信息化觀察網(wǎng)

本文來自微信公眾號“安全內(nèi)參”。

隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入，越來越多的企業(yè)依賴多個云服務(wù)商，云安全問題日益復雜和嚴峻，云宕機或數(shù)據(jù)泄露導致的業(yè)務(wù)停頓不但意味著財務(wù)和聲譽的巨大損失，甚至會給企業(yè)帶來滅頂之災。

近年來，全球云計算巨頭如亞馬遜、阿里云和微軟Azure接連遭遇了影響廣泛的安全漏洞和宕機事故，尤其是最近發(fā)生的網(wǎng)易云停頓事件再次引發(fā)了業(yè)界對云安全和可靠性問題的深刻反思。

云計算環(huán)境看似是現(xiàn)有業(yè)務(wù)的無縫擴展，但實際操作中，各個云團隊分布廣泛，有時可能與網(wǎng)絡(luò)安全團隊的需求背道而馳，這使得云計算的安全問題更加難以察覺和處理，產(chǎn)生大量安全盲區(qū)。

以下，是CISO最容易忽視或輕視的八個云安全問題：

一、隱形威脅：臨時性資源

臨時性資源在云計算中的使用越來越頻繁，例如短暫存儲實例或動態(tài)資源分配，這些資源存在時間很短，通常只執(zhí)行特定功能后就終止。然而，這些短暫資源雖然壽命短，卻極難掃描，成為隱藏惡意軟件的理想場所。一旦被攻破，它們便可成為攻擊者的溫床，為惡意活動提供暫時的庇護，而不會留下太多可供法證分析的痕跡。

二、云環(huán)境中的IT資產(chǎn)清點

很多安全專家過去在本地數(shù)據(jù)中心中進行IT資產(chǎn)清點時，常因操作過于復雜而避之不及。如今，在云端清點資產(chǎn)變得更加簡單，幾乎沒有借口可以再回避這個問題。云計算中的一切都可視作API，這使得清點資源變得更加高效和自動化。通過快照API，企業(yè)可以掃描服務(wù)器上的應(yīng)用程序和庫，無需擔心掃描過程對性能的影響。

三、用云服務(wù)賬單監(jiān)測攻擊

云服務(wù)賬單可用于監(jiān)測攻擊，因為有些攻擊者并不滿足于竊取數(shù)據(jù)或發(fā)動DDoS攻擊，他們通過增加企業(yè)的云服務(wù)開銷來進行懲罰性攻擊，這種攻擊方式被稱為“錢包剝奪攻擊”（DoW）。此外，監(jiān)控云服務(wù)賬單開銷的異常波動也能成為識別惡意活動的早期信號，例如突然的使用量下降可能意味著攻擊者正在刪除備份文件，削弱企業(yè)的安全防護。

四、SaaS應(yīng)用的安全隱患

SaaS應(yīng)用的風險差異巨大，許多企業(yè)在關(guān)注主要的云服務(wù)提供商時，往往忽略了對SaaS服務(wù)的安全審查。這些第三方SaaS應(yīng)用可能存儲著代碼庫或其他關(guān)鍵數(shù)據(jù)，但卻未必具備足夠的安全防護，增加了攻擊者利用的機會。

五、不可忽視的DNS指向問題

DNS指向問題在云計算中看似微不足道，但一旦處理不當，可能會導致嚴重后果。攻擊者可利用遺留的DNS指針偽裝成合法的企業(yè)網(wǎng)站，從而對用戶發(fā)起網(wǎng)絡(luò)攻擊。

在這個云計算主導的時代，企業(yè)需要不斷更新安全策略，應(yīng)對層出不窮的新威脅。即使看似無關(guān)緊要的云組件，也可能成為潛在的安全漏洞。

六、API的安全隱患

API是云結(jié)構(gòu)的基礎(chǔ)，也是攻擊者進入系統(tǒng)的主要途徑之一。許多企業(yè)往往忽視API安全，特別是本地API密鑰的安全管理。例如，即使員工賬戶的單點登錄（SSO）已經(jīng)被禁用，但本地API密鑰卻仍然可能繼續(xù)有效。這種情況下，前員工仍然可能擁有對系統(tǒng)或數(shù)據(jù)的訪問權(quán)限，這無疑是一個嚴重的安全隱患。

對于使用多個云平臺的企業(yè)，跨平臺的API訪問問題尤為明顯。例如，如果某個企業(yè)在多個云平臺（如AWS和微軟Azure）中使用相同的身份驗證平臺，那么攻擊者有可能通過攻擊其中一個API而獲得對整個云平臺架構(gòu)的廣泛訪問權(quán)限。

七、云端IDP備份策略的重要性

身份提供商（IDP）的中斷雖然相對較少發(fā)生，但企業(yè)仍然需要一個IDP備份策略以防不測。尤其在所有身份驗證依賴于云服務(wù)的情況下，一旦主要IDP不可用，企業(yè)需要有應(yīng)急方案來繼續(xù)進行認證和服務(wù)訪問。然而，許多公司在考慮到切換到備份IDP可能對用戶造成的干擾時，往往選擇放棄這一策略。這導致企業(yè)在IDP中斷時暴露于嚴重的身份驗證風險。

八、元數(shù)據(jù)服務(wù)的隱患

2024年3月，亞馬遜AWS悄悄更新了其實例元數(shù)據(jù)服務(wù)（IMDS），引入了版本2（IMDSv2）以提高安全性。元數(shù)據(jù)服務(wù)存儲了安全憑據(jù)和其他關(guān)鍵信息，可能被攻擊者利用，通過服務(wù)端請求偽造（SSRF）竊取這些憑據(jù)。盡管AWS早在2019年就推出了IMDSv2，但許多企業(yè)仍在使用原版IMDSv1，這使得它們暴露于潛在的安全威脅中。AWS的最新更新允許默認將所有新創(chuàng)建的實例設(shè)置為IMDSv2，但現(xiàn)有的IMDSv1實例仍需要手動重新配置。

該漏洞使許多組織在不知不覺中暴露于嚴重的憑據(jù)盜竊風險中，如果攻擊者利用這些憑據(jù)在企業(yè)內(nèi)部進行橫向移動，可能導致災難性的后果。