缺乏安全API可引发IaaS风险

日期: 2015-08-12 作者:Dave Shackleford翻译:谈翔 来源:TechTarget中国 英文

IaaS的数据安全风险对企业迁移到云来说是一个长期存在的问题,然而有一些特定的问题需要我们时刻留意。

把数据、系统和应用放到云环境中的风险已经是众所周知的事情。现今像云安全联盟(CSA)这样的组织一直描述各种云部署模型中存在的风险,并在2015年5月发表题为“IaaS云存在的错误可能让你的数据处于危险之中”的文章,Symantec描述了一些可能对基础设施及服务(IaaS)云服务的客户产成风险的主要领域。在一次采访中,亚马逊Web服务的资深安全项目经理Bill Murray表示关于云安全最大的担忧是,客户没有把基本的安全最佳实践应用到他们部署和管理的IaaS资产中。这与Symantec的研究结果相一致,该结果发现16000个已经发现的云域中有0.3%的域文件夹结构很容易被猜到,其不仅可以被访问,而且还导致11000个文件,包含如信用卡交易、用户名和密码、电子邮件地址的敏感数据对任何人都可读。研究人员还发现了一些泄露的可访问的密码凭证,其中有些被硬编码到应用程序中。

Symantec在云安全研究中发现的首要问题包括接口API、共享资源、数据泄露、恶意的内部人员和错误配置的问题。所有这些都和CSA的报告“臭名昭著的九条:2013年云计算主要威胁”所描述的问题一致。Symantec在研究中发现了这些数据安全风险的具体事例,不过,在组织实施和评估云服务的今天,应该提供一些“发人深思的东西”。

提防不安全的API

Symantec报告的一个核心主题是,许多最严重的IaaS风险很大程度是由于云管理员对操作系统,应用程序和云管理界面的错误配置或缺乏安全控制。列出的第一个主要风险是缺乏安全的API,这些API是由云提供商提供以允许用户与他们的服务以及服务管理更无缝的集成。尽管提供商负责提供安全的API和补丁,客户应该自己对这些API进行评估,包括支持的传输方法以及什么样的数据在与供应商的交互过程中被来回发送。API或应用程序的更新很容易导致兼容性问题,甚至也可能引发数据泄露的场景,因此客户应该定期测试他们的程序和API交互的部分。

云提供商的责任

当然云用户本身无法完全减轻内部人员威胁,云提供商必须监控所有的活动和实现可靠的职责和权限管理流程控制的分离。该报告明确提到将加密密钥存储到云里,那里恶意的内部人员有可能访问到这些密钥。虚拟化管理程序的漏洞也存在同样的问题–用户无法查看虚拟机管理程序的配置或控制,因此供应商将需要对虚拟化平台和工具相关的补丁和新缺陷更加细心。大多数云供应商也有对分布式DDoS攻击的强力控制,以及对数据丢失的控制。但是,用户没有对云帐户口令的访问控制权或无法监控IaaS日志来查看非法活动或者帐户使用的情况。攻击者正在黑市上以每个7到8美元的价格贩售云服务帐户。

防御IaaS攻击

Symantec的报告中描述了各种不同的针对IaaS环境的攻击,包括存储枚举,泄露的访问令牌等。建议云客户要在选定IaaS前彻底调研云服务提供商的安全控制和服务水平协议。客户应尽可能利用多因素身份验证,对数据进行加密以减少内部威胁,维护密钥的控制权,并开始比以往任何时候都更关注在云环境中的可用日志。定期扫描基于云的系统漏洞也是一个最佳做法。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

相关推荐