云安全配置：让数据远离危险

　　对于完全在云中运行的企业而言，其所有业务都可能面临风险。监视和验证云安全配置能有所帮助。

　　去年秋天，一位安全研究人员发现四个亚马逊S3存储桶存放了高度敏感的数据，有客户凭证，还有一个备份数据库包含了4万个密码。埃森哲无意中把这些存储桶设置为允许公众访问，导致所有信息都被完全暴露了。研究人员将此事通知了埃森哲，埃森哲第二天便锁定了数据。

　　并非埃森哲一家是这样。其他将其亚马逊S3存储桶向公众开放的公司还有Dow Jones、Verizon和军事情报机构INSCOM。越来越多的坏消息接踵而来。

　　11月，Uber发现黑客们掌握了他们也是存储在亚马逊网络服务（AWS）上的5700万名用户的个人信息，然后给黑客付了些钱，想把这次泄露事件隐瞒下来。接下来还有，上个月，Experian的一名客户购买了一套包含1.2亿美国家庭信息的数据集，也是将其放在公共的亚马逊S3存储桶中，结果被泄露了。

　　据RedLock最近的一份报告，使用Amazon S3这样的云存储服务的企业中，有53%的企业无意间向公众公开了某种服务。RedLock公司首席执行官兼联合创始人Varun Badhwar表示：“我们发现250家企业的凭证泄露到了他们的云AWS环境中。”

　　专家指出，配置不当的云服务问题远不止AWS一家，随着越来越多的数据和应用程序迁移到云中，情况只会越来越严重。RedLock分析了客户环境中500多万份资源，以及公有云计算环境中的漏洞，发现有37%的数据库能够接受直接来自互联网的入站连接，其中7%的数据库已经被可疑的IP地址访问过了。RedLock报告说：“数据库绝不应该暴露在互联网上。”

　　而且不仅仅是数据库。如果出现配置错误，黑客还有可能利用企业云账户来进行比特币挖矿操作。据RedLock的研究，Aviva和Gemalto便是被攻破的企业。Badhwar说：“现在这已经是个大问题了。2018年，还会有很多这样的事情发生。”

　　对于完全在云中运行的企业而言，其所有业务都可能面临风险。监视和验证云安全配置能有所帮助。Veeva系统公司为生命科学行业提供基于云的内容管理系统，该公司全球信息安全官David Tsao说：“资源配置不当是严重的威胁，特别是考虑到我们公有云计算的规模。”他说，基于云计算的业务模式是企业成功的一个“非常重要的因素”。我们公司需要一种方法来连续监视整个云环境，包括资源配置。

　　Veeva决定去找RedLock合作，这是新一批云安全管理初创公司中的一家。事实上，RedLock去年春天才悄然出现。Tsao说：“该公司的平台可以帮助Veeva迅速发现云环境中的问题，提高了安全态势的可见性。”

　　为什么会有云安全配置问题？

　　在传统的本地部署环境中，节奏都很慢。企业有时间去配置自己的网络，并对新软件进行安全审查。最敏感的信息一直隐藏在企业防火墙后面。

　　而在当今的云和混合环境中，很多安全控制措施不再适用了。我们看到了这样的结果。Dome9安全公司首席执行官Zohar Alon表示：“配置错误导致了目前云中的大部分数据被盗和泄露事件。”

　　配置不当导致的访问控制问题随处可见。例如，以帮助企业使用容器的开源Kubernetes平台为例。黑客就是利用了该平台，去年秋天接管了Aviva和Gemalto的亚马逊服务器，让这些服务器去为他们进行比特币挖矿。RedLock的Badhwar说：“这是容器管理事实上的标准平台。我们发现很多被泄露的信息，都不需要登录或者密码。”

　　有些服务从一开始就配置错了。有时，临时修改了设置，但再也没有改回来。负责配置的人也是变来变去。

　　通常，客户希望云提供商能够处理好所有安全问题，自己没有任何系统来确保云服务被正确的锁定。Badhwar说：“其实应该是共同承担责任，但这还处于早期阶段，大多数企业仍然不具备这方面的能力。”

　　目前以各种各样的方式来提供云服务也使得这个问题更加严重。开发人员创建了虚拟服务器和容器，以便快速推出应用程序，存储数据。业务部门通过自己注册来使用服务，个人用户也是如此。

　　专家称，本地数据中心所采用的传统配置管理方法并不适用于云服务。云平台通常有自己的系统来监视配置的更改。

　　Barracuda网络公司的公有云副总裁Tim Jefferson指出，例如，AWS有AWS Cloud Trail和AWS Config。微软的Azure云平台有其运营管理套件。其他流行的SaaS云提供商没有集中的管理工具，而是让个人用户负责自己的安全和共享设置。

　　Kudelski安全公司首席技术官Andrew Howard说，云服务部署起来要比传统的本地应用程序快得多。他说：“所有敏感数据都在那里，谁知道它配置是否正确。如果我是一家大企业的安全官，这将是我最担心的事情。总觉得不应该因为这样而被人攻破。”

　　即使是最基本的配置，例如，知道企业数据存放在哪里、怎样访问和共享等，都是问题。Howard建议企业使用云访问安全代理来跟踪云服务的使用。

　　新的云安全配置管理和验证工具

　　通常，必须手动进行配置管理。Howard说：“工具还没有达到手动配置的水平。这导致很多企业自己开发解决方案，或者使用不能完全解决问题的解决方案。有一些解决方案刚刚面市，应用还没有铺开。”

　　例如，去年秋天，Veriflow将其网络验证平台扩展到了AWS，包括S3存储桶。该平台自动得出配置设置的目的是什么，然后检查这些设置是否正确。

　　Veriflow系统公司的共同创始人兼首席技术官Brighten Godfrey指出，有时很难搞清楚设置的目的是什么，因为太复杂了，或者是因为最初做出设置的人已经离开公司了。

　　目前，这个平台是只读的。系统收集配置设置的相关信息，并发送警报，但不会自动深入下去并修复问题。Godfrey说：“但未来，这个范围可能会扩大。”

　　另一家扩展其云支持的安全供应商是FireMon，该公司在去年11月推出了AWS的策略自动化产品。除了监视安全设置，FireMon平台还可以从单一控制台进行更改，而且更改起来更快，也减少了人为错误。FireMon公司总监Josh Mayfield评论说：“成千上万的FireMon客户使用这一功能来实施正确的安全控制、策略和规则。”

　　例如，如果使用量激增，企业必须迅速启用大量的新服务器，那么在这一过程中安全性不会受到影响。他补充说：“能够避免人为失误带来的错误。”

　　Evident.io这家供应商十多年来一直提供云保护服务。该公司自2014年起就支持AWS，去年夏天增加了为AWS GovCloud提供支持，9月份支持微软Azure。

　　Tim Prendergast是该公司的首席执行官，他非常熟悉云所面临的挑战。本世纪初，他成为Adobe系统公司的高级云架构师。他说，当时，公司的大部分业务都是运行在物理的数据中心，有一些聪明的人把所有的东西都进行了物理连接，并确保配置正确。

　　Prendergast说：“当我们迁移到云之后，产品部门接管了一切，问题是他们以前从来没有做过类似的工作。他们不知道怎样去配置网络。他们想把这部分剥离出去，因为他们真的只是想开发软件，他们的压力是确保按时把产品投放市场。他们没有时间去学习怎样正确地配置云基础设施和服务。”

　　Prendergast说，所以，他们走了捷径。他说：“有很多配置和保护设置。一些公司甚至有数十亿的设置。没有一家公司能够让一个人安心坐下来，把所有设置都弄通。”

　　Evident的平台监控云基础设施，包括AWS存储桶。它有应对措施，例如，从简单的警报级别开始。他说：“我们可以把它展示给人们看。或者，我们可以启动修复程序，打开一个标签或者呼叫某个人，我们还可以触发一次自动响应。”

　　例如，如果某些Amazon存储桶不应该向公众开放，那么系统可以查找有哪些地方进行过更改。如果存储桶被设置为向公众开放，则自动将其更改为私有。他说：“您不能公开您的数据，因为系统会强制使其回到正确的状态。”

　　是由供应商来解决这个问题吗？

　　亚马逊已采取措施，让客户更容易注意到存储桶没有受到保护，并且更容易通过加密来保护数据。很多供应商，特别是那些服务于企业客户的供应商，有很强的安全能力，但这也要取决于客户的使用情况。

　　Cygilant公司安全研究总监Neil Weitzel指出，通常，企业设置自己的云服务，然后就运行了。他说：“这就像是绿色牧场，而实际情况是，在云中运行与在自己的数据中心运行一样，也有人员等方面的开销。您仍然在管理基础设施。”

　　Tripwire公司产品管理和战略副总裁Tim Erlin指出，非常重要的一点是要了解有多少安全功能是由云提供商来处理的。他说：“例如，在供应商提供的服务基础上，由用户负责所使用的服务和应用程序的安全配置，而不是供应商的责任。”

　　Erlin说，当云供应商让客户更方便地设置安全功能时，这种易用性也是一把双刃剑。他说：“在进行设置的时候，客户也很容易无意间暴露环境中的数据。”

　　据Gartner，到2020年， 95％的云安全故障是由客户造成的。DinCloud公司首席营销官Ali Din说：“供应商不应该推卸责任。对于大型供应商来说，他们的目标是增长，服务于每一名客户的不同应用。”

　　Din说：“这意味着他们必须为每一种可能的设置和配置选择进行控制和综合考虑。这导致非常复杂的局面。只要看看AWS在其网站上的下拉服务菜单，那真是让人崩溃。”

　　Din建议企业放慢速度，确保员工经过足够的培训能够正确地部署和管理云服务，并且他们可以找到工具，利用工具详细地查看其云部署。

　　文件共享平台Covata公司的安全副总裁Mike Fleck说：“我认为这是一个可以解决的问题。”他补充说，但是没有捷径可走。“您只是打算去买点货架产品，所有的问题就都能解决吗？不会，要想让所有一切在环境中运转起来，人们将不得不进行投资，这绝非易事。”

　　Maria Korolov——特约撰稿人，过去20年一直涉足新兴技术和新兴市场。

　　原文网址：

　　http：//www.csoonline.com/article/3251605/cloud-security/cloud-security-configuration-errors-put-data-at-risk-new-tools-can-help.html

　　作者/Maria Korolov 编译/Charles