配置錯誤的興起始于2018年,主要是由沒有適當訪問控制權力的云數據存儲實現驅動的……盡管主要云計算提供商努力使默認配置更安全,但這些錯誤仍然存在。
云計算網絡攻擊并不像人們想像的那樣驚心動魄,現實生活中的劇本更加平淡無奇。網絡攻擊者部署自動化技術來掃描互聯網以尋找可利用的漏洞。他們得到的是一個可供選擇的目標虛擬“購物清單”,一旦進入云計算環境,他們就會利用其架構上的弱點來查找敏感數據,例如個人身份信息(PII)可以在幾分鐘內提取出來,通常是從對象存儲服務或數據庫快照。
安全防御聽起來容易,但Verizon公司日前發布的2022年度數據泄露調查報告(DBIR)指出,錯誤配置的興起始于2018年,主要是由云計算數據存儲實施驅動的在沒有適當的訪問控制的情況下……盡管主要云提供商努力使默認配置更安全,但這些錯誤仍然存??在。
網絡攻擊者不會遍歷安全團隊使用傳統入侵檢測和預防解決方案和流程監控的傳統網絡。企業正試圖用以往的數據中心安全技術挫敗當今的云計算攻擊者,并且對云計算威脅形勢沒有完全了解。
通常情況下,重點是識別網絡攻擊者可以利用以進入云計算環境的資源錯誤配置,并分析日志事件以識別可疑活動的妥協指標(IOC)。這些可能是身份和訪問管理(IAM)配置的更改以提升權限、關閉加密以訪問數據或記錄以掩蓋蹤跡。對于任何云安全工作來說,這些都是必要的活動,但最終它們還不足以保證云計算數據的安全。錯誤配置只是黑客進入云環境并破壞API控制平臺的途徑之一,這種情況幾乎在每一次重大的云漏洞中都會發生。
花費大量時間和精力來查找和消除單一資源的錯誤配置并不能回答這個問題:當他們侵入并訪問控制平臺時會發生什么?因為網絡攻擊者遲早會侵入。
在通常情況下,任何企業云計算環境中都會有一些配置錯誤,云安全團隊通常每天都會發現并修復數十個或數百個漏洞。只專注于識別妥協指標(IOC)以阻止正在進行的網絡攻擊甚至風險更大;在團隊有機會做出響應之前的幾分鐘內,云計算漏洞就有可能發生。即使使用最好的監控、分析和警報工具,也只能希望快速發現被黑客入侵。
新的威脅格局
開發人員和工程師越來越多地使用基礎設施即代碼(IaC),它針對云計算提供商的應用程序編程接口(API)運行,以在其工作時實時構建和修改他們的云計算基礎設施,包括安全關鍵配置。云中的變化是一個常數,每次變化都會帶來錯誤配置漏洞的風險,網絡攻擊者可以使用自動檢測快速利用這些漏洞。
控制平面是配置和操作云的API表面。例如,企業可以使用控制平臺來構建容器、修改網絡路由以及訪問數據庫中的數據或數據庫的快照(這對于黑客來說是比侵入實時生產數據庫更受歡迎的目標)。換句話說,API控制平臺是用于配置和操作云計算服務的API的集合。
最小化任何成功的云計算攻擊事件的潛在攻擊半徑意味著在環境的架構設計中防止控制平臺受損。
安全云架構的一些步驟
任何企業都可以采取五個步驟來設計其云計算環境,使其在本質上能夠抵御云控制平臺入侵攻擊:
最小化控制云平臺風險。現在是時候將對“云錯誤配置”的定義從單一資源錯誤配置擴大到包括架構錯誤配置,那些涉及多個資源以及它們如何相互關聯的錯誤配置。
對于現有的云計算環境,通過分析資源訪問策略和IAM配置來評估任何潛在滲透事件的攻擊半徑,以識別網絡攻擊者可用于發現、移動和數據提取的過于寬松的設置。當企業的開發人員和DevOps團隊合作,在不破壞應用程序的情況下消除這些架構的錯誤配置。這可能需要一些返工來解決現有環境中的這些漏洞,因此最好在設計和開發階段解決架構安全問題。
采用策略作為云基礎設施的代碼。策略即代碼(PaC)是一種以機器可以理解的語言表達策略的方法,例如OpenPolicyAgent、開源標準和云原生計算基金會項目。
在軟件定義的世界中,安全的角色是領域專家,他將知識傳授給構建東西的開發人員,以確保他們在安全的環境中工作。不是規則手冊或清單,而是代碼。需要記住的是,在云中構建應用程序和應用程序基礎設施的是開發人員。這一切都是用代碼完成的,所以開發人員而不是安全團隊擁有這個過程。策略即代碼(PaC)使開發團隊能夠以編程語言表達安全性和合規性規則,應用程序可以使用這些語言來檢查配置的正確性,并識別不需要的條件或不應該出現的事情。
使所有云計算利益相關者能夠安全地運行,而不會對規則是什么以及應如何應用規則產生任何歧義或分歧,這有助于使所有團隊在政策的單一真實來源下保持一致,消除解釋和應用政策時的人為錯誤,并推動安全自動化(評估和執行等)在軟件開發生命周期(SDLC)的每個階段。
使開發人員能夠構建安全的云環境。IT團隊配置物理基礎設施并將其提供給開發人員的日子已經一去不復返了。如今,開發人員和DevOps工程師使用基礎設施即代碼(IaC)來表達他們想要的基礎設施并自動提供它。
雖然這對于高效的云詐運營非常有用,但它增加了大規模傳播漏洞的風險。但是,采用基礎設施即代碼(IaC)為企業提供了一個前所未有的機會:能夠在部署前檢查基礎設施安全性。借助策略即代碼(PaC),可以為開發人員提供工具以在開發時檢查安全性,并指導他們設計內在安全的環境,以最大限度地減少控制平臺危害威脅。每個人都可以更快、更安全地移動。
使用安全護欄來防止配置錯誤。無論企業在通過基礎設施即代碼(IaC)檢查和更安全的設計“擴展”云安全方面取得多么成功,錯誤配置仍然可能會漏掉,并且云計算資源的部署后突變是一個持續存在的風險。
企業應該在持續集成(CI)/持續交付(CD)管道中構建自動安全檢查,以在部署過程中自動捕獲錯誤配置,并在安全檢查失敗時自動使構建失敗。對于不太敏感的部署,提醒團隊注意違規行為,以便他們可以在必要時進行調查和補救。由于云計算資源的部署后更改無處不在,因此保持持續的運行時監控以檢測漂移至關重要。確保正在運行的內容反映了創建它的基礎設施即代碼(IaC)模板,并檢查危險的錯誤配置事件和可能包含漏洞的孤立資源。在所有這些用例中,企業對策略即代碼(PaC)的采用將繼續帶來好處。
構建云安全架構專業知識。企業云采用率的提高要求安全專業人員將注意力從威脅檢測和監控網絡流量等傳統安全方法,轉移到了解控制平臺破壞網絡攻擊的工作原理,以及如何有效地使用安全架構設計來防止它們。
為了做到這一點,企業需要能夠與開發人員和DevOps團隊密切合作的云計算安全工程師和架構師,以了解云計算用例并幫助在開發過程中建立安全設計原則。
保護云計算環境的最終目標是在任何成功的初始攻擊滲透事件發生之前使其毫無意義。畢竟,如果網絡攻擊者無法從中獲得任何收益,那么誰會在意網絡攻擊者是否可以訪問企業云環境中的資源呢?
讓企業的安全團隊了解云計算應用程序的工作原理,以幫助確保云計算基礎設施支持應用程序而不會引入不必要的風險。他們還需要知道如何利用策略即代碼(PaC)檢查環境中是否存在更深層次的多資源漏洞,并幫助指導開發人員設計和構建本質上安全的環境。?
