随着云服务的采用越来越多,组织需要了解如何保护其环境。我们的研究分析了在云中遇到的常见威胁,并提供了组织如何更好地应对这些威胁的见解。
云技术的采用率一直在稳步上升,不仅是在寻找更具成本效益的物理基础设施替代品的小公司中,而且在希望利用其灵活性的大企业中。然而,组织所面临的挑战之一,特别是那些刚刚搬到云端的组织,是对云端的操作方式以及它与纯本地系统的区别缺乏了解。云设置通常不仅涉及单个实现;相反,它们将来自不同云提供商的不同服务组合在一起,通常与物理数据中心结合在一起。
这一挑战扩展到了安全性方面——不充分地保护云部署和不熟悉云服务的配置细节都存在风险。许多因素可能导致工作负载和应用程序暴露于攻击,包括错误配置、技术使用不当、在操作和保护云系统方面缺乏经验,甚至仅仅是开发人员或云工程师的疏忽。云系统的组件以多种方式相互连接,使得潜在的攻击向量难以映射。对于刚刚开始掌握云平台和服务的IT安全人员来说,安全是一项艰巨的工作。
在我们题为“解开云安全威胁的网络”的论文中,我们提供了组织在迁移到云或使用云服务时可能面临的威胁和风险的示例。无论是云服务还是云平台,我们发现的共同主题是,错误配置仍然是云安全的主要陷阱之一,影响到订阅云服务的公司和托管在云上的软件的用户。
全球可写Amazon S3存储桶
亚马逊网络服务(Amazon Web Services,AWS)凭借其提供的各种服务,已经成为云行业的主要参与者。在AWS稳定的产品中,Amazon简单存储服务(Amazon S3)可能是最受欢迎的;其基础设施正被Netflix、Reddit和Pinterest等公司使用。
我们在研究AmazonS3存储桶时看到的一个一致趋势是,许多组织都将其保留为可写的,这是一种允许未经授权的用户向存储桶写入数据的错误配置。一个被广泛报道的例子涉及五十、 一个.Times,它以前配置了一个网络访问控制列表(ACL),允许对托管其凶杀网站的bucket进行公共写访问。这使得攻击者能够向JavaScript代码中添加cryptocurrency miner。
从为Trend MicroTM Smart Protection NetworkTM基础设施收集的Akamai数据中收集的遥测数据还显示,在2019年的大部分时间里,对一些具有世界可写存储桶的网站的攻击发生了——一些攻击涉及恶意代码的注入,并最终从网站表单中过滤数据。我们遇到的另一个问题是被归类为恶意的文件,这些文件托管在Amazon S3存储桶上。他们中的许多人使用旧的路径式寻址方案。这意味着bucket使用的是一个通用的Amazon S3主机名,而不是虚拟托管方案,其中bucket的名称包含在主机名中。
这给安全过滤器带来了一个问题,因为阻止使用路径样式方案的恶意网站的主机名也总是会阻止其他非恶意网站。
云计算是云计算中的第二个主要服务,目前主要集中在容器技术上。与一般的云计算领域一样,容器在过去几年中的采用率也很高。Docker、Kubernetes和AWS Lambda等软件帮助推动了容器技术的发展,为希望简化开发操作的组织提供了轻量级和高效的云部署。然而,配置中的失误或错误是常见的,使系统面临利用这些错误配置进行攻击的风险。
Docker
Docker用户一直受到恶意容器扩散的困扰,这些容器向加密货币矿工发送加密货币,通常是Docker容器暴露在互联网上的结果。这些矿工可能会对他们感染的计算机造成重大的性能影响,甚至可能由于基于自动伸缩实例的云部署中的极端CPU利用率而导致金钱损失。
攻击者可以使用多种技术将miner注入公开的Docker服务器。最简单的方法是直接从包含代码的图像安装cryptocurrency miner。另一种常见的方法是在引导过程中使用像Ubuntu这样广泛使用的基本映像来安装挖掘软件。
AWS Lambda公司
AWS Lambdas是无服务器事件驱动的流程,为没有设置利用模式的应用程序提供轻量级和经济高效的解决方案。一个常见的误解是,由于攻击者无法直接检索函数名,lambda受到保护。这种误解通常会导致在没有正确身份验证的情况下实现函数。
然而,攻击者可以通过多种方法找到Lambda,例如,使用嗅探器监听网络流量,或者检查使用Lambda并运行API网关的站点的源代码。如果没有安全的Lambda身份验证,敏感信息就有暴露的风险。
此外,由于开发人员如何对其进行编码,许多基于Python的Lambda函数在给定错误参数时会打印堆栈跟踪,这可能导致攻击者获得Lambda实现的基本知识。
Kubernetes
Kubernetes是一个开源的容器编排平台,用于管理容器工作负载。使用Shodan,我们发现2019年1月有32000个Kubernetes服务器暴露在互联网上。与其他错误配置的实例类似,可以出于恶意目的利用Kubernetes服务或其任何组件(可供internet公开访问)。
Kubernetes
Kubernetes使用其Kubeletes子组件的API来管理每个节点中的容器。在版本1.10之前的旧Kubernetes迭代中,Kubelet公开了数据端口10255和控制端口10250。这两个端口都可以被利用。虽然控制端口的滥用更为明显——例如,它可用于安装加密货币矿工——但端口10255可能包含潜在的敏感信息。
Etcd公司
Etcd是一个分布式和复制的键值存储,充当Kubernetes的主数据存储。它负责存储Kubernetes安装的配置,并为服务发现提供存储后端。除了Kubernetes,其他应用程序,如CoreDNS和Rook,都使用etcd。鉴于其作为数据存储的用途,公开的etcd可能会泄漏敏感数据,包括用于服务器和应用程序的凭据。我们使用Shodan发现了2400多个公开的etcd服务器,代表了Kubernetes和其他软件的混合体。
凭据管理不正确
凭证的使用——虽然经常被忽略——是云计算最重要的方面之一。由于组织无法像保护数据中心那样保护云系统的物理安全,因此对强凭据安全性的需求变得更大。安全凭据方面的一个挑战是,许多进程通常需要访问需要身份验证的数据和其他资源。这意味着用户需要保护数据和凭据不被泄露。
程序员犯的一个常见错误是,他们无意中泄露了GitHub等公共存储库中的凭证信息。在联机发布的代码片段中有时会发现API密钥等敏感数据,攻击者可以利用这些数据潜在地接管凭据所用的帐户。泄露的账户可能被用于一些恶意目的,例如窃取客户数据,然后在地下出售。
我们发现的另一个问题是,许多缺乏经验的程序员经常遵循误导性的云教程,其中许多教程鼓励在代码内部硬编码凭证。当代码发布到存储库时,这就成了一个问题,任何人都可以访问它。
随着云服务应用的增长,组织需要充分了解他们面临的威胁,并做好适当的准备来保护他们的云系统。如果没有一个健壮的安全实现,云的好处就无法实现。我们在研究中分析的威胁并没有涵盖云中的所有潜在威胁和风险,但是我们包括了一些最重要的威胁和风险。这对IT和安全人员来说尤为重要,他们需要了解云的结构以及保护云所需的策略。
【参考来源trendmicro】
