如何重新思考新的雲部署帶來(lái)的風(fēng)險

如今的科技正在快(kuài)速發展。IT基礎設施正在發生變化，網絡攻擊面也(yě)在不斷增加，企業的雲計(jì)算(suàn)環境當然也(yě)在發展和(hé)進步。然而，随着企業創建新的雲計(jì)算(suàn)部署場景以加快(kuài)業務運營，面臨的風(fēng)險也(yě)會(huì)發生變化。雖然很(hěn)多風(fēng)險并不是新的風(fēng)險，但(dàn)它們被重新設計(jì)以滲透到(dào)現(xiàn)代架構中。 雲部署面臨的威脅 本文(wén)将揭示現(xiàn)代雲部署面臨的主要威脅，提供幫助企業保持行業領先地位并預防威脅的策略。 (1)橫向攻擊 複雜(zá)的網絡攻擊事(shì)件如今屢見不鮮。它涉及在雲中未被發現(xiàn)的橫向移動能(néng)力。網絡攻擊者深入網絡以獲取敏感數據和(hé)高(gāo)價值資産，成功地做到(dào)這(zhè)一點需要了(le)解許多技術。 通常在橫向攻擊中，網絡攻擊者首先獲得對(duì)密鑰的訪問權，并使用(yòng)特定命令設置臨時(shí)憑證，然後他(tā)們獲得對(duì)帳戶的低(dī)權限訪問。他(tā)們也(yě)可能(néng)會(huì)嘗試采用(yòng)暴力攻擊以獲取權限。然後他(tā)們執行查找事(shì)件以查看(kàn)可以模拟的活動，然後橫向移動以在整個系統中移動時(shí)執行這(zhè)些(xiē)相同的命令，以升級其功能(néng)權限和(hé)角色。他(tā)們重複這(zhè)一操作(zuò)，直到(dào)具有足夠的權限來(lái)洩露數據庫和(hé)其他(tā)信息。 爲了(le)消除在這(zhè)種網絡攻擊場景中被攻擊的可能(néng)性，重要的是限制角色和(hé)資産的權限，隻允許員工(gōng)采取必要的操作(zuò)。這(zhè)降低(dī)了(le)網絡攻擊者能(néng)夠提升其權限的風(fēng)險。此外(wài)，創建警報(bào)以顯示異常行爲。雖然一個警報(bào)可能(néng)不會(huì)引起關注，但(dàn)一系列類似的警報(bào)可以讓企業更快(kuài)地采取行動，并可能(néng)使用(yòng)自(zì)動化技術來(lái)阻止網絡攻擊的執行。 (2)注入攻擊 無論是在傳統的還是現(xiàn)代的微服務環境中，SQL注入、操作(zuò)系統命令注入、代碼注入等網絡攻擊仍然是企業面臨的風(fēng)險。容器和(hé)無服務器功能(néng)添加到(dào)環境中的複雜(zá)性加劇(jù)了(le)阻止注入攻擊的挑戰。 網絡攻擊的方法保持不變：應用(yòng)程序處理(lǐ)來(lái)自(zì)不受信任來(lái)源的輸入。然而，對(duì)于微服務，輸入是通過大(dà)量事(shì)件觸發的，這(zhè)很(hěn)難進行人工(gōng)管理(lǐ)。這(zhè)意味着人們不能(néng)僅僅依賴安全控制和(hé)單個應用(yòng)層，而且要确保代碼安全且不易受到(dào)注入攻擊。 由于有大(dà)量易受攻擊的代碼可以公開(kāi)使用(yòng)，網絡攻擊者可以很(hěn)容易地利用(yòng)這(zhè)些(xiē)代碼對(duì)微服務環境進行攻擊。例如，通過訪問環境，網絡攻擊者可以使用(yòng)注入操作(zuò)功能(néng)代碼來(lái)執行網絡攻擊。爲了(le)抵消這(zhè)種攻擊的可能(néng)性，代碼必須具有最低(dī)權限，以确保沒有人可以執行或訪問超出要求的權限。執行自(zì)動代碼掃描以識别企業使用(yòng)的任何代碼存儲庫或庫中的漏洞也(yě)很(hěn)重要。 (3)身份驗證受損 使用(yòng)微服務，可以單獨運行數百個不同的功能(néng)，每個功能(néng)都有自(zì)己獨特的用(yòng)途，并由不同的事(shì)件觸發。這(zhè)些(xiē)功能(néng)中的每一個都需要自(zì)己獨特的身份驗證協議(yì)，這(zhè)就留下(xià)了(le)出錯的空(kōng)間。 網絡攻擊者會(huì)尋找諸如被遺忘的資源或冗餘代碼，或打開(kāi)存在已知(zhī)安全漏洞的API，以獲得對(duì)環境的訪問權限。這(zhè)将允許網絡攻擊者訪問包含敏感内容或功能(néng)的網站(zhàn)，而無需進行正确的身份驗證。 雖然服務提供商可以處理(lǐ)大(dà)部分密碼管理(lǐ)和(hé)恢複工(gōng)作(zuò)流程，但(dàn)客戶需要确保資源本身得到(dào)正确配置。但(dàn)是，如果功能(néng)不是從(cóng)最終用(yòng)戶請(qǐng)求觸發的，而是在應用(yòng)程序流程中觸發時(shí)，事(shì)情會(huì)變得更加複雜(zá)，會(huì)繞過身份驗證模式。 爲了(le)解決這(zhè)個問題，對(duì)應用(yòng)程序(包括應用(yòng)程序流)進行持續監控非常重要，這(zhè)樣就可以識别應用(yòng)程序觸發器。在這(zhè)一基礎上(shàng)，企業的安全團隊希望在資源未包含适當權限、具有冗餘權限或觸發的行爲異常或不符合要求時(shí)創建警報(bào)并對(duì)其進行分類。 (4)安全配置錯誤 在傳統應用(yòng)程序中，安全配置錯誤可能(néng)發生在網絡、Web服務器、應用(yòng)程序服務器、容器等。對(duì)于雲平台，存儲和(hé)數據庫默認是加密的。但(dàn)是，爲了(le)增強安全性，客戶可以提供自(zì)己的加密密鑰或在多租戶架構中創建更多分離。 而了(le)解一些(xiē)細微差别很(hěn)重要。未鏈接的觸發器、未受保護的文(wén)件和(hé)目錄将如何影響企業的安全狀況?一些(xiē)示例可能(néng)包括網絡攻擊者試圖識别錯誤配置的區(qū)域，以便他(tā)們可以訪問并導緻拒絕服務，或洩漏敏感數據。 爲了(le)解決這(zhè)個問題，企業需要确保利用(yòng)來(lái)自(zì)其雲計(jì)算(suàn)提供商的内置服務以及第三方服務來(lái)掃描其雲帳戶以識别公共資源。企業安全團隊查看(kàn)這(zhè)些(xiē)資源并驗證它們是否已實施訪問控制，并遵循最佳實踐指南。創建警報(bào)并設置持續監控雲計(jì)算(suàn)環境的方法，因此如果檢測到(dào)異常行爲或發現(xiàn)配置錯誤，則可以快(kuài)速解決。對(duì)于微服務，需要查找未鏈接觸發器和(hé)資源。确保将進行超時(shí)設置和(hé)設置并發所需的最小(xiǎo)值，并始終遵循配置最佳實踐。 (5)第三方漏洞 這(zhè)已經在之前的一些(xiē)網絡攻擊和(hé)風(fēng)險領域中提到(dào)過，但(dàn)需要再次呼籲。随着微服務執行的不斷增加，開(kāi)發人員對(duì)雲計(jì)算(suàn)基礎設施有了(le)更多的控制權，因此在安全方面承擔了(le)更多的責任。 雲計(jì)算(suàn)是關于敏捷性和(hé)快(kuài)速移動的。企業單擊按鈕即可啓動應用(yòng)程序和(hé)功能(néng)，這(zhè)通常意味着正在複制代碼和(hé)API。如果代碼存儲庫中内置了(le)隐藏的漏洞、廣泛的權限或冗餘，則可以輕松地将它們合并到(dào)雲計(jì)算(suàn)應用(yòng)程序環境中。 然而，這(zhè)并不像建立安全門(mén)或質量保證(QA)測試那麽容易。這(zhè)可能(néng)減慢開(kāi)發速度并降低(dī)雲計(jì)算(suàn)的敏捷性，而這(zhè)就是系統集成和(hé)自(zì)動化發揮關鍵作(zuò)用(yòng)的地方。安全團隊在持續集成(CI)/持續交付(CD)早期建立自(zì)動化安全措施很(hěn)重要。他(tā)們必須确保在部署之前将最佳實踐标準和(hé)合規措施集成到(dào)資源中。 安全系統還應确保在啓動之前掃描代碼以查找漏洞。然後在運行時(shí)，對(duì)運行時(shí)環境進行連續掃描以快(kuài)速識别漏洞。并在可能(néng)的情況下(xià)自(zì)動修複問題，這(zhè)一點很(hěn)重要。 結論 根據調研機構451 Research公司的調查，如今90%的工(gōng)作(zuò)負載都在雲中，并且雲計(jì)算(suàn)基礎設施的部署方式将會(huì)繼續改進和(hé)擴展。 企業的安全團隊必須了(le)解威脅格局将如何随着新興部署模型和(hé)不斷變化的攻擊面而進行的演變。對(duì)于他(tā)們來(lái)說，進一步與跨職能(néng)團隊集成以最好(hǎo)地優化安全工(gōng)具和(hé)程序同樣重要。這(zhè)将确保提高(gāo)安全性不會(huì)阻止業務發展，并且業務發展不會(huì)危及安全。