|
如何應(yīng)對(duì)公有云可能存在的安全漏洞
云平臺(tái)無(wú)處不在�,并且應(yīng)用越來(lái)越廣泛�。事實(shí)上,調(diào)研機(jī)構(gòu)IDG公司2018年的云計(jì)算研究表明,73%的企業(yè)已將至少多個(gè)應(yīng)用程序或部分基礎(chǔ)設(shè)施置于云中�����。隨著谷歌公司開始與微軟和亞馬遜展開競(jìng)爭(zhēng)�,公共云領(lǐng)域的競(jìng)爭(zhēng)目前尤其激烈。
數(shù)字化轉(zhuǎn)型是這場(chǎng)爆炸式增長(zhǎng)的主要催化劑�。通常,當(dāng)一些工作負(fù)載轉(zhuǎn)移到公共提供者(通常是不太重要的開發(fā)和測(cè)試環(huán)境)時(shí)����,云采用就開始了。過(guò)了一段時(shí)間���,非關(guān)鍵應(yīng)用程序可能會(huì)遷移,然后是存儲(chǔ)(文件和數(shù)據(jù)庫(kù))�����,然后是更大的部署�。公共云之所以具有吸引力,是因?yàn)槌休d應(yīng)用程序組件的基礎(chǔ)設(shè)施和協(xié)調(diào)過(guò)程的基礎(chǔ)部分是完全管理的���,而且大部分是隱藏的�,例如網(wǎng)絡(luò)功能��、互聯(lián)網(wǎng)訪問(wèn)、安全�����、存儲(chǔ)���、服務(wù)器和計(jì)算虛擬化��。一切都可以通過(guò)簡(jiǎn)單的用戶界面或API輕松配置���。安全是通過(guò)使用與國(guó)際互聯(lián)網(wǎng)隔離的專用網(wǎng)絡(luò)來(lái)實(shí)施的。
有關(guān)在公共云中托管的專用網(wǎng)絡(luò)的信息并不安全��。這是因?yàn)榧词箾](méi)有訪問(wèn)互聯(lián)網(wǎng)��,私有網(wǎng)絡(luò)仍然可以通過(guò)DNS與之通信�。大多數(shù)情況下,無(wú)需特定配置即可從推送到公共云基礎(chǔ)設(shè)施的工作負(fù)載獲得完整的DNS訪問(wèn)權(quán)限��。因此���,默認(rèn)情況下�,大多數(shù)公共云提供商都可以使用DNS隧道����、DNS文件系統(tǒng)和數(shù)據(jù)泄露���。這不是一個(gè)安全缺陷,而是一個(gè)專門內(nèi)置的功能�����,主要用于幫助需要訪問(wèn)云計(jì)算服務(wù)器無(wú)需服務(wù)的工作負(fù)載�,以簡(jiǎn)化數(shù)字化轉(zhuǎn)型。這這將使任何業(yè)務(wù)都能夠應(yīng)對(duì)各種可能的數(shù)據(jù)泄漏����。
最可能出現(xiàn)的四種情況如下:將惡意代碼插入后端以執(zhí)行DNS解析以提取數(shù)據(jù)。通常�,通過(guò)組織外部的標(biāo)準(zhǔn)方法(如SQL注入���、堆溢出�、已知漏洞和不安全的API)獲取訪問(wèn)權(quán)限���。
惡意代碼被插入到一個(gè)廣泛使用的庫(kù)中����,因此它會(huì)影響所有用戶(例如供應(yīng)鏈攻擊),而不考慮其是什么語(yǔ)言(例如Java�、Python和Node.js)。
企業(yè)內(nèi)有權(quán)訪問(wèn)主機(jī)的人員可以修改/安裝/開發(fā)使用DNS執(zhí)行惡意操作的應(yīng)用程序(聯(lián)系命令和控制���、推送數(shù)據(jù)或獲取惡意軟件內(nèi)容)���。
開發(fā)人員插入特定代碼,該代碼不需要更改基礎(chǔ)設(shè)施���,并使用DNS提取生產(chǎn)數(shù)據(jù)��、事件或帳戶信息�。代碼將通過(guò)持續(xù)集成和測(cè)試部分的質(zhì)量門����,并自動(dòng)部署到生產(chǎn)中。那么��,組織可以做些什么——特別是當(dāng)它在多個(gè)云服務(wù)上部署多層次應(yīng)用程序時(shí)����?
首先,應(yīng)該為存儲(chǔ)在公共云托管的私有網(wǎng)絡(luò)上的任何業(yè)務(wù)信息部署專用DNS服務(wù),即使它是臨時(shí)的����。專用DNS服務(wù)將允許組織篩選可訪問(wèn)的內(nèi)容和不應(yīng)訪問(wèn)的內(nèi)容。它還允許組織定期審計(jì)云架構(gòu)���,這在任何公共云環(huán)境中都是都是必需的�。這需要特定的識(shí)別云模式���,這對(duì)大多數(shù)系統(tǒng)和網(wǎng)絡(luò)架構(gòu)師來(lái)說(shuō)都是新的�。大多數(shù)工作負(fù)載不需要完全訪問(wèn)全球互聯(lián)網(wǎng)����。但有時(shí)它是必要的——例如,當(dāng)企業(yè)的DevOps團(tuán)隊(duì)需要更新基礎(chǔ)設(shè)施�、安裝包或依賴項(xiàng)時(shí),因?yàn)樗?jiǎn)化了部署階段�����。企業(yè)可以通過(guò)設(shè)計(jì)一個(gè)“不可變的基礎(chǔ)設(shè)施”來(lái)實(shí)現(xiàn)這一點(diǎn)��,該基礎(chǔ)設(shè)施具有預(yù)構(gòu)建的圖像����、專用網(wǎng)絡(luò)和受控的入站和出站通信。他們還應(yīng)該執(zhí)行測(cè)試階段���,特別是因?yàn)樵朴?jì)算提供商的選項(xiàng)可能會(huì)在不集成的情況下發(fā)生變化���。
其次,云計(jì)算提供商提出了部署內(nèi)部資源和后端服務(wù)(如數(shù)據(jù)庫(kù)���、文件存儲(chǔ)����、特定計(jì)算��、后臺(tái)管理)的專用網(wǎng)絡(luò)解決方案��。這解決了數(shù)據(jù)保護(hù)(例如�����,GDPR法規(guī))�、數(shù)據(jù)加密或只是為了阻止應(yīng)用程序的某些部分直接暴露于互聯(lián)網(wǎng)等安全和監(jiān)管問(wèn)題。然而��,更好的做法是在未連接到全球互聯(lián)網(wǎng)的子網(wǎng)或網(wǎng)絡(luò)上部署計(jì)算后端資源,而這只能由已知的資源實(shí)現(xiàn)����。然后,可以強(qiáng)制執(zhí)行篩選規(guī)則以限制訪問(wèn)并遵守安全策略�����。
最后�����,確保在云計(jì)算編排器中集成靈活的DDI(DNS-DHCP-IPAM)解決方案����,以簡(jiǎn)化配置。啟用該服務(wù)后�����,DDI將自動(dòng)在配置中推送適當(dāng)?shù)挠涗?��。這不僅可以為組織節(jié)省大量時(shí)間�����,還可以實(shí)施有助于保護(hù)公共云部署的策略�。
將應(yīng)用程序移動(dòng)到公共云或私有云是不可避免的�����。隨著企業(yè)不斷自我轉(zhuǎn)型�,云計(jì)算的使用也將隨之而來(lái)。但是�,企業(yè)需要意識(shí)到,公共云在安全性方面并非一無(wú)是處���,并且不能假定涵蓋了所有角度���。否則,云計(jì)算的便利性會(huì)給企業(yè)的數(shù)據(jù)帶來(lái)不便�����。
|
