黑客正在向基于云的应用发起攻击

随着云原生开发和云的普及，需要一种全新的应用安全方法 “云优先”将成为应用部署的新常态 几乎每个行业的云采用率都在不断增长。最近的一项调查发现，至少75%的受访者为使用云的企业工作，其中最积极主动使用云的行业是零售和电商、金融和银行业以及软件。1另一项调查发现，到2025年，超过85%的企业将遵循云优先原则，如果不使用云原生架构和技术，将无法全面执行其数字战略。2 向云优先战略的转变有望彻底改变公司开展业务的方式。将应用迁移到云端会将基础架构任务从内部IT团队重新分配给云服务提供商(CSP)。摆脱耗时的维护运营工作后，稀缺且通常回报很高的IT资源可以重新定向，以专注于应用级别的创新，推动业务增长，开拓新市场，并改善客户体验。 与独立的本地数据中心相比，混合/多云架构为企业带来了更广泛的技术选项，从而提高了灵活性和竞争力。公有云提供商没有遵循内部部署中常见的三年技术更新周期，而是在这些产品推出后，带着强烈的动机立即为其客户提供对最先进的计算、存储和网络技术的访问。因此，IT规划人员可以快速响应营销机会，并获得不具备相同云灵活性的竞争对手所没有的优势。 在云端，地理位置不再是提供服务的障碍。所有重要的CSP可以为世界上几乎所有地方提供本地访问。这意味着企业可以让服务交付更贴近他们自己的客户，提高响应能力和服务可用性，同时也更容易满足数据驻留要求和当地法规遵从性。 边界的消失带来了安全挑战 近来，将网络内部和外部分隔开的传统安全边界的概念受到了挑战。当今的现代化架构使定义边界变得更加困难。在混合/多云环境中，您的大部分架构由服务提供商运行的云组成，需要在互联网上不断移动信息。此外，在您的供应链中与第三方的外部集成可能会危及安全，确实，供应链的强度取决于其最薄弱的环节。边界的侵蚀导致了零信任的发展，这是一种网络安全战略方法，通过消除隐性信任并持续验证数字交互的每个阶段来保护企业。 云机遇存在于更加凶险的威胁形势中 并不是只有合法企业对云革命的机遇感到兴奋，网络攻击者也注意到了这一点。事实上，40%的企业已经遭受过至少一次基于云的数据泄露，鉴于云时代持续时间尚短，因此这一比例非常高。3这些成功攻击的受害者不仅包括云新手，还有在网络安全方面拥有大量投资和专业知识的老牌企业。以下是威胁云部署的四种攻击。 黑客可以通过命令和控制接管网络 数据是暗网的货币，而暗网是互联网上搜索引擎看不到的部分，需要使用名为Tor的匿名浏览器才能访问。利用被盗信息可以在包含被盗个人数据列表（例如信用卡号、社会保险号和银行账户用户名）的网站上轻松获利。攻击者只需要在网络中站稳脚跟，只要让一个用户单击网络钓鱼电子邮件中的链接即可启动恶意软件，向外部攻击者授予命令和控制（通常称为C2）。C2攻击依靠在网络内横向移动的能力来定位和泄露有价值的信息。 勒索软件会劫持企业 黑客利用网络漏洞获利的另一种方式是加密信息并要求支付赎金后提供解密密钥。随着时间的推移，恶意攻击者继续调整他们的勒索软件策略，包括威胁如果受害者拒绝付款就发布被盗数据来向受害者施压，以及公开点名和羞辱受害者作为勒索的次要形式。恶意攻击者进行横向移动以锁定关键数据并在整个网络中传播勒索软件。这些攻击者还越来越多地使用删除系统备份等策略，使受影响企业的恢复和还原变得更加困难或不可行（见图1）。4 勒索软件即服务 相比其他潜在的网络入口点，访问供应链往往更简单。供应链违规一旦成功，会影响同一供应链中的其他企业，从而提高攻击者的潜在利益。 勒索软件即服务(RaaS)是SaaS业务模式的变体，配有全天候支持和用户论坛。黑客只需花费40美元就可以购买RaaS工具包，因而不需要太多技术知识就能发起勒索软件攻击。 分布式拒绝服务(DDOS)攻击会干扰用户 恶意攻击者或国家级攻击者也可以使用网络攻击来破坏合法网站的运行。基本技术是用虚假的HTML请求淹没网站，使Web服务器不堪重负，并给合法用户造成瓶颈。DDOS攻击经常被国家级攻击者用来禁用服务交付，降低公民的用户体验并引起对政府机构的不满。不道德的企业可以使用DDOS攻击来禁用竞争对手的业务关键型应用，从而影响员工的工作效率。 加密劫持导致资源虹吸 比特币淘金热引发了一种新的网络攻击，称为“加密劫持”，攻击者在未经授权的情况下获取计算资源的控制权，然后将其用于挖掘比特币和验证区块链交易。与恶意软件一样，加密劫持攻击从入侵开始，然后横向移动以定位可用的计算资源，例如图形处理单元(GPU)。 虽然在许多首席信息安全官的心目中加密劫持经常低调行事，但它却出奇地普遍。在欧盟网络安全局(ENISA)的年度报告中，加密劫持是2021年第三大普遍的网络安全威胁。同年，Google网络安全行动小组发现86%的云平台被入侵的原因都是加密劫持。 云和网络团队通过不同的视角看同一个世界 从应用开发开始，转向云优先战略对安全性有着深远的影响。安全性并不总是云开发人员的首要考虑因素。他们的任务是尽快开发和发布可提供商业价值的应用。然而，如果应用容易受到攻击，就难以提供价值。最近的一项调查发现，只有14%的云开发人员将应用安全列为首要任务，而三分之二的云开发人员会经常在代码中留下已知的漏洞和缺陷。5 要修复这些漏洞，网络安全小组必须占有一席之地。但是，组织上的障碍和态度可能会妨碍这一点。因此，往往开发生命周期的后期才会提到网络安全，这限制了可用选项的范围。此外，当网络安全团队推荐新一代防火墙(NGFW)等安全解决方案时，他们有责任证明他们的建议不会减慢业务速度或延迟实现价值的时间。同时，开发团队可能会误入云服务提供商提供的本机安全性“足够好”、无需额外安全性的误区。这种情况尤其令人沮丧，因为网络安全小组负责防止违规、未遵守合规性和其他安全问题，但没有相关权限，有时甚至没有相关知识对云（或CI/CD）应用开发流程实施必要的安全更改。此外，当今的许多云开发人员缺乏对现代复杂网络攻击的深入了解，也缺乏改变和规避传统安全措施的能力。 云原生技术改变了应用的开发 影响混合/多云安全的另一个趋势是应用开发、保护和交付方式的深刻转变。在传统的本地数据中心环境中，开发人员编写应用代码，IT团队构建和维护运行这些应用的底层基础架构，然后安全团队应用必要的安全措施。在这个孤立的模型中，软件工程师受到基础架构和操作系统的约束。安全经理对应用开发过程中可以做什么和不能做什么有最终决定权，他们是应用安全的仲裁者。 随着云原生开发的出现，这种模式发生了翻天覆地的变化，云原生开发是一种构建应用的方法，可以充分利用云平台的独特特性。与传统的开发方法相比，云原生开发使软件工程师能够创建具有前所未有的灵活性和弹性的高度可扩展的应用，这些应用可以在任何云（公有云、私有云或混合云）上运行。云原生技术已经改变了应用程序开发的各个方面，包括托管平台、代码架构和集成/交付方法（见图2）。 开发方法的一个特别具有颠覆性的变化是使用特定于供应商的编排服务，例如AWSElasticBeanstalk、Azure App Service和Google App Engine。有了这些工具，开发人员只需上传应用代码，编排服务就会自动处理部署，包括容量配置、负载均衡、自动扩展到应用健康监控。虽然这种自动化水平极大地简化了开发人员的工作，但它也加剧了混合/多云架构中的网络安全问题。随着开发速度的不断加快，IT安全团队很难跟上虚拟机上和容器内运行的工作负载的动态性质。 案例研究 US Signal将防火墙配置时间缩短了97%单击此处阅读案例研究 架构从集中化转向超级连接 为什么云架构非常容易受到这些种类的攻击？一个原因是基础架构本身的演变，从集中式数据中心到分散的超级连接的混合/多云环境，这使得设计有效的安全策略变得困难。 在集中式模型中，位于数据中心边缘的网关防火墙保护本地应用和软件即服务(SaaS)应用的南北向流量。可以使用额外的物理防火墙来增强各个子网的安全性，并防止东西向威胁传播。网络安全团队完全了解网络架构，并可以使用集中工具确保防火墙策略的一致性和有效性。 但是，这种架构对于远程工作人员和分支机构来说效率有点低，因为SaaS流量必须通过数据中心（这种做法称为“发夹式”），这会引入显著的应用延迟并降低性能。作为回应，许多企业在远程位置安装了防火墙，这是类似于数据中心防火墙的更小的物理设备。尽管使用了远程防火墙，但攻击面仍然相对较小且易于定义（见图3）。 混合/多云架构的采用从根本上颠覆了这种安全模型。一方面，数据中心正在演变成私有云，其中本地应用托管在虚拟机上，而不是直接托管在物理服务器上。其他应用在虚拟化环境的公有云中运行，通常使用容器和Kubernetes编排。在此模型中，互连主导架构，使攻击面更大且更难以定义（见图4）。 CSP和客户共担安全责任 公有云中的可视性和控制是完全不同的。与本地部署不同，公有云依赖于共担责任模式，在该模式中，CSP保护基础架构，例如服务器、存储和网络组件。然而，客户必须保护他们放置在云中的应用和数据，但CSP的部分基础架构对客户来说是不可见的。这种责任划分的挑战是避免客户和CSP相遇时的安全缺口，攻击者非常愿意利用这种缺口，例如略微有效的安全解决方案（见图5）。例如，CSP提供网络功能，但客户必须管理安全相关网络组件的配置。 在混合/多云架构中，更难看到全局，因为每个云的架构和管理方式都不同，这会在多个CSP之间造成盲点。例如，安全日志以多种格式存在于多个位置，因此难以实时整合和分析威胁信息。使事情进一步复杂化的是，公司经常缺乏合适的安全监督工具。不到三分之一(32%)的企业6正在使用专为混合/多云基础架构设计的安全工具，因此安全经理必须在多种监控工具之间切换，以拼凑出对其环境的完整理解。所有这些都会导致企业出现人为错误并延迟对安全威胁的响应。 云使合规性复杂化 共担责任模式只是混合/多云架构中可能难以实现合规性的一个方面。服务提供商实施了您所需的一些控制措施，因此必须提供您可以纳入审计的证据。幸运的是，您通常可以“继承”服务提供商的控制权，只需准备好相关文档即可，这实际上简化了合规性。CSP不监督的项目（例如应用）由您负责审核。 另一个合规性挑战可以在混合/多云架构通常跨越多个地区和司法管辖区的方式中找到。这可以发挥对数据本地化和数据保护法规的要求，例如欧盟的通用数据保护法规(GDPR)，以及针对美国各个州的特定法规。 零信任掌握着云安全的钥匙 零信任是一种概念转变，它使保护当今复杂的混合/多云架构成为可能。零信任是什么？对于网络安全专业人士来说，零信任代表着他们现在必须改变对安全的思考方式。传统的安全模型本质上是使用边界防火墙将网络划分为不受信任和受信任的区域。主要目标是将恶意攻击者拒之门外，只允许值得信赖的用户进入网络（见图6）。 零信任假设恶意攻击者可能无处不在，从而超越了这种世界观。每个请求网络访问的人都被视为未知数，安全实践要求一系列经过验证的流量标识来确定是否授予访问权限。信任不是理所当然的，而是在每次用户、应用或设备访问网络服务时赢得的（见图7）。 零信任的一个更为正式的定义是： 零信任是一种信息安全模型，默认情况下拒绝访问应用和数据。通过只允许访问网络和工作负载来实现对威胁的预防，利用政策对用户及其相关设备进行持续的、基于风险的情境性验证。零信任主张以下三个核心原则：1)默认情况下，所有实体都是不受信任的；2)强制执行最低特权访问；3)实施全面的安全监控。7 案例研究 UK Steel Firm通过零信任实现远程工作人员8倍增长单击此处阅读案例研究。 采用适应工作的形式，超越物理防火墙 面对虚拟化、去中心化的环境，需要一种与数据中心世界截然不同的全新安全方法。在传统的数据中心中，网络节点是您可以看到和触摸到的物理位置。添加物理防火墙需要现实操作，例如重新布置电缆，然后使用命令行界面设置关键配置参数。 在所有云中，网络节点都是嵌入在CSP基础架构或您自己的虚拟化环境中的虚拟实体。此外