';
如何不再为云数据安全操碎心?
随着云计算的普及,它所产生的安全问题受到越来越多的关注。传统的一些防御机制已经失效,需要引入新的安全措施。最近几年,云服务出现了很多安全事故。比如,谷歌在2009年三月份泄露了大量的文档;微软的Azure平台宕机22小时;2011的四月份,亚马逊的EC2服务崩溃,影响甚大。从这些例子我们可以发现,云计算由于其多租户的特性,发生安全事故会造成严重的影响。所以,解决云计算的安全问题就显得尤为重要。
对于数据安全问题,可能存在以下5种威胁:
1.共享技术中的漏洞
一般来说,采购云服务也就意味着你默认与该供应商的其它客户共享他们的基础架构、平台或应用。供应商的底层基础架构应该在多租户基础架构(IaaS)、平台即服务(PaaS)或软件即服务(SaaS)解决方案的客户之间采取强大的隔离措施(但在实际情况中,真正做到这一点的供应商到底有多少我们无从得知)。
诸如管理程序之类的共享平台组件中一旦产生漏洞或配置错误,攻击者就有可能趁虚而入,攻击该供应商系统,最终殃及大部分甚至所有客户的云端数据,造成后果极为严重的信息泄露事件。
保护云数据安全的关键措施之一就是针对共享基础架构管理制定严格的流程。围绕客户端实现和数据管理的最佳实践有助于防范共享技术的漏洞。此外,还需要对内部服务交付和面向客户的资源进行例行的漏扫和以合规为重点的扫描。
2.DDOS攻击
DDoS攻击指的是通过受感染计算机/互联网设备上的僵尸网络发送大量垃圾流量,导致整个网络、网站和应用程序彻底瘫痪的过程。DDoS攻击还有一个容易被人忽略的危害属性是为数据盗窃、恶意软件感染“打掩护”,最终对云数据安全产生威胁。例如,英国电信运营商Carphone Warehouse曾在2015年曝光受到大量在线流量的攻击,同时240万在线用户的个人信息被窃取,其中包含加密的信用卡数据。
更悲催的是,DDoS攻击发起成本低廉、持续时间长(数小时甚至数天)。有资料显示,花150美金就能在暗网上买到针对小型组织展开为期一周的攻击服务。
3.Web API恶意利用
Web service接口(也称为Web API或应用程序编程接口)能够为开发人员和黑客提供云应用程序的控制权。Web API的“合法”作用是提供集成、管理、监控以及其它云服务。Web API一旦落入非法用户之手,他们就有可能访问敏感数据、禁用服务器、更改应用程序配置设置、通过云资源窃取发起其它攻击,最终对云数据安全产生严重危害。
云API中的数据安全往往比较脆弱。RedLock在其2017年的《云基础架构安全趋势》报告中提出40%使用云存储服务的企业无意中都公开了一项或多项此类服务。
为了增强云数据的安全性,云服务API应通过加密密钥进行访问,用于API合法用户的验证。开发人员和云提供商都应将其密钥存储在安全的文件存储或硬件设备中。
4.勒索软件
美国联邦调查局有资料显示,2016年每天发生4000起勒索软件攻击事件,相比2015年增长了300%。2017年,“想哭”勒索软件损毁了全球无数企事业单位的海量数据。其中全球制药业巨头Merck因为“想哭”终止了其生产和配方作业,一个月后,又因勒索软件的破坏导致无法完成订单交付。
勒索病毒的传播途径多样,例如受感染的电子邮件、视频、PDF或网站,能够连接的设备或者通过密码破解进行感染。思科在其2017年年中网络安全报告中指出,越来越多单位的安全措施都在不断完善,因此很多犯罪分子又开始采用电子邮件这种传统的感染方式——看似无害的邮件内容,以及带宏病毒的邮件附件。
勒索软件会对受感染计算机中的一切加密,因此我们必须在云上或另一个系统中进行资料备份。
5.APT高级持续性威胁
狡猾的APT威胁能够完美地藏匿于计算基础架构中,持续数月甚至数年地在目标受害者的网络中窃取数据、知识产权,获取不法经济利益或从事网络间谍活动。通常来说,APT威胁检测难度大,防御方式也不断演变。APT所造成的数据泄露往往发生于无形之中,发现难度大。
云安全联盟在其《The Treacherous 12–Top Threats to Cloud Computing + Industry Insights》报告中指出,APT威胁通过鱼叉式钓鱼、直接攻击、USB设备中的攻击代码等技术或通过对合作方网络的渗透以及使用不安全的或第三方网络等方式潜入包括云服务在内的系统。
富通云腾首席架构师李博士认为:高级安全控制措施和严格的流程管理是防范云数据安全威胁的关键。除此之外,针对数据内容本身的安全防护也至关重要,在面对各种漏洞和攻击时,如果已经对需要保护的核心数据做了检查定位、脱敏和监控等技术手段的防护,那么云数据的安全风险将大大降低。
那么富通云腾CloudoorSphere(CS)产品是如何做的呢?
-- 首先,CS提供了安全组,起着虚拟防火墙的作用,可控制一个或多个实例的流量。在您启动实例时,将一个或多个安全组与该实例相关联。为每个安全组添加规则,规定流入或流出其关联实例的流量。您可以随时修改安全组的规则;新规则会在经过一小段时间之后自动应用于与该安全组关联的所有实例。在决定是否允许流量到达实例时,我们会评估与实例关联的所有安全组中的所有规则。
-- CS提供了多租户管理。多租户技术是一种软件架构,是软件单个实例为多个租户提供服务。每个租户正常工作,同时又保证租户之间的隔离性和安全性。在云计算环境下,很多应用都放到了云端,导致在应用入口,敏感数据泄露、数据访问无详细记录、应用冒名访问开放接口;在运维入口,开发人员账号混用、操作无详细记录、高危险误操作无法控制、敏感数据泄露,通过多租户数据资源隔离机制,就可以保证数据的安全性。
-- CS整合开源的Web 应用程序防火墙 (WAF) 来防护试图利用应用程序本身漏洞的攻击 (例如 SQL 注入或跨站点请求伪造)。由于这些攻击的独特性质,能够针对非法请求 (可能具有伪装为良好流量或来自不良 IP、异常地理位置等特征) 轻松创建自定义缓解措施。在我们经验丰富的人员的支持下研究流量模式并创建自定义防护措施,也可能有助于缓解攻击。
-- CS上提供了CloudWatch服务,它是一项针对CS云资源和在CS上运行的应用程序进行监控的服务。CloudWatch 收集和跟踪各项指标、收集和监控日志文件、设置警报等。您可通过使用 CloudWatch 全面地了解资源使用率、应用程序性能和运行状况。使用这些分析结果,您可以及时做出反应,保证应用程序顺畅运行。
-- CS也提供CloudTrail服务,支持对您CS 账户进行监管、合规性检查、操作审核和风险审核。借助 CloudTrail,您可以记录日志、持续监控并保留与整个 AWS 基础设施中的操作相关的账户活动。
-- 跟AWS一样,CS提供了密钥管理服务,KMS,提供256位私有密钥加密的AES-GCM算法。
最后,李博士表示:没有绝对的安全,安全总是相对的!富通云腾为用户贴身打造从梳理、审计、安全运维、防火墙、加密、扫描、水印全流程产品服务,为客户提供更为有效的数据安全治理的一整套MSP管理服务。