云計(jì)算工程團(tuán)隊(duì)和安全團(tuán)隊(duì)需要就云計(jì)算運(yùn)營環(huán)境的安全性提出一些重要問題，而且他們必須超越運(yùn)營環(huán)境是否通過合規(guī)性審核的范疇。

例如，人們在將新端點(diǎn)添加到互聯(lián)網(wǎng)幾分鐘之后，網(wǎng)絡(luò)攻擊者就可能會對其進(jìn)行掃描并評估其可利用性。單一的云配置錯(cuò)誤可能會使企業(yè)的數(shù)據(jù)面臨風(fēng)險(xiǎn)。

編輯搜圖

假設(shè)網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)其中一個(gè)漏洞并在其運(yùn)營環(huán)境中獲得立足點(diǎn)，那么將具有什么樣的破壞性？能造成什么樣的損害？網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)有關(guān)運(yùn)營環(huán)境以及存儲敏感數(shù)據(jù)位置的技術(shù)有多容易？他們能否利用云資源API密鑰和過于寬松的IAM(身份和訪問管理)設(shè)置來破壞企業(yè)的云控制平臺，并獲得對其他資源和數(shù)據(jù)的訪問權(quán)限？他們是否能夠在不被檢測的情況下將這些數(shù)據(jù)提取到自己的云帳戶中，例如使用存儲桶同步命令？

如果深入研究的話，會發(fā)現(xiàn)自己的云配置有很多漏洞，而在黑客利用這些漏洞之前，需要迅速采取行動修補(bǔ)云安全中的這些漏洞。并且還要認(rèn)識到云配置“漂移”一直在發(fā)生，即使使用自動化持續(xù)集成(CI)/持續(xù)交付(CD)管道也是如此，因此需要保持警惕。

云安全就是配置安全

云計(jì)算本質(zhì)上是一臺巨大的可編程計(jì)算機(jī)，云計(jì)算操作的重點(diǎn)是云計(jì)算資源的配置，包括IAM等安全敏感資源、安全組、數(shù)據(jù)庫和對象存儲的訪問策略等。企業(yè)需要確保云計(jì)算資源的配置在第一天就是正確和安全的，并且在以后仍保持這種狀態(tài)。

行業(yè)分析人士稱之為云安全態(tài)勢管理。而這正是云計(jì)算客戶經(jīng)常出錯(cuò)的地方，有時(shí)會帶來毀滅性的后果。如果看到涉及AWS、微軟Azure或谷歌云的數(shù)據(jù)泄露，可以肯定的是，這些網(wǎng)絡(luò)攻擊是由于云計(jì)算用戶自己的錯(cuò)誤而發(fā)生的。

人們往往非常注重避免對單個(gè)云資源的錯(cuò)誤配置，例如對象存儲服務(wù)(如Amazon S3、Azure Blob)和虛擬網(wǎng)絡(luò)(如AWS VPC、Azure VNet)，這樣做絕對至關(guān)重要。

但認(rèn)識到云安全取決于身份也很重要。在云中，許多服務(wù)通過API調(diào)用相互連接，需要IAM服務(wù)來實(shí)現(xiàn)安全性，而不是基于IP的網(wǎng)絡(luò)規(guī)則、防火墻等。

例如，從AWS Lambda函數(shù)到Amazon S3存儲桶的連接是使用附加到Lambda函數(shù)承擔(dān)的角色(其服務(wù)身份)的策略來完成的。IAM和類似的服務(wù)很復(fù)雜且功能豐富，而且很容易為了讓事情正常工作而過于寬容，這意味著過度寬容IAM配置是常態(tài)，而這通常是危險(xiǎn)的。

Cloud IAM是新的網(wǎng)絡(luò)，但由于Cloud IAM服務(wù)是通過配置創(chuàng)建和管理的，所以云安全仍然與如何避免錯(cuò)誤配置有關(guān)。

云配置錯(cuò)誤和安全事件

與數(shù)據(jù)中心相比，云計(jì)算基礎(chǔ)設(shè)施的種類要多得多，所有這些資源都是完全可配置的。考慮到可用的不同類型的云資源，以及它們可以組合在一起以支持應(yīng)用程序的方式，云配置的方式實(shí)際上是無限的。

在調(diào)研機(jī)構(gòu)2021年的調(diào)查中，36%的云計(jì)算專業(yè)人士表示，他們所在的企業(yè)在過去一年中遭受了嚴(yán)重的云安全漏洞或網(wǎng)絡(luò)攻擊，這些事件有多種發(fā)生的方式。

需要記住的是，對象存儲和IAM服務(wù)等資源的配置在橫向擴(kuò)展的運(yùn)行環(huán)境中可能會變得極其復(fù)雜，而且人們知道每一次云泄露都涉及一系列錯(cuò)誤配置漏洞。與其只關(guān)注單一資源的錯(cuò)誤配置，還不如徹底了解其用例，并批判性地思考如何在運(yùn)營環(huán)境的完整場景中保護(hù)這些服務(wù)。

例如，人們可能認(rèn)為Amazon S3存儲桶已經(jīng)安全配置，因?yàn)閱⒂昧恕白柚构苍L問”，此時(shí)惡意行為者可能能夠通過在同一環(huán)境中利用過度特權(quán)的IAM資源來訪問其內(nèi)容。了解其破壞程序的風(fēng)險(xiǎn)可能是一個(gè)難以解決的問題，但這是一個(gè)不容忽視的問題。

云配置錯(cuò)誤的規(guī)模

云配置錯(cuò)誤漏洞與應(yīng)用程序和操作系統(tǒng)漏洞的不同之處在于，即使修復(fù)了它們，也會不斷出現(xiàn)。企業(yè)可能在開發(fā)管道中設(shè)置了控制措施，以確保開發(fā)人員不會將已知的應(yīng)用程序或操作系統(tǒng)漏洞部署到生產(chǎn)環(huán)境中。一旦這些部署得到保護(hù)，這通常是一個(gè)已解決的問題。

云配置錯(cuò)誤是不同的，而同樣的錯(cuò)誤配置漏洞反復(fù)出現(xiàn)也是司空見慣的。允許不受限制的SSH訪問的安全組規(guī)則(例如端口22上的0.0.0.0/0)只是日常發(fā)生的錯(cuò)誤配置的一個(gè)示例，通常在批準(zhǔn)的部署管道之外。而使用這個(gè)例子是因?yàn)榇蠖鄶?shù)工程師都熟悉它(并且很可能在他們職業(yè)生涯的某個(gè)階段做出這種令人震驚的行為)。

因?yàn)樵朴?jì)算基礎(chǔ)設(shè)施非常靈活，可以使用API隨意更改它，所以傾向于這樣做。這是一件好事，因?yàn)橐恢痹诓粩鄤?chuàng)新和改進(jìn)應(yīng)用程序，并且需要修改基礎(chǔ)設(shè)施以支持這種創(chuàng)新。但是，如果在這一過程中沒有防范錯(cuò)誤配置，那么預(yù)計(jì)會在運(yùn)營環(huán)境中引入大量錯(cuò)誤配置。一半的云計(jì)算工程和安全團(tuán)隊(duì)表示，每天可能要處理50次或更多的錯(cuò)誤配置事件。

為什么會發(fā)生云配置錯(cuò)誤

如果成功地使用了云計(jì)算服務(wù)，那么云計(jì)算環(huán)境唯一不變的就是變化，因?yàn)檫@意味著企業(yè)正在快速創(chuàng)新并不斷改進(jìn)其應(yīng)用程序。但每一次變化都會帶來風(fēng)險(xiǎn)。

根據(jù)調(diào)研機(jī)構(gòu)Gartner公司的研究，到2023年，99%以上的云安全故障都是客戶自己犯的錯(cuò)誤。考慮到云配置錯(cuò)誤是云安全故障的一種發(fā)生方式，而錯(cuò)誤配置則完全是人為錯(cuò)誤的結(jié)果。

但為什么云計(jì)算工程師如此頻繁地犯下這樣嚴(yán)重的錯(cuò)誤呢？

缺乏對云安全和策略的認(rèn)識是過去一年報(bào)告的云配置錯(cuò)誤的主要原因之一。如果將所有的合規(guī)規(guī)則和內(nèi)部安全策略匯編在一起，其內(nèi)容可能會像長篇小說那樣多。沒有人能記住這些規(guī)則，也不應(yīng)該期望他們能記住。

因此，需要適當(dāng)?shù)目刂拼胧﹣矸乐古渲缅e(cuò)誤。但31%的受訪者表示，他們所在的企業(yè)缺乏足夠的控制和監(jiān)督來防止云配置錯(cuò)誤。

部分原因是有太多API和云接口供團(tuán)隊(duì)有效管理。使用多個(gè)云平臺(45%的受訪者報(bào)告)只會加劇問題，因?yàn)槊總€(gè)云平臺都有自己的資源類型、配置屬性、管理接口、策略和控制。企業(yè)的團(tuán)隊(duì)需要能夠有效解決所有正在使用的云平臺的專業(yè)知識。

如果企業(yè)的團(tuán)隊(duì)采用了云服務(wù)提供商的云原生安全工具，多云安全挑戰(zhàn)會更加復(fù)雜，這在多云環(huán)境中不起作用。

七條戰(zhàn)略性建議

由于云安全主要涉及在錯(cuò)誤配置錯(cuò)誤被黑客利用之前對其進(jìn)行預(yù)防、檢測和修復(fù)，因此在開發(fā)生命周期的每個(gè)階段都需要部署有效的基于策略的自動化，從基礎(chǔ)設(shè)施即代碼(IaC)到持續(xù)集成(CI)/持續(xù)交付(CD)。

以下列出了云計(jì)算專業(yè)人士為實(shí)現(xiàn)這一目標(biāo)提出的七條建議。

(1) 建立對環(huán)境的可見性

云安全與企業(yè)的數(shù)據(jù)有關(guān)，并拒絕網(wǎng)絡(luò)攻擊者和競爭對手獲取這些數(shù)據(jù)和知識。如果不了解云計(jì)算環(huán)境的完整狀態(tài)，包括每個(gè)資源、配置和關(guān)系，那么將面臨嚴(yán)重的風(fēng)險(xiǎn)。企業(yè)需要跨云平臺建立并保持對云計(jì)算環(huán)境的全面可見性，并持續(xù)評估每次更改的安全影響，其中包括潛在的破壞風(fēng)險(xiǎn)。

企業(yè)不僅會獲得更好的安全態(tài)勢，還要讓其開發(fā)人員更快地行動，合規(guī)性專業(yè)人員也會從企業(yè)提供主動審計(jì)證據(jù)而受益。

(2) 盡可能使用基礎(chǔ)設(shè)施即代碼

除了少數(shù)例外，企業(yè)沒有理由構(gòu)建和修改基礎(chǔ)設(shè)施之外的任何云計(jì)算基礎(chǔ)設(shè)施即代碼(IaC)和自動化持續(xù)集成(CI)/持續(xù)交付(CD)管道，尤其是對于任何新事物。使用IaC不僅為云計(jì)算運(yùn)營帶來了效率、規(guī)模和可預(yù)測性，還提供了一種檢查云計(jì)算基礎(chǔ)設(shè)施預(yù)部署安全性的機(jī)制。當(dāng)開發(fā)人員使用IaC時(shí)，可以為他們提供在部署之前檢查其基礎(chǔ)設(shè)施安全性所需的工具。

如果企業(yè)正在采用多云，那么像Terraform這樣被廣泛采用的開源IaC工具可能是其最好的選擇。云計(jì)算服務(wù)提供商(即AWS CloudFormation、Azure資源管理器和谷歌部署云管理器)提供的IaC產(chǎn)品是免費(fèi)的，如果不需要多云支持，則值得考慮采用這樣的產(chǎn)品。

(3) 盡可能使用基于策略的自動化

無論在哪里使用人類語言表達(dá)云計(jì)算策略，都會在解釋錯(cuò)誤方面產(chǎn)生差異。適用于企業(yè)的云計(jì)算環(huán)境的每個(gè)云安全和法規(guī)遵從性策略都應(yīng)該作為可執(zhí)行代碼來表達(dá)和實(shí)施。有了策略即代碼，云安全變得具有確定性。這樣可以有效地管理和實(shí)施安全策略，并幫助開發(fā)人員在開發(fā)過程的早期獲得安全性。

避免使用專有的供應(yīng)商策略即代碼工具，并選擇開源策略引擎，如Open Policy Agent(OPA)。OPA可以應(yīng)用于任何可以產(chǎn)生JSON或YAML輸出的東西，這幾乎涵蓋了所有的云用例。

企業(yè)可以優(yōu)先考慮不需要針對IaC和運(yùn)行云計(jì)算基礎(chǔ)設(shè)施使用不同工具和策略的解決方案。

(4) 使開發(fā)人員能夠安全地構(gòu)建

對于云計(jì)算，安全性是一個(gè)軟件工程問題，而不是數(shù)據(jù)分析問題。云安全專業(yè)人員需要工程技能并了解整個(gè)軟件開發(fā)生命周期(SDLC)的工作原理，從開發(fā)到持續(xù)集成(CI)/持續(xù)交付和運(yùn)行時(shí)。開發(fā)人員需要工具來幫助他們在軟件開發(fā)生命周期(SDLC)的早期獲得安全性。讓安全成為發(fā)展的先見之明和密切的伙伴，而不是只關(guān)注部署之后事后考慮的問題。

對安全團(tuán)隊(duì)進(jìn)行云工程實(shí)踐培訓(xùn)，不僅能讓他們更好地掌握防御云計(jì)算網(wǎng)絡(luò)威脅所需的技能，還能獲得寶貴的技能和經(jīng)驗(yàn)，幫助他們在職業(yè)生涯方面的發(fā)展。企業(yè)將提高團(tuán)隊(duì)保留率，并更好地為其企業(yè)提供理想的工作場所。

云安全系列課程旨在幫助云計(jì)算和安全工程師了解云計(jì)算風(fēng)險(xiǎn)，以及如何批判性地思考保護(hù)其獨(dú)特用例的安全。

(5) 鎖定訪問策略

如果企業(yè)還沒有正式的訪問和管理云計(jì)算環(huán)境的策略，那么現(xiàn)在是創(chuàng)建的時(shí)候了。使用虛擬專用網(wǎng)絡(luò)(VPN)強(qiáng)制與關(guān)鍵網(wǎng)絡(luò)空間(例如Amazon Virtual PrivateCloud或Azure Virtual Network)進(jìn)行安全通信。使VPN訪問可用，以便團(tuán)隊(duì)可以訪問企業(yè)資源，即使它們位于不太受信任的Wi-Fi網(wǎng)絡(luò)上。

工程師傾向于創(chuàng)建新的安全組規(guī)則或IP白名單，以便他們可以訪問云中的共享團(tuán)隊(duì)資源。頻繁的審計(jì)可以證明虛擬機(jī)或其他云計(jì)算基礎(chǔ)設(shè)施不會面臨額外的風(fēng)險(xiǎn)。監(jiān)督創(chuàng)建堡壘主機(jī)，鎖定源IP范圍，并監(jiān)控不受限制的SSH訪問。

在AWS、Azure、GCP和其他公有云中，IAM充當(dāng)一個(gè)無處不在的網(wǎng)絡(luò)。遵循最少許可原則，并利用Fugue最佳實(shí)踐框架等工具來識別合規(guī)檢查可能遺漏的漏洞。讓IAM更改成為企業(yè)的更改管理流程的一部分，并利用特權(quán)身份和會話管理工具。

因此，需要采用“默認(rèn)拒絕”的心態(tài)。

(6) 標(biāo)記所有云資源

在整個(gè)云足跡中實(shí)施資源標(biāo)記并建立有效的標(biāo)記約定。使用標(biāo)記是幫助企業(yè)跟蹤和管理云資源的最佳方式之一，但需要建立標(biāo)記約定并強(qiáng)制執(zhí)行。使用人類可讀的資源名稱，并包括每個(gè)資源的聯(lián)系人、項(xiàng)目名稱和部署日期等。

如果未正確標(biāo)記云資源，則應(yīng)將其視為高度可疑并終止。例如Microsoft Azure在云資源標(biāo)記約定方面有很好的資源。

(7) 確定平均修復(fù)時(shí)間

衡量風(fēng)險(xiǎn)和云安全的有效性就是企業(yè)如何確定其立場和目標(biāo)。最重要的衡量標(biāo)準(zhǔn)是平均修復(fù)時(shí)間。企業(yè)可能不知道當(dāng)前的安全關(guān)鍵云資源配置錯(cuò)誤的平均修復(fù)時(shí)間是多少(很少有云客戶會這樣做)，那么應(yīng)該改變它。為以分鐘為單位的平均修復(fù)時(shí)間設(shè)定目標(biāo)，如果自動修復(fù)對企業(yè)的團(tuán)隊(duì)和環(huán)境來說并不是一個(gè)可行的選擇，需要調(diào)整其流程以確保團(tuán)隊(duì)能夠在黑客發(fā)現(xiàn)關(guān)鍵漏洞之前檢測和修復(fù)它們。

展望未來

隨著云計(jì)算應(yīng)用的增長，企業(yè)的運(yùn)營環(huán)境的復(fù)雜性以及保持其安全的挑戰(zhàn)將會增加。黑客可以使用自動化技術(shù)在幾分鐘內(nèi)識別和利用云錯(cuò)誤配置，因此首先避免配置錯(cuò)誤至關(guān)重要。通過為企業(yè)的開發(fā)人員配備基于策略即代碼的自動化工具，將能夠擴(kuò)展其安全工作以應(yīng)對這些新挑戰(zhàn)，而無需增加安全人員。而且，企業(yè)的數(shù)據(jù)在云中的移動速度將比在數(shù)據(jù)中心中的移動速度更快。