來源:派臣科技|時(shí)間:2018-08-08|瀏覽:次
根據(jù)CSA(Cloud Security Alliance,云安全聯(lián)盟)在今年年初發(fā)布的《Cloud Adoption,Practices and Priorities Survey Report》調(diào)研報(bào)告,73%的受訪對象表示,安全仍舊是企業(yè)上云的首要顧慮。
由于云服務(wù)器替代傳統(tǒng)服務(wù)器承載了與企業(yè)生存發(fā)展息息相關(guān)的互聯(lián)網(wǎng)業(yè)務(wù),使得客戶對云安全的疑問很大程度上聚焦在云服務(wù)器的安全上。
云服務(wù)器安全嗎?
這個(gè)問題不僅僅限定在看不到摸不著的虛擬化層面。讓客戶感觸更為深刻的是:突然發(fā)現(xiàn),之前很多常見和慣用的安全防護(hù)系統(tǒng),特別是“硬件盒子”,都從采購名單上消失了。云計(jì)算環(huán)境對于安全防護(hù)的改變可見一斑。
這樣一來,云服務(wù)器的安全該怎樣實(shí)現(xiàn)呢?
云服務(wù)器的安全威脅
正像云計(jì)算對于互聯(lián)網(wǎng)業(yè)務(wù)革命性的改變一樣,對安全的改變也是徹底的,不僅呈現(xiàn)在安全防護(hù)理念上,還有對安全交付方式的改變。
不過,安全的本質(zhì)并沒有因?yàn)樵朴?jì)算技術(shù)的引入發(fā)生改變。
事實(shí)上,部署在傳統(tǒng)環(huán)境下的服務(wù)器和云環(huán)境下的服務(wù)器,從安全威脅角度上講沒有太多不同。
從上圖可見,云服務(wù)器的安全威脅緊要包含:
自身存在的脆弱性,例如漏洞(包含虛擬化層面)、錯(cuò)誤的配置、不該開放的端口等;
外部威脅,例如后門、木馬、暴力破解攻擊等。
不管是部署在傳統(tǒng)數(shù)據(jù)中心還是云數(shù)據(jù)中心中,服務(wù)器安全都要面對和解決上述兩個(gè)方面的威脅。
對于云服務(wù)器來說,首先需要解決的是自身脆弱性的問題,特別是漏洞。
存在漏洞的系統(tǒng)就像一間打開窗戶的房間,不管安裝了多么先進(jìn)的門禁系統(tǒng),也無法阻擋小偷的光臨。
此外,對服務(wù)器關(guān)鍵配置和端口的檢查和監(jiān)控,一方面能夠減少攻擊面,另一個(gè)方面能夠隨時(shí)掌握系統(tǒng)安全狀態(tài)。
從外部威脅角度上講,暴力破解仍舊是云服務(wù)器最大的網(wǎng)絡(luò)威脅。暴力破解防護(hù)需要覆蓋系統(tǒng)、使用和數(shù)據(jù)庫三個(gè)層面,任何一個(gè)層面的缺失都會增大系統(tǒng)遭受入侵的概率。
最后,能否快速發(fā)現(xiàn)和清除云服務(wù)器上的病毒、木馬和后門是對防護(hù)能力的重大考驗(yàn)。
云服務(wù)器的雙重挑戰(zhàn)
云服務(wù)器安全緊要面臨來自內(nèi)部和外部的雙重挑戰(zhàn)。
首先,云服務(wù)器的脆弱性突出呈現(xiàn)在未被修復(fù)的漏洞上。
根據(jù)國外某安全機(jī)構(gòu)的統(tǒng)計(jì),在金融行業(yè),漏洞平均修復(fù)時(shí)間長達(dá)176天。采用云計(jì)算后這個(gè)數(shù)字稍微有所改善,然而,云服務(wù)器漏洞的平均修復(fù)時(shí)間仍舊是50天。無論是176天還是50天,對于進(jìn)攻一方來說,足夠遍歷整個(gè)服務(wù)器。
其次,根據(jù)國外某安全企業(yè)的檢測,“黑客”成功入侵AWS服務(wù)器只需要4個(gè)小時(shí)。表面看是系統(tǒng)脆弱性誘發(fā),背后實(shí)際上是黑客的暴力破解行為。
在云計(jì)算環(huán)境中,大部分云服務(wù)提供商并不提供暴力破解防護(hù)服務(wù),而是建議客戶在服務(wù)器上安裝三方防護(hù)軟件。事實(shí)上,市面潮流的云服務(wù)器安全軟件普通只提供使用系統(tǒng)層面的暴力破解防護(hù),并沒有覆蓋到使用和數(shù)據(jù)庫層面。使用和數(shù)據(jù)庫層面的缺失無疑是在云服務(wù)器防護(hù)上玩起了“鋸箭”法——使用系統(tǒng)我管,上面的找別人。
第三,絕大多數(shù)云服務(wù)器安全系統(tǒng)/方法呈現(xiàn)為單點(diǎn)防護(hù)。
單點(diǎn)防護(hù)具備兩個(gè)特點(diǎn):橫向上,針對服務(wù)器個(gè)體的防護(hù)以及縱向上在服務(wù)器一個(gè)層面進(jìn)行防護(hù)。
橫向上的單點(diǎn)防護(hù)呈現(xiàn)為每個(gè)云服務(wù)器都是彼此孤立的個(gè)體。在木馬、后門變異樣本層出不窮的今天,如果惡意樣本采集不是即時(shí)的,解析和策略分享、下發(fā)不能快速完成,將無異于將主動(dòng)權(quán)拱手讓給入侵者。
縱向上的單點(diǎn)呈現(xiàn)在,同時(shí)也是常見云服務(wù)器安全軟件的“通病”,無論是網(wǎng)絡(luò)、系統(tǒng)、使用和數(shù)據(jù)防護(hù)都依靠安裝在云服務(wù)器上的軟件來完成。先不說防護(hù)效益,使用防護(hù)功能需要引用大量的系統(tǒng)資源,等同于發(fā)起一場自殘式的拒絕服務(wù)攻擊。
最后,安全攻防的背后是人的技能、智慧以及經(jīng)驗(yàn)的對抗。
在特定情況下,要求人員介入,快速完成樣本收集、取證、解析和攻擊阻斷。然而,對于大多數(shù)企業(yè)來說,建立一支具備專業(yè)技能的安全攻防團(tuán)隊(duì)是不現(xiàn)實(shí)的。
因此,云服務(wù)器的安全防護(hù)是對平臺化、體系化以及包含快速響應(yīng)、技術(shù)經(jīng)驗(yàn)在內(nèi)運(yùn)作能力的全面挑戰(zhàn),而不是簡簡單單安裝一個(gè)主機(jī)防護(hù)軟件就能夠?qū)崿F(xiàn)的。
云服務(wù)器防護(hù)
一個(gè)完整和全面的云服務(wù)器防護(hù)方法應(yīng)當(dāng)包括對內(nèi)部脆弱性(漏洞、配置、端口等)的快速定位、修復(fù)以及對外部威脅的迅速發(fā)現(xiàn)和阻斷。
對于內(nèi)部脆弱性,特別是嚴(yán)重威脅云服務(wù)器安全的漏洞,不僅要求精準(zhǔn)定位,對于絕大部分漏洞來說,自動(dòng)化的漏洞修復(fù)將有效提高安全防護(hù)的效率和效益。對于關(guān)鍵服務(wù)器或有嚴(yán)格合規(guī)/業(yè)務(wù)規(guī)定的服務(wù)器,云服務(wù)商應(yīng)當(dāng)提供漏洞修復(fù)的危險(xiǎn)提醒,這個(gè)工作不應(yīng)當(dāng)交給客戶。云盾安騎士軟件提供自動(dòng)化漏洞修復(fù)功能,以及針對補(bǔ)丁的危險(xiǎn)評估及修復(fù)建議。
其次,對于云服務(wù)器首要的外部威脅——暴力破解,防護(hù)系統(tǒng)必須涵蓋系統(tǒng)、使用和數(shù)據(jù)庫。