保護(hù)共享技術(shù)的云安全貼士

責(zé)任編輯:jackye

作者:litao984lt編譯

2016-07-26 09:55:26

摘自:機(jī)房360

云服務(wù)提供商和企業(yè)安全管理人員應(yīng)確保在基礎(chǔ)設(shè)施層面客戶的數(shù)據(jù)和系統(tǒng)是被隔離的。企業(yè)客戶的安全管理人員可以通過(guò)了解風(fēng)險(xiǎn),并選擇最佳的安全解決方案,以實(shí)現(xiàn)項(xiàng)目目標(biāo),安全地為企業(yè)重要的業(yè)務(wù)提供解決方案。

公共云服務(wù)解決方案仍然還將繼續(xù)保持其強(qiáng)勁的增長(zhǎng)勢(shì)頭,因?yàn)樗麄兛梢钥焖俚膶?shí)現(xiàn)部署實(shí)施,有比私有云更低的成本,而且僅僅只需企業(yè)組織的IT工作人員提供最少的支持。然而,無(wú)論任何時(shí)候,只要是多個(gè)客戶共享一個(gè)資源,包括諸如一項(xiàng)服務(wù)、硬件、或數(shù)據(jù)存儲(chǔ)都總是存在風(fēng)險(xiǎn)的。而在本文中,我們將為廣大讀者朋友們介紹關(guān)于在多租戶環(huán)境下保護(hù)您企業(yè)的數(shù)據(jù)和工作流程的可操作的技巧。

根據(jù)一家領(lǐng)先的安全產(chǎn)業(yè)集團(tuán)云安全聯(lián)盟所發(fā)表的一份白皮書介紹說(shuō),云服務(wù)供應(yīng)商和他們的企業(yè)客戶必須采取相應(yīng)的措施,以確保攻入某一個(gè)客戶環(huán)境中的攻擊者不能危害到其他另一家的企業(yè)客戶。而根據(jù)這份題為《2016年度十二大最主要的云計(jì)算安全威脅》報(bào)告指出,企業(yè)組織的安全管理人員們還必須承諾提供一套強(qiáng)大的整體性的安全方案。“哪怕是一個(gè)小小的單一的安全漏洞或是一項(xiàng)錯(cuò)誤的配置,均有可能會(huì)導(dǎo)致整個(gè)云服務(wù)供應(yīng)商所托管的所有客戶的全軍覆沒。”該份白皮書報(bào)告說(shuō)。

自從其于2010年發(fā)表其第一份云安全清單以來(lái),共享技術(shù)——無(wú)論其是一款虛擬機(jī)管理程序、應(yīng)用程序(SaaS)、基礎(chǔ)設(shè)施(IaaS)、或平臺(tái)(PaaS)都一直是云安全聯(lián)盟(CSA)最為關(guān)心的問題。

“一個(gè)整體的共享技術(shù)陷入風(fēng)險(xiǎn),諸如虛擬機(jī)管理程序、一個(gè)共享的平臺(tái)組件、或在一個(gè)SaaS環(huán)境下的應(yīng)用程序被暴露在風(fēng)險(xiǎn)之中,就不僅僅會(huì)危害其顧客;相反,其暴露了整個(gè)環(huán)境陷入危險(xiǎn)和被破壞的可能性。這樣的安全漏洞是相當(dāng)危險(xiǎn)的,因?yàn)槠溆锌赡軙?huì)立即影響到整個(gè)云計(jì)算。”這份白皮書解釋說(shuō)。即使已經(jīng)采取了一切的預(yù)防措施,企業(yè)組織仍然不應(yīng)該讓其高度敏感的工作負(fù)荷依賴于共享的技術(shù)。綜合考慮各種云服務(wù)模式的部署

云技術(shù)是通過(guò)互聯(lián)網(wǎng)訪問簡(jiǎn)單的應(yīng)用程序、基礎(chǔ)設(shè)施和平臺(tái)。下面,就讓我們來(lái)分析考慮一下頂級(jí)的云部署模型吧:


 

無(wú)論任何時(shí)候,只要是多個(gè)客戶共享一個(gè)資源,包括諸如一項(xiàng)服務(wù)、硬件、或數(shù)據(jù)存儲(chǔ)都總是存在風(fēng)險(xiǎn)的。然而,公共云服務(wù)解決方案仍然將繼續(xù)保持其強(qiáng)勁的增長(zhǎng)勢(shì)頭,因?yàn)樗麄兛梢钥焖俚膶?shí)現(xiàn)部署實(shí)施,有比私有云更低的成本,而且僅僅只需企業(yè)組織的IT工作人員提供最少的支持。

為了確定適合一家企業(yè)組織的最佳部署云模型,其安全管理人員們首先應(yīng)該檢查項(xiàng)目預(yù)算、企業(yè)數(shù)據(jù)庫(kù)的類型、為每種數(shù)據(jù)類型定義其安全需求、比較可行的解決方案的安全性。而在確定了哪些類型的數(shù)據(jù)信息可以被適當(dāng)?shù)卮鎯?chǔ)在公共云服務(wù)后,管理員們將需要確定服務(wù)供應(yīng)商是否能夠在一款公有云服務(wù)內(nèi)為客戶的數(shù)據(jù)和系統(tǒng)提供充分的隔離。

隔離客戶的數(shù)據(jù)和系統(tǒng)

一家云服務(wù)提供商必須在基礎(chǔ)設(shè)施層面仔細(xì)的為每一家企業(yè)客戶的數(shù)據(jù)和系統(tǒng)進(jìn)行有效的隔離。在多租戶環(huán)境中,云服務(wù)提供商必須確保攻擊者無(wú)法越過(guò)一款操作系統(tǒng)的一個(gè)實(shí)例,在服務(wù)器上獲得管理員級(jí)別的權(quán)限,并在該服務(wù)器上訪問其他另一個(gè)客戶的實(shí)例。

因?yàn)榇蠖鄶?shù)這些弱點(diǎn)都被限制在一個(gè)特定的平臺(tái)或非默認(rèn)的配置中,故而多租戶的漏洞通常的覆蓋范圍是有限的。然而,在2015年,一位來(lái)自安全技術(shù)公司CrowdStrike的研究人員發(fā)現(xiàn)了一個(gè)有著更廣泛影響的漏洞。該“毒液(VENOM)”漏洞影響了全球數(shù)百萬(wàn)虛擬化平臺(tái)的默認(rèn)配置,并允許攻擊者使用root級(jí)別的特權(quán)在受害者的虛擬機(jī)管理程序或虛擬機(jī)實(shí)例上執(zhí)行代碼。 “除了能夠訪問敏感的和個(gè)人身份信息,該毒液漏洞還可以用來(lái)公開訪問企業(yè)組織的知識(shí)產(chǎn)權(quán)。”CrowdStrike 公司在報(bào)告中稱。該bug通過(guò)一個(gè)軟件更新被打了補(bǔ)丁。

據(jù)推測(cè),大約有數(shù)千家使用受影響的技術(shù)的企業(yè)組織成為了受害者,但沒有任何一家公開披露了該事故。企業(yè)組織經(jīng)常都是靜悄悄地處理了他們的數(shù)據(jù)泄露事件,以保護(hù)他們的聲譽(yù)和保留客戶的信任。

在多租戶環(huán)境中的攻擊可能是從某個(gè)客戶環(huán)境開始的,如像毒液漏洞這種,或者可能是集中在最初原本不是為強(qiáng)劃分設(shè)計(jì)的共享元素。這些包括磁盤分區(qū),GPU和CPU緩存。

建議:專注于邏輯隔離

開源Web應(yīng)用程序安全項(xiàng)目(OWASP)在其自己的十大云安全風(fēng)險(xiǎn)中指出:共享技術(shù)和多租戶環(huán)境的安全性應(yīng)該主要集中在客戶環(huán)境的邏輯隔離上。例如,安全管理人員應(yīng)該:

確定企業(yè)數(shù)據(jù)是否與來(lái)自其他企業(yè)客戶的數(shù)據(jù)或數(shù)據(jù)備份夾雜在一起,這會(huì)使得很難或無(wú)法妥善的進(jìn)行數(shù)據(jù)的存檔或銷毀。

要求供應(yīng)商確保托管在同一物理服務(wù)器上的所有客戶保持類似的安全態(tài)勢(shì),使得攻擊者無(wú)法通過(guò)較弱的企業(yè)客戶的云服務(wù)進(jìn)入,并泄漏到更安全的企業(yè)客戶的云。

建議:執(zhí)行安全審計(jì)

OWASP建議,企業(yè)組織的安全管理人員們必須對(duì)其云環(huán)境的安全進(jìn)行安全審計(jì)或評(píng)估,部分的涉及到對(duì)于所有層(操作系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用程序、數(shù)據(jù)庫(kù))的訪問管理權(quán)限。審計(jì)工作還應(yīng)該包括對(duì)于架構(gòu)、數(shù)據(jù)加密和變更管理的審查。如果云服務(wù)提供商不允許企業(yè)客戶進(jìn)行安全審計(jì),那么,OWASP建議企業(yè)客戶應(yīng)該要求由獨(dú)立的第三方來(lái)進(jìn)行安全測(cè)試。

該安全審計(jì)將有助于幫助企業(yè)用戶確定其云服務(wù)提供商是否是遵循了業(yè)界的最佳實(shí)踐方案,如是否對(duì)于操作系統(tǒng)和應(yīng)用程序及時(shí)打補(bǔ)丁和更新。而一項(xiàng)安全審計(jì)或許還能夠揭示某些令人奇怪的云服務(wù)提供商有控制權(quán)限,而企業(yè)客戶卻沒有的領(lǐng)域。例如,許多流行的云服務(wù)提供商提供了最先進(jìn)的備份和災(zāi)難恢復(fù)選項(xiàng)。此外,許多云服務(wù)提供商提出發(fā)生服務(wù)故障中斷會(huì)部分的退款,來(lái)?yè)?dān)保其正常運(yùn)行時(shí)間。即使沒有進(jìn)行正式的安全審核,許多企業(yè)客戶也需要云服務(wù)供應(yīng)商在采購(gòu)過(guò)程中完成全面的安全和隱私調(diào)查問卷。

通過(guò)對(duì)云服務(wù)提供商實(shí)施問責(zé),企業(yè)客戶的安全管理人員們可以有效的管理那些有人可能會(huì)干擾其云服務(wù)或網(wǎng)絡(luò)運(yùn)營(yíng)的風(fēng)險(xiǎn)。而為了進(jìn)一步保護(hù)企業(yè)的系統(tǒng),企業(yè)客戶應(yīng)遵循一系列的安全最佳實(shí)踐方案,以保護(hù)云服務(wù)和現(xiàn)場(chǎng)數(shù)據(jù)信息。

確保一個(gè)多租戶環(huán)境的安全

必須對(duì)多租戶環(huán)境進(jìn)行設(shè)計(jì),開發(fā),部署和配置,以確保用戶的訪問是經(jīng)由服務(wù)供應(yīng)商和企業(yè)客戶進(jìn)行了適當(dāng)?shù)姆指畹模M(jìn)而能夠與其他租戶隔離開來(lái),根據(jù)CSA推薦。企業(yè)客戶的關(guān)鍵業(yè)務(wù)資產(chǎn)和敏感的用戶數(shù)據(jù)必須被隔離,相關(guān)的會(huì)話也必須妥善管理。

在這份《2016年度十二大最主要的云計(jì)算安全威脅》白皮書中,CSA建議企業(yè)客戶不妨使用下列最佳實(shí)踐方案:

基于角色的最小訪問需求限制用戶訪問

在所有主機(jī)上使用多因素認(rèn)證

實(shí)施基于主機(jī)的入侵檢測(cè)系統(tǒng)(HIDS)

使用基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS)

建立優(yōu)秀的企業(yè)網(wǎng)絡(luò)分割

要求供應(yīng)商或服務(wù)商為變更管理流程強(qiáng)制執(zhí)行指定的服務(wù)水平協(xié)議,發(fā)布修補(bǔ)程序和配置變化

OWASP指出,企業(yè)客戶應(yīng)該要求強(qiáng)大的加密和客戶自有的加密密鑰管理。換言之,云服務(wù)供應(yīng)商不應(yīng)該擁有對(duì)于加密密鑰的管理。此外,CSA建議在其控制文件中,服務(wù)供應(yīng)商和企業(yè)客戶應(yīng)該建立起相應(yīng)的政策和程序:

為數(shù)據(jù)和數(shù)據(jù)容器進(jìn)行標(biāo)記、處理和加強(qiáng)安全

使用加密協(xié)議來(lái)保護(hù)存儲(chǔ)的敏感數(shù)據(jù)和傳輸中的數(shù)據(jù)

管理用戶訪問,以確保適當(dāng)?shù)纳矸荨⑹跈?quán)和訪問管理。重點(diǎn)領(lǐng)域應(yīng)包括帳戶設(shè)置、訪問分割、身份信任驗(yàn)證、帳戶憑據(jù)的生命周期管理、認(rèn)證、授權(quán),計(jì)費(fèi)和多租戶的標(biāo)準(zhǔn)。

維護(hù)、保留和管理審計(jì)日志的生命周期

監(jiān)控用戶的訪問,以檢測(cè)潛在的可疑網(wǎng)絡(luò)行為或文檔的完整性異常,并支持對(duì)于安全漏洞事件的調(diào)查

通過(guò)諸如脆弱性評(píng)估和滲透測(cè)試等措施,及時(shí)檢測(cè)應(yīng)用程序、網(wǎng)絡(luò)和系統(tǒng)組件的安全漏洞

正式的變更管理包括供應(yīng)商提供的補(bǔ)丁,配置的變化或企業(yè)組織內(nèi)部開發(fā)軟件的變化

一般的安全控制有助于安全共享技術(shù)

云服務(wù)面臨著許多與傳統(tǒng)的現(xiàn)場(chǎng)技術(shù)相同的安全威脅。這些安全威脅包括網(wǎng)絡(luò)釣魚、攻擊者所設(shè)計(jì)的假扮為受信任一方,以吸引企業(yè)用戶打開一個(gè)惡意網(wǎng)站或附件的計(jì)劃。一個(gè)惡意的鏈接或附件在用戶自己的電腦上打開,而不是在云應(yīng)用程序中打開,這樣就會(huì)使得整個(gè)企業(yè)網(wǎng)絡(luò)處于安全風(fēng)險(xiǎn)之中。

因此,一些對(duì)于多租戶的建議不僅僅是與多租戶環(huán)境相關(guān)的。例如,一旦某個(gè)攻擊者進(jìn)入了企業(yè)網(wǎng)絡(luò)內(nèi)部,某些實(shí)踐方案,如網(wǎng)絡(luò)分段就能夠通過(guò)阻礙攻擊者在企業(yè)網(wǎng)絡(luò)的移動(dòng)改善企業(yè)組織的整體安全狀況。

為高度敏感的工作流程考慮采用私有云

安全研究人員警告說(shuō),公有云服務(wù)并不適合企業(yè)組織的那些高度敏感的數(shù)據(jù)和工作流程,即使已經(jīng)遵循了所有的最佳實(shí)踐方案。對(duì)于這些情況,安全研究員丹·卡明斯基推薦企業(yè)可以采用一款私有云。“如果您企業(yè)會(huì)有這樣一種能夠從別的企業(yè)服務(wù)器跳到您企業(yè)服務(wù)器的bug的話,避免的最好方式便是不要讓其他人能夠在你的服務(wù)器上。”卡明斯基說(shuō)。“這樣做的成本會(huì)更高,但您基本上避免了被惡意攻擊的風(fēng)險(xiǎn)。”

結(jié)論

為了更好地保護(hù)您企業(yè)組織的數(shù)據(jù)和工作流程,安全管理人員們必須權(quán)衡每種類型的數(shù)據(jù)權(quán)衡安全需求,以及各種不同的部署模型和解決方案的安全保護(hù)功能,同時(shí)認(rèn)識(shí)到即使是最安全的技術(shù)也會(huì)伴隨著相應(yīng)的安全風(fēng)險(xiǎn)。如下是幾點(diǎn)值得借鑒的:

云服務(wù)提供商和企業(yè)安全管理人員應(yīng)確保在基礎(chǔ)設(shè)施層面客戶的數(shù)據(jù)和系統(tǒng)是被隔離的。

企業(yè)客戶的安全管理人員應(yīng)該要求對(duì)云服務(wù)供應(yīng)商的安全進(jìn)行審計(jì);或在選擇供應(yīng)商的過(guò)程中要求云服務(wù)供應(yīng)商提供完整的安全和隱私問卷或?qū)⒃搯柧碜鳛槎ㄆ诤贤瑢彶榈囊徊糠帧?/p>

無(wú)論是云服務(wù)供應(yīng)商還是企業(yè)客戶都必須制定并嚴(yán)格遵守全面的安全管理政策和程序。因?yàn)樵品?wù)是從用戶的企業(yè)筆記本電腦或機(jī)器上使用的,那些提高了企業(yè)的總體安全狀況的安全解決方案將有助于保護(hù)其避免額外的云安全風(fēng)險(xiǎn)。

對(duì)于高度敏感的工作流程,一款私有云服務(wù)將在一臺(tái)專用的服務(wù)器上為一家單獨(dú)的企業(yè)用戶提供服務(wù),其將會(huì)是比一款公共云或混合云更為安全的選擇。

企業(yè)客戶的安全管理人員可以通過(guò)了解風(fēng)險(xiǎn),并選擇最佳的安全解決方案,以實(shí)現(xiàn)項(xiàng)目目標(biāo),安全地為企業(yè)重要的業(yè)務(wù)提供解決方案。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)