随着5G技术的发展,公有云越来越受欢迎,云计算业务的安全问题更是受到全行业的关注,在采用云服务的过程中存在一定的安全风险。在将资源迁移到云端时,应全面进行安全评估减少暴露面,以保障业务持续性运营。针对这种情况,美国国家安全局发布了云漏洞缓解指南,旨在指导安全负责人和技术人员,采取相应措施降低云漏洞所带来的风险。

美国国家安全局发布的云漏洞环节指南,主要是面向政府机构和部门提供相关建议,指南中主要包括四个部分:云服务商交付的基本组件、云安全共享责任模型、云威胁主体、云漏洞缓解措施。

云服务商交付的基本组件

云体系结构并不是标准化的,每个云服务提供商(CSP)都以不同的方式实现基础云服务。大多数具有下面有四种云架构服务:

  • 身份和访问管理(IdAM):IdAM是指为租户提供的用于保护对其资源的访问控件,以及CSP用于保护对后端云资源的访问控件。

  • 计算:云通常依靠虚拟化和容器化来管理和隔离租户的计算工作负载。无服务器计算是为运行租户代码而动态分配的云计算资源,它是建立在虚拟化或容器化的基础上的,不同的云服务的情况会有所不同。

  • 网络:隔离租户网络是云的关键安全功能。此外,云网络必须在整个云体系结构中实施控制,以保护租户云资源免受内部威胁。云中通常使用软件定义的网络来进行逻辑网络隔离。

  • 存储(对象,块和数据库记录):租户数据在逻辑上与云节点上的其他租户数据分开,通过安全机制确保租户数据不会泄露给其他租户,并确保租户数据免受内部威胁。

此外,云加密和密钥管理(KM)也构成了保护云中数据的关键组件。

云安全共享责任模型

租户和云服务提供商(CSP)各自负责云计算中的不同部分,以确保公有云中服务和数据的安全性,这个概念称为共享责任模型(SRM)。

共享责任会影响日常安全运维和安全事件响应。根据CSP、云服务类型(IaaS、PaaS、SaaS)、特定产品(如托管虚拟机与非托管虚拟机)的不同,责任划分也会不同。

  • 威胁检测:虽然CSP通常负责检测对底层云平台的威胁,但租户有责任检测针对租用的云资源的威胁。CSP和第三方可能会提供相应的工具,帮助租户进行威胁检测。

  • 事件响应:CSP应负责响应云基础架构内部的事件。租户租用的环境内部事件通常由租户负责,但是CSP可以为事件提供响应支持。

  • 补丁/更新:CSP负责确保其云平台产品的安全性,并在其权限范围内快速进行漏洞修复,但通常不负责租户自有的产品。因此,租户应谨慎部署补丁程序,以缓解云中的软件漏洞。

云威胁主体

威胁主体可能会针对云和传统系统架构中的相同类型漏洞进行攻击,因此一些传统的策略依然有效。以下威胁因素与云计算相关:

  1. 恶意的CSP管理员

  • 利用特权凭证或位置来访问、修改或破坏存储在云平台上的信息;

  • 利用特权凭证或位置修改云平台,以获得连接云资源或消耗云资源的网络访问权限。

  1. 恶意的租户云管理员

  • 利用特权凭证来访问、修改或破坏存储在云平台上的信息。

  1. 具有网络罪犯或国家背景的威胁主体

  • 利用云体系结构或配置中的弱点来获取敏感数据或消耗云资源;

  • 利用基于云的弱认证机制来获取用户凭证;

  • 利用受损的凭据或不正确的访问权限来访问云资源;

  • 获得对云环境的特权访问以破坏租户资源。

  1. 未经培训或操作失误的租户的云管理员

  • 无意间泄露敏感数据。

云漏洞缓解措施

云漏洞分为:配置错误,访问控制不善、共享租用漏洞供应链漏洞四类,这四类已经涵盖了绝大多数已知漏洞。通过提供每种漏洞类别描述以及最有效缓解措施,可以以帮助组织识别云资源中的漏洞,并采用基于风险的方法来实施缓解措施。

配置错误

普遍程度:高,复杂程度:低

虽然云服务提供商(CSP)通常提供管理和配置云资源的工具,但是对云资源的错误配置仍然是最普遍的云漏洞,相关漏洞可以被利用来访问云数据和服务。错误配置通常是由于云服务策略错误配置或错误理解共享责任引起的,会带来拒绝服务或数据泄露等不良影响。

在初期设计和规划时,应采用诸如特权最小化和深度防御之类的安全原则。实施良好的云治理措施也是防御的关键。不同的CSP会实施不同的技术控制措施,但通常包括云服务策略、加密、访问控制列表(ACL)、应用程序网关、入侵检测系统(IDS)、Web应用程序防火墙(WAF)和虚拟专用网络(VPN)。安全性较高的云平台应能对错误配置进行告警和阻断。同时,云配置不是静态的,而是随着业务发展和风险管理进行动态调整。

为实现特权最小化原则,管理员应采取以下措施:

  • 使用云服务策略来防止用户在没有授权的情况下公开共享数据;

  • 使用云或第三方工具来检测云服务策略中的错误配置;

  • 限制对云资源的访问以及云资源之间的访问;

  • 使用自动化工具审核访问日志,以识别过度暴露的数据;

  • 将敏感数据限制在特定的存储范围内。

为实现深度防御原则,管理员应采取以下措施:

  • 使用加密方法,管理和监视密钥管理系统,对静态数据和传输数据进行加密;

  • 将云系统中的软件配置为自动更新;

  • 控制和审核云服务策略和IdAM更改;

  • 确保在所有级别上都启用日志记录以捕获环境的现实情况,并且确保日志不被篡改;

  • 尽可能将传统的安全措施应用于云;

  • 遵循最佳实践,采取相关措施防止滥用特权帐户。

访问控制不善

普遍程度:高,复杂程度:中

当云资源使用弱认证/授权方法或包括绕过认证/授权控制手段的漏洞时,就会发生访问控制不完善的问题。访问控制机制的弱点可能使攻击者提升特权,从而危害云资源。

通过实施高强度的身份验证和授权,可以缓解访问控制不完善的问题。

建议采取措施:

  • 使用多因素身份验证,并要求定期更新身份验证机制;

  • 尽可能在云资源上使用基于云的访问控制;

  • 使用自动化工具来审核访问日志以发现安全问题;

  • 在密码重置时强制执行多因素身份验证;

  • 不允许在软件版本控制系统中包含API密钥,以免造成意外泄漏。

共享租用漏洞

普遍程度:低,复杂程度:高

所谓的共享租用漏洞指的是租共同面临的云平台底层软件和硬件中的漏洞。了解云平台组成和架构的恶意人员可以更容易地利用这些漏洞。

虚拟机监控程序在云平台中发挥重要作用,因此虚拟机监控程序的漏洞危害性极高。这些漏洞很难发现和利用,而且获取成本非常高,只有极少数的高级别的黑客会发现和利用虚拟机监控程序的漏洞。CSP通常会持续扫描虚拟机监控程序代码中的漏洞,以发现漏洞并进行修复,同时CSP会持续进行日志监控,以发现有关漏洞利用的蛛丝马迹。

处理器中的硬件漏洞也可能对云安全产生重大影响。芯片设计中的缺陷可能会让恶意人员通过侧信道攻击获取租户的敏感信息。

针对共享租用漏洞,建议采取以下缓解措施:

  • 使用加密方法,管理和监视密钥管理系统,对静态数据和传输数据进行加密;

  • 对于特别敏感的数据和服务,采用专用物理计算设备承载和运行;

  • 对于敏感的数据和服务,可采用用虚拟化的方式进行隔离,而不采用容器的方式;

  • 在考虑采购云服务时,应了解底层的隔离技术。

供应链漏洞

普遍程度:低,复杂程度:高

供应链漏洞包括存在内部攻击者以及硬件和软件中的后门。CSP从全球采购硬件和软件,并雇用全球各国的开发人员。第三方软件和云组件中可能会包含开发人员在开发过程中故意插入的漏洞。

为了增强组织抵御供应链攻击的能力,管理员应:

  • 使用加密方法,管理和监视密钥管理系统,对静态数据和传输数据进行加密;

  • 根据适用的认证流程采购云资源;

  • 选用经过国家信息保障合作伙伴(NIAP)保护配置文件(PPs)评估的云产品;

  • 确保开发和迁移合同规定满足内部标准或等效流程以减轻供应链风险;

  • 控制虚拟机镜像的选择,以防止使用不可信任的第三方产品,;

  • 遵守相应的安全开发标准和规范。

声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。