Categories
程式開發

怎樣應對4種主要的雲漏洞?這有一份實用指南


怎樣應對4種主要的雲漏洞?這有一份實用指南 1

2020年1月,美國國安局(NSA)發布了一份指南,用於指導美國政府各機構處理雲漏洞問題。雖然該指南的使用人群為政府機構,但是各商業機構也可以參考。

據悉,該指南對四種主要雲漏洞問題和相應的處理方式進行了分析:

怎樣應對4種主要的雲漏洞?這有一份實用指南 2

該指南由北京師範大學網絡法治國際中心吳沈括教授團隊進行翻譯,中譯文全文首發於LexisNexis Practical Guidance-Compliance 律商實踐指引合規數據庫。

特別鳴謝

北京師範大學網絡法治國際中心研究員

(排名不分先後)

崔鑫銘、穆星潼、湯彥怡、唐宇彤、譚舒心、馬簫童、 馬澄瑤、熊雨航、葉妍

以下為指南全文:

雲漏洞緩解指南

雖然謹慎地採用雲技術可以提高組織的安全態勢,但云服務可能會導致一些風險出現,這些風險是組織在採購過程中和在雲端操作時應該理解和解決的。在將資源轉移到雲端時,全面評估安全影響將有助於確保持續的資源可用性井降低敏感信息暴露的風險。為了實施有效的緩解措施,組織應該像在內部環境中一樣,考慮雲資源的網絡風險。

本文件將雲漏洞分為四類(配置錯誤、訪問控制不善、共享租賃漏洞和供應鏈漏洞),其中包含了絕大多數已知漏洞。雲客戶在減少配置錯誤和訪問控制不善方面具有關鍵作用,但組織也可以採取措施保護雲資源免受共享租賃和供應鏈漏洞的攻擊。通過提供每類漏洞的描述以及最有效的緩解措施,可以幫助組織鎖定其云資源。通過採取基於風險的雲技術方法,組織可以安全地受益於雲的廣泛功能中。

本指南供組織領導和技術人員使用。組織領導層可以參考雲組件部分、雲威脅參與者部分及雲漏洞和緩解概述,了解雲安全原則。技術和安全專業人員應當發現該文件幫助解決雲服務採購期間和之後的雲安全問題。

雲組件

雲架構並不標準化,而且每個雲服務提供商(CSP)實現基礎雲服務的方式都不同。理解CSP的雲實現應該是客戶在雲服務購期間風險決策的一部分。下面四種雲架構服務在大多數雲中都很常見:

  • 身份和訪問管理(IdAM):IdAM是指為保護客戶對其資源的訪問而實施的控制,以及CSP用於保護對後端雲資源的訪問的控制。安全的客戶和雲後端IdAM,包括實施和審計兩部分,對於保護雲客戶的資源至關重要

  • 計算:云通常依賴虛擬化和容器化措施來管理和隔離客戶計算的工作負載,無服務器計算(Serverless computing)是雲計算資源的動態分配,用於運行客戶代碼,它是建立在虛擬化或容器化的基礎上的,具體取決於雲服務。

    虛擬化是一種雲骨幹技術,不僅適用於客戶工作負載,也適用於雲架構本身。虛擬化是一種支持技術,它在雲中為存儲和網絡提供隔離。虛擬化通常用於實現和保護內部雲節點。

    容器化是一種更輕量級的技術,常在雲中用於管理和隔客戶工作負載。和虛擬化相比,隔離技術的容器化更不安全,因為它具有共享的內核特性,但是CSPs提供的技術有助於解決容器化的安全缺陷。

  • 網絡:客戶網絡的隔離是雲的關鍵安全功能。此外,云網絡必須在整個雲架構中實施控制,以保護客戶雲資源免受內部威脅。軟件定義網絡通常在雲中使用,以便在邏輯上分離客戶網絡並實現雲中的骨幹網絡。

  • 存儲(對象、版塊和數據庫記錄):客戶數據在邏輯上與雲節點上的其他客戶數據分離。必須存在安全機制,以確保客戶數據不會洩露給其他客戶,並保護客戶數據免受內部威脅。

雲加密和密鑰管理

雖然不是雲架構的基本組件,但加密和密鑰管理(KM)是保護雲中信息的一個關鍵方面。雖然CSP使用加密手段(以及其他控制)來保護客戶數據的某些方面不受其他客戶和CSP員工的影響,但云客戶應該了解他們為進一步保護數據所擁有的選項。了解數據敏感度要求對於構建雲加密和密鑰管理策略至關重要。

客戶可以利用雲服務提供商提供的加密技術和密鑰管理服務。基於雲的密鑰管理服務旨在與其他雲服務集成,從而減少保護和處理雲數據所需的客戶開發量。基於雲的密鑰管理服務能夠向客戶提供關於密鑰創建、銷毀和使用的審計信息。除了基於軟件的解決方案外,許多雲服務提供商還提供硬件安全模塊(HSM)服務以保護雲中的客戶密鑰。客戶還可以選擇向雲提供外部生成的密鑰以用於加密(自帶密鑰)。一些雲服務提供商提供的加密技術和密鑰管理的解決方案經過認證可以保護敏感但非機密的國防部信息。

客戶還可以使用客戶工具或第三方工具在雲端之外執行加密和密鑰管理。將加密和密鑰管理放在雲外可以確保客戶數據永遠不會暴露給雲管理員。此外,如果雲服務提供商的多租戶控件出現故障,預加密數據將愛到保護,以防暴露給其他客戶。此解決方案造成的後果是:

1.客戶或第三方供應商必須在其係統的應用程序或數據管理層中建立加密功能,並對密鑰管理負責,這需要大量的專業知識和努力;

2.此解決方案沒有與其他雲服多提供商的服務很好地集成,這就要求客戶將他們的外部應用程序或服務與雲端集成,並限制對可視化、人工智能和其他數據層服務的採用。例如,預加密的數據通常無法在雲中搜索或操作。

共擔雲端安全責任

雲服務提供商和雲客戶共同承擔獨立且交叉的職責,以確保服務和存儲在公共雲中的敏感數據的安全。雲服務提供商負責保護雲基礎設施,並實施邏輯控制以分離客戶數據。組織管理員通常負責配置應用程序級別的安全性(例如對數據授權的訪問控制)。許多雲服務提供商提供了雲安全配置工具和監控系統,但云客戶負根據組織安全的需求配置服務。

共同責任會影響日常操作(如修補程序管理)和異常事件(如安全事件響應)。具體責任因雲服務提供商、雲服務類型(如基礎設施即服務[laaS]與平台即服務[PaaS])和特定產品(如託管虛擬機與非託管虛擬機)而異。圖1顯示了這些職責的通用映射。

怎樣應對4種主要的雲漏洞?這有一份實用指南 3

共同責任的考慮因素包括:

  • 威脅檢測:雖然雲服務提供商通常負責檢測對底層雲平台的威脅監測,但客戶有責任檢測對自己雲資源的威脅。雲服務提供商和第三方可以提供基於雲的工具,來幫助客戶進行威脅檢測。
  • 事件響應:雲服務提供商具有獨特的地位,可響應云基礎設施的內部事件,並承擔相應責任。客戶雲環境的內部事件通由客戶承擔責任,但云服務提供商可為事件響應團隊提供支持。
  • 修補/更新:雲服務提供商負責確保其云產品的安全性,及在其權限範圍內迅速修補軟件,但通不修補客戶管理軟件(例如:IaaS產品的操作系統)。因此,客戶應警惕地部署補丁,以緩解雲端的軟件漏洞。在某些情況下,雲服務提供商可提供管理解決方案,並於方案中執行操作系統的修補。

雲威脅行為者

威脅行為的參與者可能會針對雲端和傳統系統架構中相同類型的弱點。本節重點關注特定雲活動,但管理員應注意到傳統戰略仍然適用。例如,未經修補的雲端網絡應用程序與從本地網絡提供服務的應用程序承擔著著相似的妥協風險。以下威脅行為者與雲計算相關:

惡意CSP管理員

  • 利用特權憑證或職位訪問、修改或銷毀存儲在雲平台上的信息;

  • 利用特權證書或職位修改雲平台,以便訪問連接或消耗雲資源的網絡;

惡意客戶雲管理員

  • 利用特權憑證訪問、修改或銷毀存儲在雲平台上的信息;

網絡犯罪分子及/或由國家資助的行為體

  • 利用雲體系結構或配置中的弱點來獲取敏感數據或消耗雲資源,犧牲受害者的利益;
  • 利用薄弱的、基於雲端的認證機制去獲取用戶證書(例如,密碼噴射攻擊);
  • 利用受損憑證或不正當訪問權限去獲取雲資源;
  • 獲得對雲環境的訪問特權,破壞租戶資源:
  • 利用組織網絡和雲資源間的信任關係,從雲端轉向受保護的網絡,反之亦然;

未經培訓或疏忽的客戶雲管理員

  • 無意暴露敏感數據或云資源

雲漏洞及緩解措施

雲漏洞與傳統結構中的漏洞類似,但共享租賃的雲特性及潛在的普遍訪問會增加其被利用的風險。以下列出的漏類別在發現和利用漏洞的普遍性和最低攻擊者復雜度方面有所相同。以下每部分會展示一個雲漏洞類別、提供現實世界的示例,評估漏洞的普遍性,評定攻擊者的複雜性,並討論緩解措施。

怎樣應對4種主要的雲漏洞?這有一份實用指南 4

減輕雲漏洞是CSP和客戶組織之間的共同責任。對於組織在向雲轉換和維護雲資源方面的成功,關鍵是來自明智的領導層的支持,這使正確的治理、預算和監督得以被確保。在這種支持下,管理員能夠有效地減輕雲資源的負擔。雲技術發展迅速,因而監督成為一項複雜的任務。

組織需要與組織規模相稱的專用資源,以確保云中具備充分保護。此外,客戶應該與他們的CSP合作,了解供應商特有的對策及其對風險的影響。

1.配置錯誤

普避性:廣泛;攻擊者復雜程度:低

儘管CSP經常提供幫助管理雲配置的工具,雲資源的錯誤配置仍然是最普遍的雲漏洞,它可以被用來訪問云數據和進行服務。錯誤配置通常由雲服務策略[雲服務策略是在軟件中實現的技術控制,用於定義雲服務如何交互。 ]誤解共享責任引起,其影響從拒絕服務到帳戶妥協不等。 CSP的快速創新創造了新的功能,但也增加了安全地配置組織的雲資源的複雜性。

溢用錯誤配置的例子:

  • 2017年5月,一家大型國防承包商在可公開訪問的雲存儲中暴露了敏感的NGA數據和認證憑證;

  • 2017年9月,一名安全研究員發現,所有公共雲用戶都可以訪問 CENTCOM的數據;

  • 2019年9月,一個研究團隊在可公開訪問的Elasticsearch數據庫[3]中發現了國防部人員的敏感旅行細節。

適當的雲配置始於基礎設施設計和自動化。在最初的設計和規劃過程中,應該應用保障原則,比如最低限度的特權和縱深防禦。有序的雲管理也是安全網絡環境的關鍵。實施這些原則的技術控制因CSP而異,但通常包括雲服務策略、加密、訪問控制列表(ACL)、應用程序網關、入侵檢測系統(IDS)、Web應用程序防火牆(WAF)和虛擬專用網絡( VPN)等。設計與操作良好的雲體系結構應包括防止配置錯誤或提醒管理員配置不當的控件。 DoD組織可以利用DoD 雲計算安全要求指南(CCSRG)提供基於數據敏感性的要求集,並應主動應用針對特定用例定制的其他控件,充分利用云自動化來監視和確保安全性。最後需提及的是,這些控件和配置不應是靜態設置,而應與組織的雲技術和風險管理一起進化升級。

為便於組織對最低權限的強制實施,管理員應做到以下幾點:

  • 通過雲服務策略,防止用戶在未進行任務認證的情況下公開共享數據:

  • 使用雲或者第三方工具檢測雲服務策略中的錯誤配置;

  • 在零信任模式狀態下,限制對雲資源的直接或間接訪問;

  • 使用雲服務策略確保資源默認為私有資源;

  • 使用自動工具審核訪問日誌,以識別過度曝光的數據;

  • 限制敏感數據並將其置入待批准存儲,使用數據丟失防護方案實施這些限制。

此外,為了實施縱深防禦,管理員應當:

  • 確保為創建或修改雲服務策略的個人提供適當的CSP專業培訓;
  • 使用有力的加密方法,並正確配置、管理和監控密鑰管理系統,在靜態和傳輸過程中實施數據加密;
  • 遵守適用的標準(例如,CSP指南、互聯網安全基準中心, DoD CCSRG);
  • 在雲系統中配置軟件以自動更新;
  • 控制虛擬機映像的選擇以獲得強化後的基線,並啟用可預測的網絡防禦;
  • 控制和審核雲服務策略和IdAM更改;
  • 確保在所有級別日誌記錄的啟用(例如,用戶平台活動、網絡流日誌,SaaS/PaaS活動),以掌握現實環境,特別是臨時資源,並確保日誌的不可移動存儲;
  • 盡可能將傳統安全實踐應用於雲(例如,為基於雲的端點啟用端點檢測和響應[EDR]);
  • 利用CSP中新出現的安全功能來檢測來自特殊位置的威脅;
  • 遵循最佳做法來防止特權賬戶的溢用(例如職責分離,雙人控制);
  • 建立配置更改和安全事件的自動連續監視:
  • 關聯來自混合或多雲環境的日誌;
  • 建立能夠滿足組織對於冗餘、可用性、性能、數據所有權/主權、物理安全、事件處理和雲基
    礎架構透明度需求的合同;
  • 控制和審核雲服務策略和IdAM更改;
  • 識別和剷除不破壞組織控制的 Shadow IT

最後,為了實現對雲應用的有序過渡,管理員應:

  • 實現CSP服務的現代化並充分利用非對遺留系統的“升級和轉移”;
  • 確保過渡期有合適的定義、資助、審查,並在正確的領導下進行;
  • 改進體系結構和流程,以整合新功能,了解風險變化;
  • 了解您的數據及其在整個系統中的流動方式;
  • 評估傳統IT操作或基礎設施可以合併到雲部署中的領域;
  • 使用CSP工具或技術(如以基礎結構為代碼)來降低配置錯誤的風險。

2.訪問控制不善

普遍性:廣泛;攻擊者復雜程度:中等

當云資源使用弱身份認證/授權方法或包括繞過這些方法的漏洞時,就會出現糟糕的訪問控制。訪問控制機制的弱點可能使攻擊者提升特權,從而損害雲資源。

訪問控制不當的例子:

  • 在2019年10月,CSP報告了網絡攻擊,黑客通過發送到單因素身份驗證電子郵件帳戶的密碼重置消息,破壞了使用多因素身份驗證的雲帳戶;

  • 在2018年3月,美國聯調查局(FBI)報告稱,總部位於伊朗的 Mabna集團通過使用基於雲的電子郵件服務備用單因素協議繞過多因素身份驗證。

強制執行強身份驗證和授權協議可以緩解訪問控制不良的情況。下面重點介紹一些確保強訪問控制的建議:

  • 採用具有強因素的多因素身份驗證,並需要定期重新認證:

  • 使用弱認證禁用協議;

  • 限制對雲資源的訪問以及雲資源之間的訪問,且所需狀態為零信任模型;

  • 盡可能在雲資源上使用基於雲的訪問控制(例如,虛擬機之間使用CSP管理的身份驗證);

  • 使用自動化工具來審核訪問日誌以解決安全問題;

  • 在可能的情況下,對密碼重置強制執行多因素身份驗證;

  • 請勿在軟件版本控制系統中包含API密鑰,否則可能會造成密鑰意外洩漏。

3.共享租賃漏洞

普遍性:罕見;攻擊者復雜程度:高

雲平台由多個軟件和硬件組件組成。確定雲體系結構中使用的軟件或硬件的對象,可以利用漏洞提升雲中的特權。雲技術管理程序(即支持虛擬化的軟件/硬件)或容器平台中的漏洞在保護雲架構和隔離客戶工作負載方面發揮著至關重要的作用,因此這些漏洞尤其嚴重。

虛擬機監控程序漏洞很難被發現和利用,而且代價昂貴,這限制了它們只能被高級攻擊者使用。領先的CSP持續掃描虛擬機監控程序代碼中的漏洞,並將其虛擬機監控程序提交給模糊測試,以識別和補救漏洞。 CSP同樣能監視系統日誌,以查看是否有任何有關管理程序利用的證據。

容器化雖然是提高性能和可移植性的誘人技術,但在多租戶環境中部署之前應仔細考量。容器在共享內核上運行,沒有虛擬化提供的抽象層。在雲等多租戶環境中,容器平台中的漏潤可能使攻擊者得以破壞同一主機上其他租戶的容器。

雖然在任何主要的雲平台上都沒有隔離受損的報導,但安全研究人員已經展示了虛擬機管理程序和容器突破:

  • 在2017年Pwn2own計算機黑客大賽中,兩個團隊成功展示了虛擬機監控程序突破攻擊,這使攻擊者可以在主機操作系統中控制執行;

  • 在2019年 USENIX攻擊技術研討會上,研究人員提出了一條用來逃脫裸機(Type 1)虛擬機管理程序上的來賓環境,並獲得對主機系統的訪問權限的功能的利用鏈;

  • 在2019年,容器(container)平台中發現一個漏洞,允許攻擊者可以利用該漏洞在容器運行時進行覆蓋,並利用此功能訪問在同一平台上運行的其他容器。

處理器中的硬件漏洞也可能對雲安全產生重大影響。芯片設計中的缺陷可能會通過側通道攻擊導致雲中的租戶信息受損。儘管這裡並沒有使用這些或其他硬件漏洞的攻擊記錄;但在雲中使用共享硬件將放大未來漏洞的影響。為了解決這個問題,服務提供商在緩解硬件漏洞方面具有優勢,因為它們可以比其他環境更大規模、更為快速地修補其環境。

緩解共享租戶漏的方法包括使用CSP提供的機制將組織資源與其他雲租戶分開。這裡建議採用以下緩解措施:

  • 通過強大的加密方法以及正確配置、管理和監視的密鑰管理系統,對靜態和傳輸中的數據進行加密;

  • 對於DoD組織,請使用獲得 DoD CCSRG認證的雲服務;

  • 對於特別敏感的工作負載,使用專用的、整體的或裸機的例子,來降低對手並置和利用虛擬機監控程序漏洞來獲取資源訪問權的風險;

  • 對於敏感的工作負載,如果可能的話,請使用虛擬化進行隔離而非容器化;

  • 在考慮使用雲服務(例如無服務器計算)時,應了解底層隔離技術(例如虛擬化、容器化)以及它是否可以減輕預期用途的風險;

  • 選擇已經根據國家信息保障合作夥伴(NIAP)保護配置文件(PPs)評估了關鍵組件的雲產品,尤其是已針對NIAP服務虛擬化PP進行了評估的虛擬機監控程序。

4.供應鏈漏洞

普遍性:罕見;攻擊者復雜程度:高

雲中的供應鏈洞包括內部出現的攻擊者以及硬件和軟件中故意打開的後門。 CSP從全球採購硬件和軟件,並僱用各國的開發人員。第三方軟件雲組件可能包含開發人員故意插入的漏洞,來破壞應用程序。作為供應商,管理員或開發人員,將代理(Agent)插入雲供應鏈中可能是本土民族國家攻擊者破壞雲環境的有效方法。

以下是當不特定用於雲環境時供應鏈攻擊的一些示例:

  • 在ShadowHammer操作中,修改了從實時更新服務器下載的內容以添加惡意功能。儘管有對該軟件的分析表明該參與者的目標是通過針對MAC地址來攻擊特定主機,但仍有50萬用戶下載了該軟件;

  • 在2019年12月,兩個惡意的 Python程序包索引(PyPI)庫被發現是用來從開發人員不經意間安裝憑據的系統中取憑據。

緩解針對雲平台的供應鏈攻擊主要是CSP的責任,雲供應商意識到供應鏈風險,並通過軟件測試和硬件驗證來尋找後門的跡象。 CSP通過諸如角色分離,針對特別敏感操作的雙方誠信和警報可疑管理員活動等控制措施來減輕內部攻擊者的風險。為了增強組織抵禦供應鏈受損的防禦能力,管理員們應做到:

  • 通過強大的加密方法以及正確配置、管理和監視的密鑰管理系統,對靜態和傳輸中的數據進行加密;
    根據適用的認證流程(例如針對DoD組件 的CCSRG)購買雲資源;

  • 選擇已根據國家信息保障合作夥伴(NIAP)保護配置文件(PPs)評估了關鍵組件的雲產品;NIAP評估可以發現組件中的後門;

  • 確保開發和遷移合同規定遵守內部標准或等效流程以減輕供應鏈風險;

  • 控制虛擬機映像的選擇,以防止使用不可信的第三方產品,例如惡意云市場產品;

  • 與CSP討論特定於供應商的對策,以製定風險決策;

  • 遵守適用的標準,利用安全的編碼實踐,並在企業應用程序的安全性、完整性和彈性方面不斷改進。

結論

雲管理中的風險致使客戶不僅要在採購過程中充分考慮是否暴露於威脅和漏洞,而且在一個持續的過程中都要有此考慮,雲服務可以提供許多安全優勢,例如能夠徹底自動化與安全相關的過程,包括威脅和事件響應。通過仔細的實施和管理,雲功能可以將採用雲服務帶來的風險最小化,並授權客戶利用雲安全增強功能。客戶應了解他們與CSP在保護雲方面的共同責任。 CSP可以為客戶提供量身定制的對策,以幫助客戶加固其云資源。雲安全是一個持續的過程,客戶應當不斷監控他們的雲資源,並努力改善其安全狀況。

本文轉自freebuf

附:指南英文版