應對雲攻擊 評估雲安全控制是關鍵

隨著針雲攻擊越來越多，企業使用者必須提前對他們的雲安全控制措施做好評估。 在本文中，Dave Shackleford提供了一些防禦雲攻擊的最佳實踐。

Alert Logic公司在最近發佈了一篇2014雲安全報告，報告顯示近期針對雲的攻擊事件數量有明顯增長的趨勢。 但是，企業的雲基礎設施是否為抗擊雲攻擊做好了準備呢?

鑒於針對雲的攻擊事件數量日益增多，所有使用雲算服務的組織都應當對他們已實施的安全控制措施的狀態進行評估。

適用于客戶配置和控制的可用控制措施的類型是取決於所使用的雲服務模式的。 對於軟體即服務(SaaS)而言，唯一可能的配置是在雲應用程 序的環境中。 該配置可以包括日誌記錄和存取控制(例如密碼原則和多因素身份驗證，MFA等)，以及應用程式內的角色和許可權分配。 對於平臺即服務 (PaaS)部署來說，管理控制是通過服務主控台來實現的，它主要關注存取控制和使用者的角色與許可權。 大多數的PaaS環境還提供了對大量應用程式開發介面 (API)的訪問，這些都是需要對潛在的安全問題進行仔細評估的。

在本文中，我們將討論企業組織在評估雲安全控制措施中應當遵循的最佳實踐。

漏洞掃描與滲透測試

漏洞掃描和滲透測試是所有PaaS和基礎設施即服務(IaaS)雲服務都必須執行的。 無論他們是在雲中託管應用程式還是運行伺服器和存儲基礎設施，使用者都必須對暴露在互聯網中的系統的安全狀態進行評估。 大多數雲供應商都同意執行這樣的掃描和測試，但是這要求他們事先與客戶和/或測試人員進行充分溝通和協調，以確保其它的租戶(使用者)不會遭遇中斷事件或受到性能方面的影響。

對於在PaaS和IaaS環境中測試API和應用程式的集成來說，與雲供應商協作的企業應重點關注處於傳輸狀態下的資料，以及通過繞過身份認證或注入式攻擊等方式對應用程式和資料的潛在非法訪問。

建構管理

雲安全措施中最重要的要素就是建構管理，其中包括了補丁管理。

在SaaS環境中，建構管理是完全由雲供應商負責處理的。 如有可能，客戶可通過鑒證業務準則公告(SSAE)第16號、服務組織控制(SOC)報告或ISO認證以及雲安全聯盟的安全、信任和保證註冊證明向供應商提出一些補丁管理和建構管理實踐的要求。

在PaaS環境中，平臺的開發與維護都是由供應商來負責的。 應用程式佈建與開發的庫和工具可能是由企業使用者管理的，因此安全配置標準仍然還是屬於內部定義範疇。 然後，這些標準都應在PaaS環境中被應用和監控。

對於IaaS環境，雲供應商們應當證明他們內部實踐的可行性，但是他們的客戶還管理著他們自己的虛擬機器(VM)。 鑒於雲環境中的開放程度，這些內容都應被盡可能安全的保護起來。 由互聯網安全中心從安全配置入手，微軟公司以及其它的作業系統與應用程式供應商們是一個可靠的途徑，但是企業使用者不應滿足于內部運行的安全配置，因為雲本質上是更具開放性的。 關閉所有不必要的服務、刪除所有不需要的應用程式和代碼、限制使用者和組的存取權限至最低需要限度並且始終保證為系統打補丁的即時性。

對於使用者正在運行一個私有雲實施的IaaS環境，這就要求各種網路控制措施也是可配置的。 例如，一個亞馬遜網路服務(AWS)中的虛擬私有雲可以通過IPsec支援一個專用的VPN連接。 確保IPsec相關參數是正確配置的，同時所有其它的網路設施(例如防火牆和入侵偵測與預防系統)的設置都是被正確設置和處於被保護中的。

雲供應商的安全控制

雲供應商融入安全配置過程的切入點在哪裡?雲供應商負責所有基礎設施的運行，其中包括了虛擬化技 術、網路以及存儲等各個方面。 它還負責其相關代碼，包括了管理介面和API，所以對它的開發實踐和系統開發生命週期的評價也是非常必要的。 只有IaaS客 戶會對整個系統規格擁有真正的控制權;如果虛擬機器是基於一個供應商提供的範本(例如亞馬遜的虛擬機器鏡像)而部署的，那麼在實際使用前也應對這些虛擬機器進行 仔細研究並確保其安全性。

結論

一家組織如何確定在強化自身應對雲攻擊的準備工作中應投入多少的時間、精力和資金?其答案取決於企業在雲中所託管系統和資料的敏感性。

無論其敏感性具體是如何的，所有的企業都應在評估雲供應商的安全功能和控制措施上投入必要的時間，從而確定他們是否滿意。 雲安全聯盟的共識評估問卷(CAIQ)就是一個向雲計算供 應商提問的很好出發點。 企業應確保他們的審計和安全團隊能夠定期地查審回饋，以及諸如SOC 2這樣的審計與驗證報告。 對於那些部署在雲中的系統和應用程式，打補丁、建構管理以及應用程式安全性(包括開發和評估)都是需要投資的重要領域。 使用者訪問 控制和角色與許可權分配也是至關重要的。

在雲環境中發生攻擊或事故之前，組織就應盡可能多地瞭解由供應商維護的安全控制以及那些由使用者使用的安全控制是非常關鍵的，因為這將有助於決策層作出更全面和更明智的風險決策。