雖然數據泄露的程度可能會有所不同,並且數據可能因內部威脅、黑客攻擊和員工疏忽而丟失,但所有數據泄露都包含了可能會被盜竊者輕易讀取的個人身份信息。而云端發生的數據泄露,影響就會放大了,動輒幾億用戶數據遭到外泄,這給企業和用戶帶來了不可估量的嚴重後果。那麼,爲什麼雲端會不斷泄露數據呢?Terry Sweenry 採訪了安全界的幾位大佬,從各方面剖析了雲端不斷泄露數據的原因。
最具破壞性的雲數據泄漏是由相同類型的常見雲安全挑戰和配置錯誤造成的,以下是你需要知道的事情。
儘管雲計算服務有很多受歡迎的好處:節省成本、減少人員、提高生產率——專家稱,隨着信息安全專家將組織的更多安全功能轉移到雲端中,他們遇到了一些常規配置方面的挑戰。
雲安全聯盟(Cloud Security Alliance,CSA)的培訓總監 Ryan Bergsma 說,“當我們發現問題時,我們就會看到客戶端的配置問題。”最常見的問題是什麼?他說:“我們在密鑰管理、訪問控制和公開數據存儲方面面臨許多挑戰。”
這些問題通常很容易解決,但首先,我們需要了解爲什麼雲中的安全服務會帶來與典型的雲服務不同的挑戰是很有幫助的。
服務提供商的侷限性
安全服務(及其相關配置)並不是通用性解決方案,不像其他 XaaS(X 即服務)雲服務,它們中的許多雲服務依賴於模塊化的方法來訪問和存儲數據。然而,在安全性方面,客戶配置是高度定製的,以便處理一些遺留系統、法規要求和組織實踐的某種組合,從而保護客戶、用戶及其所有數據。
那麼,爲什麼 Amazon Web Services(AWS)、Microsoft Azure 和 Google 不爲企業客戶做更多的故障排除工作呢?每個優秀的安全從業者都知道,警惕和恐怖之間有一條微妙的界線,大多數雲服務提供商都在努力確保自己不會跨越這條界線。
諮詢公司 Enterprise Strategy Group 高級分析師兼集團總監 Doug Cahill 表示,雲服務提供商在向客戶提供雲安全最佳實踐方面做得很好。但他們很少分享。
他補充道:
“主流的雲服務提供商有理由保持緘默,不提供關於雲環境配置的大量細節,這樣他們就不會把自己的劇本交給潛在的對手。”
雲服務提供商可以提供關於特定客戶配置的建議;例如,Microsoft 會掃描一些 GitHub 帖子來查看源代碼中存儲了什麼內容,如果客戶錯誤配置了 S3 存儲桶,AWS 就會提醒客戶,Cahill 解釋道。
Cahill 大聲說:“但是,雲服務提供商應該在多大程度上掃描客戶的環境,並就管理不善或公開的敏感數據向他們發出警告呢?這就是主要的雲服務提供商真正需要努力解決的問題。”
默認情況下的公開曝光
配置不當的數據存儲是一個問題,可能會導致未經授權的訪問和數據丟失。事實上,Digital Shadows 最近的研究發現,有 23 億個文件以這種方式被曝光了。CSA 全球研究副總裁 John Yeoh 表示,不幸的是,“公共”是許多雲數據存儲配置的默認訪問設置。
他說,“爲了安全使用,需要與受過良好教育的架構師和開發人員對服務進行適當的管理。”他希望能看到雲服務商在終端用戶錯誤配置、服務更改和默認設置等問題加強他們的通知機制。例如,Amazon 最近發佈了針對 EC2 賬戶的 Block Public Access 工具來解決這一問題。
訪問控制
據 CSA 的 Bergsma 稱,訪問控制,包括特權用戶訪問,似乎是數據泄露或丟失的最大原因。他補充說,問題的根源在於不安全的默認配置,以及對訪問控制的草率維護,比如舊用戶未刪除,或者允許過度使用管理控制。
因此,一些網絡正在轉向零信任方法,只允許以前審查過的資源訪問網絡,並通過使用軟件定義邊界的網絡進一步保護這些連接。
Bergsma 說:“對於面向公衆的服務和雲計算,多因素身份驗證及使用多個賬戶來獲取權限是這樣的一種方式,限制賬戶泄漏和任何受威脅賬戶的訪問。”
尤其是,互聯網即服務( Internet-as-a-service,IaaS)的主要關注點是,在創建根賬戶時立即鎖定它,併爲即將開始的工作創建超級管理賬戶。他強調道,“根賬戶的密鑰需要以永遠不會丟失或泄露的方式進行管理。”
然而,Bergsma 補充道,最主要的問題是允許過多的訪問。“記錄和實施最低權限策略是必須的。”
密鑰管理
大多數雲客戶在一定程度上使用加密,這就要求他們擁有靈活、健壯的密鑰管理流程。CSA 的 Yeoh 建議,公司須明確自己的要求,特別是:
- 檢查合規性要求,以確定是否有義務使用硬件安全模塊(Hardware Security Module,HSM),這是一種外部設備,用於管理和保護數字密鑰以實現強身份驗證,並處理加密過程。
- 組織內部創建的治理策略,也可能還需要特定的密鑰管理方法。要與法律和風險管理主管溝通協商。
- 某些客戶合同可能需要以某種方式處理密鑰。銷售和法律人員可以在這方面提供幫助。
Yeoh 補充說,無論加密數據是在本地還是在雲端中,以一種可行的方式擴展密鑰管理是客戶面臨的主要挑戰。
“最大的風險是關鍵管理組件的職責分離和數據分離,這些組件被用於跨多雲服務、本地自建(on-premises)環境、雲代理和管理自己密鑰的客戶。”他解釋道。
然而,雲服務提供商仍然使用自己的密鑰管理解決方案,這就使情況進一步複雜化。
這就是爲什麼許多客戶轉向使用第三方密鑰管理代理的原因。但這並適用於所有的客戶,更不用說增加另一家服務商來管理,並支付費用。
行業接受用於雲密鑰管理的開放 API 可能是跨 IaaS、PaaS、SaaS 和本地自建環境管理密鑰的潛在解決方案。Yeoh 說。“儘可能使用客戶管理的關鍵解決方案是 CSA 的建議之一。”
未來展望
綜上所述,CSA 的建議不僅將改善基於雲端的安全服務的安全功能,還將改善所有云服務的總體安全功能。但很明顯的是,這一點仍然遙遙無期。
ESG 的 Cahill 指出,“在雲安全準備方面存在差距。企業使用雲計算的程度,已遠遠超過了他們安全使用這些服務的能力。”
原文鏈接: