本文來自微信公眾號“安全內(nèi)參”。
隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入,越來越多的企業(yè)依賴多個云服務(wù)商,云安全問題日益復雜和嚴峻,云宕機或數(shù)據(jù)泄露導致的業(yè)務(wù)停頓不但意味著財務(wù)和聲譽的巨大損失,甚至會給企業(yè)帶來滅頂之災。
近年來,全球云計算巨頭如亞馬遜、阿里云和微軟Azure接連遭遇了影響廣泛的安全漏洞和宕機事故,尤其是最近發(fā)生的網(wǎng)易云停頓事件再次引發(fā)了業(yè)界對云安全和可靠性問題的深刻反思。
云計算環(huán)境看似是現(xiàn)有業(yè)務(wù)的無縫擴展,但實際操作中,各個云團隊分布廣泛,有時可能與網(wǎng)絡(luò)安全團隊的需求背道而馳,這使得云計算的安全問題更加難以察覺和處理,產(chǎn)生大量安全盲區(qū)。
以下,是CISO最容易忽視或輕視的八個云安全問題:
一、隱形威脅:臨時性資源
臨時性資源在云計算中的使用越來越頻繁,例如短暫存儲實例或動態(tài)資源分配,這些資源存在時間很短,通常只執(zhí)行特定功能后就終止。然而,這些短暫資源雖然壽命短,卻極難掃描,成為隱藏惡意軟件的理想場所。一旦被攻破,它們便可成為攻擊者的溫床,為惡意活動提供暫時的庇護,而不會留下太多可供法證分析的痕跡。
二、云環(huán)境中的IT資產(chǎn)清點
很多安全專家過去在本地數(shù)據(jù)中心中進行IT資產(chǎn)清點時,常因操作過于復雜而避之不及。如今,在云端清點資產(chǎn)變得更加簡單,幾乎沒有借口可以再回避這個問題。云計算中的一切都可視作API,這使得清點資源變得更加高效和自動化。通過快照API,企業(yè)可以掃描服務(wù)器上的應(yīng)用程序和庫,無需擔心掃描過程對性能的影響。
三、用云服務(wù)賬單監(jiān)測攻擊
云服務(wù)賬單可用于監(jiān)測攻擊,因為有些攻擊者并不滿足于竊取數(shù)據(jù)或發(fā)動DDoS攻擊,他們通過增加企業(yè)的云服務(wù)開銷來進行懲罰性攻擊,這種攻擊方式被稱為“錢包剝奪攻擊”(DoW)。此外,監(jiān)控云服務(wù)賬單開銷的異常波動也能成為識別惡意活動的早期信號,例如突然的使用量下降可能意味著攻擊者正在刪除備份文件,削弱企業(yè)的安全防護。
四、SaaS應(yīng)用的安全隱患
SaaS應(yīng)用的風險差異巨大,許多企業(yè)在關(guān)注主要的云服務(wù)提供商時,往往忽略了對SaaS服務(wù)的安全審查。這些第三方SaaS應(yīng)用可能存儲著代碼庫或其他關(guān)鍵數(shù)據(jù),但卻未必具備足夠的安全防護,增加了攻擊者利用的機會。
五、不可忽視的DNS指向問題
DNS指向問題在云計算中看似微不足道,但一旦處理不當,可能會導致嚴重后果。攻擊者可利用遺留的DNS指針偽裝成合法的企業(yè)網(wǎng)站,從而對用戶發(fā)起網(wǎng)絡(luò)攻擊。
在這個云計算主導的時代,企業(yè)需要不斷更新安全策略,應(yīng)對層出不窮的新威脅。即使看似無關(guān)緊要的云組件,也可能成為潛在的安全漏洞。
六、API的安全隱患
API是云結(jié)構(gòu)的基礎(chǔ),也是攻擊者進入系統(tǒng)的主要途徑之一。許多企業(yè)往往忽視API安全,特別是本地API密鑰的安全管理。例如,即使員工賬戶的單點登錄(SSO)已經(jīng)被禁用,但本地API密鑰卻仍然可能繼續(xù)有效。這種情況下,前員工仍然可能擁有對系統(tǒng)或數(shù)據(jù)的訪問權(quán)限,這無疑是一個嚴重的安全隱患。
對于使用多個云平臺的企業(yè),跨平臺的API訪問問題尤為明顯。例如,如果某個企業(yè)在多個云平臺(如AWS和微軟Azure)中使用相同的身份驗證平臺,那么攻擊者有可能通過攻擊其中一個API而獲得對整個云平臺架構(gòu)的廣泛訪問權(quán)限。
七、云端IDP備份策略的重要性
身份提供商(IDP)的中斷雖然相對較少發(fā)生,但企業(yè)仍然需要一個IDP備份策略以防不測。尤其在所有身份驗證依賴于云服務(wù)的情況下,一旦主要IDP不可用,企業(yè)需要有應(yīng)急方案來繼續(xù)進行認證和服務(wù)訪問。然而,許多公司在考慮到切換到備份IDP可能對用戶造成的干擾時,往往選擇放棄這一策略。這導致企業(yè)在IDP中斷時暴露于嚴重的身份驗證風險。
八、元數(shù)據(jù)服務(wù)的隱患
2024年3月,亞馬遜AWS悄悄更新了其實例元數(shù)據(jù)服務(wù)(IMDS),引入了版本2(IMDSv2)以提高安全性。元數(shù)據(jù)服務(wù)存儲了安全憑據(jù)和其他關(guān)鍵信息,可能被攻擊者利用,通過服務(wù)端請求偽造(SSRF)竊取這些憑據(jù)。盡管AWS早在2019年就推出了IMDSv2,但許多企業(yè)仍在使用原版IMDSv1,這使得它們暴露于潛在的安全威脅中。AWS的最新更新允許默認將所有新創(chuàng)建的實例設(shè)置為IMDSv2,但現(xiàn)有的IMDSv1實例仍需要手動重新配置。
該漏洞使許多組織在不知不覺中暴露于嚴重的憑據(jù)盜竊風險中,如果攻擊者利用這些憑據(jù)在企業(yè)內(nèi)部進行橫向移動,可能導致災難性的后果。