Chiodi说,公共云安全事件通常源于对共享责任模式的不了解,这种模式将管理云计算用户和提供商如何承担安全负担。“我们谈论的许多威胁都是组织不了解公共云威胁模型的结果。”他解释道。客户很难在公共云中使用安全工具,而传统的企业工具无法在云计算环境的动态特性中运行。
随着企业以更快的速度将更多代码投入生产,CA Veracode公司安全研究副总裁ChrisEng强调了将漏洞避免直接建立在DevOps管道中的重要性。ShieldX公司的首席技术官Manuel Nedbal表示,如今的云计算正面临着几种类型的威胁。“我们看到大多数攻击都是编排或跨云攻击,或数据中心攻击,”他说,这些事件的整体上升归因于云采用率的上升。
在这里,两位云安全专家指出了不同类型的网络攻击,并解释了它们如何影响云环境。
(1)跨云攻击
ShieldX的Nedbal说,网络攻击者通常使用公共云环境渗透到本地数据中心。当客户将其中一个工作负载移动到公共云环境中,并使用Direct Connect(或任何其他VPN隧道)在公共云之间移动到私有云时,就会出现这些类型的威胁。然后,在安全工具的雷达下,攻击者破坏其中一个环境可以横向移动。
“第二阶段更难以发现,可以从公共云迁移到私有数据中心,”Nedbal说。在攻击者扫描环境后,他可以使用传统的漏洞和攻击来获得公共云的优势。他继续说,这种威胁可能会在公共云中被捕获,但防御在那里比在本地环境中更弱。攻击者在公共云和私有云之间移动方面具有优势,并且可以利用他的位置在目标网络中持久存在。“网络杀伤链变成了网络杀伤循环,”Nedbal解释道,“从侦察开始,开始传播恶意软件,开始横向移动,然后再次启动侦察。”
(2)编排攻击
Nedbal表示,云计算协调用于配置服务器,获取和分配存储容量,处理网络,创建虚拟机以及管理身份以及云中的其他任务。编排攻击旨在窃取可以重用的帐户或加密密钥,以便为云计算资源分配权限。例如,攻击者可以使用被盗帐户创建新虚拟机或访问云存储,
他指出,他们取得多大成功取决于他们窃取的账户的特权。但是,一旦编排帐户被破坏,攻击者就可以使用他们的访问权限为自己创建备份帐户,然后使用这些帐户访问其他资源。Nedbal继续说,编排攻击针对的是云计算API层,因此无法使用标准的网络流量检测工具进行检测。安全团队希望观察基于网络的行为和帐户行为。
(3)加密劫持
RedLock公司Chiodi说,2018年人们面临的威胁仍然是云计算的主要问题。“这仍然非常非常普遍,”他解释道,“如果人们关注这个消息,就会看到加密估值的起起落落,但实际上,窃取计算能力的网络犯罪分子实际上比偷窃实际数据更有利可图。”
Chiodi继续说,黑客是专门针对企业公共云环境的加密器进行攻击,因为它们是弹性计算环境。许多组织还没有成熟的云计算安全计划,使其云端容易受到攻击。他指出了两个同时发生的因素:云计算安全平台的不成熟以及比特币和以太网等加密货币的日益普及,这推动了云中加密劫持的兴起。“企业将全面受到影响,”他指出。云计算提供商本身正在尝试采取更多措施来帮助其平台用户。“黑客想要做的最后一件事就是让人们在脑海中等同于公共云是不安全的。”“公司全面受到影响,”他指出。云提供商本身正在尝试采取更多措施来帮助其平台用户。
Chiodi引用了企业可以采取的一些保护措施:定期轮换访问密钥,限制出站流量,并为Web浏览器安装加密拦截器。
(4)跨租户攻击
ShieldX公司的Nedbal表示,如果企业是云计算提供商或为某些租户提供计算,其租户可以请求配置工作负载。租户可以交换数据和共享服务,从现有资源生成流量,这在拥有私有数据中心的组织中很常见。不幸的是,这种流量留下了安全漏洞。由于许多租户使用相同的云平台,因此无论资源位于何处,周边安全性都会逐渐消失。这会导致IT组织及其资产增长时出现问题,但外围或安全设备不会随之增长。如果一名员工的业务遭到攻击,攻击者可以使用共享服务渗透财务、人力资源和其他部门。
租户可以使用门户来配置虚拟私有云;但是,这些网络中的流量通常不是通过传统的安全控制来发送的。“企业必须扩展私人数据中心或私有云,为租户提供服务。”他补充道。随着私有数据中心的发展以及企业依赖公共云服务,这将继续成为一个问题。
(5)跨数据中心攻击
据ShieldX的Nedbal称,一旦进入数据中心,攻击者通常不会面临获取敏感资源的界限。使用交付点(PoD)或协同工作以提供服务的模块来管理数据中心。随着数据中心的扩展,连接这些模块并添加更多内容是很常见的。应通过多层系统重定向流量来保护PoD,但许多企业忽略了这一点,开辟了潜在的攻击向量。如果PoD的一部分受到攻击,攻击者可以从一个数据中心扩散到另一个数据中心。
(6)即时元数据API的误用
RedDock公司Chiodi说,即时元数据API是所有云计算提供商提供的特定功能。没有错误或漏洞利用,但鉴于它不存在于本地数据中心,它通常不能得到妥善保护或监控。攻击者可能以两种可能的方式利用它。
他解释说,首先是易受攻击的反向代理。反向代理在公共云环境中很常见,并且可以通过某人可以设置主机来调用即时元数据API并获取凭据的方式进行配置。如果有人在云环境中启动代理,则可以通过以下方式对其进行配置:如果其中一个云计算实例通过该反向代理访问全球互联网,则可以存储这些凭据。“如果某人没有正确设置该特定实例的访问凭证的权限,他们可以做任何权限授予该实例的任何内容,”他说。
第二种方式是通过恶意Docker镜像。Chiodi解释说,开发人员通过DockerHub共享Docker镜像,但易用性导致了公开信任可能利用恶意命令来提取访问密钥的图像的行为。网络攻击可能会从受感染的容器扩展到攻击者访问公共云帐户。“这是一个很棒的功能,但你必须知道如何处理它,”他说。Chiodi建议监控云中的用户行为,并在颁发凭证时遵循最小权限原则。
(7)无服务器攻击
ShieldX公司Nedbal称这是云计算攻击的“下一级”。无服务器或功能即服务(FaaS)架构相对较新且流行,因为用户无需部署、维护和扩展自己的服务器。虽然它使管理变得简单,但无服务器架构的棘手部分是实施安全控制的挑战。
FaaS服务通常具有可写的临时文件系统,因此攻击者可以在临时文件系统中使用其攻击工具。FaaS功能可以访问具有敏感数据的公司数据库。因此,攻击者可以使用他们的攻击工具泄漏数据并泄露数据。使用错误的权限,FaaS功能可以帮助他们创建新的虚拟机,访问云存储或创建新帐户或租户。“传统的安全控制措施真的很少,因为无服务器甚至可以从安全管理员手中夺走虚拟网络,”Nedbal说,“无服务器攻击非常难以应对传统的安全控制,而.对于无服务器攻击,企业需要一种在流量功能即服务之前重定向流量的方法。”
(8)跨工作负载攻击
ShieldX公司Nedbal说,这些类型的攻击发生在同一个租户中,没有什么可以阻止工作负载在同一租户或虚拟网络中相互通信,因此对虚拟桌面的攻击可能会扩散到虚拟Web服务器或数据库。企业通常使用不受信任的虚拟机来浏览和下载在线内容。如果受到感染,并且它与具有敏感数据的其他工作负载在同一租户上运行,那么这些可能会受到影响。
为了降低违规风险,具有不同安全要求的工作负载应该位于不同的时区。Nedbal在一篇博客文章中表示,“应该使用一系列丰富的安全控制措施来检查遍布这些区域的流量,例如就像南北周边防御系统所预期的安全控制措施。”然而,他补充说,在工作负载之间添加安全控制很困难。
京公网安备 11010502049343号