论文部分内容阅读
对于完全在云中运行的企业而言,其所有业务都可能面临风险。监视和验证云安全配置能有所帮助。
去年秋天,一位安全研究人员发现四个亚马逊S3存储桶存放了高度敏感的数据,有客户凭证,还有一个备份数据库包含了4万个密码。埃森哲无意中把这些存储桶设置为允许公众访问,导致所有信息都被完全暴露了。研究人员将此事通知了埃森哲,埃森哲第二天便锁定了数据。
并非埃森哲一家是这样。其他将其亚马逊S3存储桶向公众开放的公司还有Dow Jones、Verizon和军事情报机构INSCOM。越来越多的坏消息接踵而来。
11月,Uber发现黑客们掌握了他们也是存储在亚马逊网络服务(AWS)上的5700万名用户的个人信息,然后给黑客付了些钱,想把这次泄露事件隐瞒下来。接下来还有,上个月,Experian的一名客户购买了一套包含1.2亿美国家庭信息的数据集,也是将其放在公共的亚马逊S3存储桶中,结果被泄露了。
据RedLock最近的一份报告,使用Amazon S3这样的云存储服务的企业中,有53%的企业无意间向公众公开了某种服务。RedLock公司首席执行官兼联合创始人Varun Badhwar表示:“我们发现250家企业的凭证泄露到了他们的云AWS环境中。”
专家指出,配置不当的云服务问题远不止AWS一家,随着越来越多的数据和应用程序迁移到云中,情况只会越来越严重。RedLock分析了客户环境中500多万份资源,以及公有云计算环境中的漏洞,发现有37%的数据库能够接受直接来自互联网的入站连接,其中7%的数据库已经被可疑的IP地址访问过了。RedLock报告说:“数据库绝不应该暴露在互联网上。”
而且不仅仅是数据库。如果出现配置错误,黑客还有可能利用企业云账户来进行比特币挖矿操作。据RedLock的研究,Aviva和Gemalto便是被攻破的企业。Badhwar说:“现在这已经是个大问题了。2018年,还会有很多这样的事情发生。”
对于完全在云中运行的企业而言,其所有业务都可能面临风险。监视和验证云安全配置能有所帮助。Veeva系统公司为生命科学行业提供基于云的内容管理系统,该公司全球信息安全官David Tsao说:“资源配置不当是严重的威脅,特别是考虑到我们公有云计算的规模。”他说,基于云计算的业务模式是企业成功的一个“非常重要的因素”。我们公司需要一种方法来连续监视整个云环境,包括资源配置。
Veeva决定去找RedLock合作,这是新一批云安全管理初创公司中的一家。事实上,RedLock去年春天才悄然出现。Tsao说:“该公司的平台可以帮助Veeva迅速发现云环境中的问题,提高了安全态势的可见性。”
为什么会有云安全配置问题?
在传统的本地部署环境中,节奏都很慢。企业有时间去配置自己的网络,并对新软件进行安全审查。最敏感的信息一直隐藏在企业防火墙后面。
而在当今的云和混合环境中,很多安全控制措施不再适用了。我们看到了这样的结果。Dome9安全公司首席执行官Zohar Alon表示:“配置错误导致了目前云中的大部分数据被盗和泄露事件。”
配置不当导致的访问控制问题随处可见。例如,以帮助企业使用容器的开源Kubernetes平台为例。黑客就是利用了该平台,去年秋天接管了Aviva和Gemalto的亚马逊服务器,让这些服务器去为他们进行比特币挖矿。RedLock的Badhwar说:“这是容器管理事实上的标准平台。我们发现很多被泄露的信息,都不需要登录或者密码。”
有些服务从一开始就配置错了。有时,临时修改了设置,但再也没有改回来。负责配置的人也是变来变去。
通常,客户希望云提供商能够处理好所有安全问题,自己没有任何系统来确保云服务被正确的锁定。Badhwar说:“其实应该是共同承担责任,但这还处于早期阶段,大多数企业仍然不具备这方面的能力。”
目前以各种各样的方式来提供云服务也使得这个问题更加严重。开发人员创建了虚拟服务器和容器,以便快速推出应用程序,存储数据。业务部门通过自己注册来使用服务,个人用户也是如此。
专家称,本地数据中心所采用的传统配置管理方法并不适用于云服务。云平台通常有自己的系统来监视配置的更改。
Barracuda网络公司的公有云副总裁Tim Jefferson指出,例如,AWS有AWS Cloud Trail和AWS Config。微软的Azure云平台有其运营管理套件。其他流行的SaaS云提供商没有集中的管理工具,而是让个人用户负责自己的安全和共享设置。
Kudelski安全公司首席技术官Andrew Howard说,云服务部署起来要比传统的本地应用程序快得多。他说:“所有敏感数据都在那里,谁知道它配置是否正确。如果我是一家大企业的安全官,这将是我最担心的事情。总觉得不应该因为这样而被人攻破。”
即使是最基本的配置,例如,知道企业数据存放在哪里、怎样访问和共享等,都是问题。Howard建议企业使用云访问安全代理来跟踪云服务的使用。
新的云安全配置管理和验证工具
通常,必须手动进行配置管理。Howard说:“工具还没有达到手动配置的水平。这导致很多企业自己开发解决方案,或者使用不能完全解决问题的解决方案。有一些解决方案刚刚面市,应用还没有铺开。”
例如,去年秋天,Veriflow将其网络验证平台扩展到了AWS,包括S3存储桶。该平台自动得出配置设置的目的是什么,然后检查这些设置是否正确。
Veriflow系统公司的共同创始人兼首席技术官Brighten Godfrey指出,有时很难搞清楚设置的目的是什么,因为太复杂了,或者是因为最初做出设置的人已经离开公司了。
去年秋天,一位安全研究人员发现四个亚马逊S3存储桶存放了高度敏感的数据,有客户凭证,还有一个备份数据库包含了4万个密码。埃森哲无意中把这些存储桶设置为允许公众访问,导致所有信息都被完全暴露了。研究人员将此事通知了埃森哲,埃森哲第二天便锁定了数据。
并非埃森哲一家是这样。其他将其亚马逊S3存储桶向公众开放的公司还有Dow Jones、Verizon和军事情报机构INSCOM。越来越多的坏消息接踵而来。
11月,Uber发现黑客们掌握了他们也是存储在亚马逊网络服务(AWS)上的5700万名用户的个人信息,然后给黑客付了些钱,想把这次泄露事件隐瞒下来。接下来还有,上个月,Experian的一名客户购买了一套包含1.2亿美国家庭信息的数据集,也是将其放在公共的亚马逊S3存储桶中,结果被泄露了。
据RedLock最近的一份报告,使用Amazon S3这样的云存储服务的企业中,有53%的企业无意间向公众公开了某种服务。RedLock公司首席执行官兼联合创始人Varun Badhwar表示:“我们发现250家企业的凭证泄露到了他们的云AWS环境中。”
专家指出,配置不当的云服务问题远不止AWS一家,随着越来越多的数据和应用程序迁移到云中,情况只会越来越严重。RedLock分析了客户环境中500多万份资源,以及公有云计算环境中的漏洞,发现有37%的数据库能够接受直接来自互联网的入站连接,其中7%的数据库已经被可疑的IP地址访问过了。RedLock报告说:“数据库绝不应该暴露在互联网上。”
而且不仅仅是数据库。如果出现配置错误,黑客还有可能利用企业云账户来进行比特币挖矿操作。据RedLock的研究,Aviva和Gemalto便是被攻破的企业。Badhwar说:“现在这已经是个大问题了。2018年,还会有很多这样的事情发生。”
对于完全在云中运行的企业而言,其所有业务都可能面临风险。监视和验证云安全配置能有所帮助。Veeva系统公司为生命科学行业提供基于云的内容管理系统,该公司全球信息安全官David Tsao说:“资源配置不当是严重的威脅,特别是考虑到我们公有云计算的规模。”他说,基于云计算的业务模式是企业成功的一个“非常重要的因素”。我们公司需要一种方法来连续监视整个云环境,包括资源配置。
Veeva决定去找RedLock合作,这是新一批云安全管理初创公司中的一家。事实上,RedLock去年春天才悄然出现。Tsao说:“该公司的平台可以帮助Veeva迅速发现云环境中的问题,提高了安全态势的可见性。”
为什么会有云安全配置问题?
在传统的本地部署环境中,节奏都很慢。企业有时间去配置自己的网络,并对新软件进行安全审查。最敏感的信息一直隐藏在企业防火墙后面。
而在当今的云和混合环境中,很多安全控制措施不再适用了。我们看到了这样的结果。Dome9安全公司首席执行官Zohar Alon表示:“配置错误导致了目前云中的大部分数据被盗和泄露事件。”
配置不当导致的访问控制问题随处可见。例如,以帮助企业使用容器的开源Kubernetes平台为例。黑客就是利用了该平台,去年秋天接管了Aviva和Gemalto的亚马逊服务器,让这些服务器去为他们进行比特币挖矿。RedLock的Badhwar说:“这是容器管理事实上的标准平台。我们发现很多被泄露的信息,都不需要登录或者密码。”
有些服务从一开始就配置错了。有时,临时修改了设置,但再也没有改回来。负责配置的人也是变来变去。
通常,客户希望云提供商能够处理好所有安全问题,自己没有任何系统来确保云服务被正确的锁定。Badhwar说:“其实应该是共同承担责任,但这还处于早期阶段,大多数企业仍然不具备这方面的能力。”
目前以各种各样的方式来提供云服务也使得这个问题更加严重。开发人员创建了虚拟服务器和容器,以便快速推出应用程序,存储数据。业务部门通过自己注册来使用服务,个人用户也是如此。
专家称,本地数据中心所采用的传统配置管理方法并不适用于云服务。云平台通常有自己的系统来监视配置的更改。
Barracuda网络公司的公有云副总裁Tim Jefferson指出,例如,AWS有AWS Cloud Trail和AWS Config。微软的Azure云平台有其运营管理套件。其他流行的SaaS云提供商没有集中的管理工具,而是让个人用户负责自己的安全和共享设置。
Kudelski安全公司首席技术官Andrew Howard说,云服务部署起来要比传统的本地应用程序快得多。他说:“所有敏感数据都在那里,谁知道它配置是否正确。如果我是一家大企业的安全官,这将是我最担心的事情。总觉得不应该因为这样而被人攻破。”
即使是最基本的配置,例如,知道企业数据存放在哪里、怎样访问和共享等,都是问题。Howard建议企业使用云访问安全代理来跟踪云服务的使用。
新的云安全配置管理和验证工具
通常,必须手动进行配置管理。Howard说:“工具还没有达到手动配置的水平。这导致很多企业自己开发解决方案,或者使用不能完全解决问题的解决方案。有一些解决方案刚刚面市,应用还没有铺开。”
例如,去年秋天,Veriflow将其网络验证平台扩展到了AWS,包括S3存储桶。该平台自动得出配置设置的目的是什么,然后检查这些设置是否正确。
Veriflow系统公司的共同创始人兼首席技术官Brighten Godfrey指出,有时很难搞清楚设置的目的是什么,因为太复杂了,或者是因为最初做出设置的人已经离开公司了。