上安装和配置操作系统和平台,就像在本地部署或在自己的数据中心部署一样。 除此之外,还可以安装APP。 最终,用户可以将数据驻留在自己的APP应用程序中,并自行管理APP应用程序。
容器服务与docker和类似的技术几乎没有关系,这些技术在用户考虑容器时会浮现在脑海中。 相反,这些服务通常在单独的亚马逊ec2或其他基础架构实例上运行,但用户可能不需要管理操作系统或平台层。
AWS提供托管服务,但用户负责配置和管理网络控制(如防火墙规则),以及与身份和访问管理( IAM )分开管理平台级身份和访问管理。 容器服务的示例包括亚马逊关系数据库服务( Amazon RDS )、亚马逊灵活映射还原( Amazon EMR )和AWS Elastic Beanstalk。
在这里,AWS公司管理着基础设施和基础设施服务、操作系统和APP应用平台。 例如,使用亚马逊rds AWS管理包括Oracle数据库平台的容器的所有层次结构。 但是,AWS平台提供了数据备份和恢复工具。 用户的工作是维护业务连续性和灾难恢复策略。 我还负责数据和防火墙规则。 因此,亚马逊rds提供了防火墙软件,其工作是管理防火墙。
抽象服务是高级存储、数据库和消息传递服务。 这些包括亚马逊简单存储服务(亚马逊S3 )、亚马逊动态数据库和亚马逊简单电子邮件服务。 它们将抽象出允许用户构建和运行云APP应用程序的平台或管理层。 您可以使用AWS API执行此操作。 AWS公司管理着底层服务组件或操作系统。
在此,用户的安全活动使用身份及接入管理( IAM )工具来管理数据,还可以将访问控制列表( ACL )的权限应用于平台级的个别资源,或者使用身份及接入管理( IAM )的权限
让我们看一个简单的例子。 亚马逊将amazonelasticcomputecloud ( amazone C2 )归类为基础设施即服务( IaaS )云平台。 这样,用户就可以通过客户操作系统(包括更新和安全补丁)、安装在实例中的APP应用软件或实用程序以及AWS的每个实例提供的防火墙(例如但是,您必须使用亚马逊S3运行基础架构层、操作系统和平台,以便客户可以访问端点来存储和检索数据。 用户负责管理包括加密选项在内的数据、对资产进行分类,以及使用身份和访问管理( IAM )应用相应权限的工具。
你明白那个的要点了吗? 两者都是基础设施即服务,但有不同的规则。
这话的意思是,用户必须仔细考虑所有云计算存储资源管理服务( SRM )服务协议。 但是,虽然您需要准确了解要使用的每个服务的内容,以及谁负责每个服务,但基本概念并不复杂。 云计算提供商负责云平台的安全,用户负责云平台业务的安全。
未来云计算的复杂性不断提高的云计算混淆了共享资源模式( SRM )的内容。 例如,AWS公司目前提供AWS Lambda。 这是一种无服务器云计算方法,用户可以在不配置或管理服务器的情况下执行代码。 因此,如果没有服务器,谁来负责服务器? 亚马逊公司表示,采用Lambda,AWS公司管理基础设施和基础设施服务、操作系统和APP应用平台。 用户负责代码安全性、敏感数据的存储和可访问性、身份和访问管理( IAM )。
这留下了问题。 例如,既然用户使用Lambda运行代码,那么代码的责任在哪里终止,Lambda的责任从哪里开始? 正如Gadi Naor首席技术官和全堆栈云本机安全平台提供商Alcide的联合创始人所言:“使用无服务器体系结构意味着组织有了新的盲点。 但是,这是因为您将无法访问体系结构操作系统,无法向这些工作负载添加防火墙,也无法使用基于主机的入侵防护和工作负载保护工具。 ”
这只是个开始。 例如,Kuberrnetes同时在多个云平台上运行混合云。 那么,如果用户运行的是新的基于Red Hat的IBM云平台和跨AWS的程序,谁负责保护整个项目? 如果出现问题,谁负责? 最后但最不重要的是,最终用户提起诉讼时谁来支付费用? 这是个非常好的问题。 人们进入的这个新的复杂的云的世界,还没有好的答案。
那么,用户能做什么? 首先,确保了解自己的云安全需求。 在选择云计算服务提供商并知道什么对自己有用之前,无法创建云安全协议。 这些不仅仅是技术问题。 这些也是值得关注的法律问题。
这些信息允许用户与云计算提供商签订安全协议。 这必须在服务级别协议中明确规定。
最后,无论合同内容如何,用户及其安全人员都必须尽可能地确保基于云计算的数据和服务安全。 毕竟,这是自己的数据和工作,如果有问题,就要承担无法借口的责任。
来源:企业网D1Net