搜索
搜索

關于

/
/
他山之石 | 探析NSA最新《緩解云脆弱性》,網御星云有對策
全部分類

他山之石 | 探析NSA最新《緩解云脆弱性》,網御星云有對策

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-02-18 17:37
  • 訪問量:

【概要描述】

他山之石 | 探析NSA最新《緩解云脆弱性》,網御星云有對策

【概要描述】

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-02-18 17:37
  • 訪問量:
詳情
 
 
2020年1月22日,美國國家安全局(NSA)發布《緩解云脆弱性》指南(Mitigating  Cloud  Vulnerabilities),提供了可以用于緩解云脆弱性的一些技術方法。主要是將云計算脆弱性分為配置錯誤,弱訪問控制,共享租戶脆弱性和供應鏈脆弱性4類,并分別給出示例和緩解措施。
 
 
 
一、云安全責任模型
 
 
 
云服務商和云用戶應承擔各自獨立的安全責任,以及共同承擔重疊的責任。為了有效實施緩解措施,云用戶應像對待本地網絡環境一樣考慮云資源的網絡風險。
 
各自獨立的安全責任如下圖所示。
 
 
云安全責任模型圖
 
共同承擔的責任包括:
 
(一)威脅檢測。雖然云服務商負責檢測基礎云平臺的威脅,但云用戶有責任檢測自己的云資源威脅。云服務商和第三方可能會提供基于云的工具,幫助用戶進行威脅檢測。
 
(二)事件響應。云服務商具有獨特的位置,可以響應云基礎架構內部事件并為此承擔責任。云用戶環境內事件通常是用戶自己的責任,但是云服務商可以為事件響應團隊提供支持。
 
(三)修補/更新。云服務商負責確保云產品是安全的,并在其職權范圍內快速修補軟件,但通常不修補用戶管理的軟件(例如IaaS產品中的操作系統等)。因此,用戶應管理補丁程序,以緩解云中的軟件漏洞。
 
 
 
二、云安全威脅參與者
 
 
 
 
云環境和傳統系統架構具有相同類型的弱點,在云環境中特有的威脅參與者如下:
 
(一)惡意云服務管理員。利用管理特權或位置,訪問、修改或破壞存儲在云平臺上的信息。
 
(二)惡意云用戶管理員。利用管理特權訪問,修改或破壞存儲在云平臺上的信息。
 
(三)網絡罪犯/國家級對手。利用云體系結構或配置弱點獲取敏感數據或消耗云資源;利用云的弱認證機制來獲取訪問權限(例如口令攻擊);獲得對云環境的特權訪問以損害租戶資源等。
 
(四)未經培訓或疏忽的云用戶管理員。無意間公開敏感數據或云資源。
 
 
 
三、云脆弱性和緩解措施
 
 
 
 
云脆弱性與傳統體系結構中的脆弱性相似,但是共享租戶和訪問無處不在的云特性會增加風險。緩解云脆弱性是云服務商與云用戶之間的共同責任。按照脆弱性利用的普遍程度從高到低排序,云脆弱性有云配置錯誤、弱訪問控制、共享租戶脆弱性和供應鏈脆弱性4類。
 
(一)云配置錯誤
云資源配置錯誤是最普遍的脆弱性,雖然云服務商提供自動化云配置管理工具,但其復雜性會導致策略配置不當,從而造成被惡意利用訪問云上數據和服務,造成敏感數據泄露或拒絕服務等。
 
正確的云配置始于基礎架構設計和自動化。在初始設計規劃期間,應用諸如最小特權和縱深防御之類的安全原則,使用訪問控制列表、入侵檢測系統,Web應用防火墻等手段實現該原則,并基于自動化手段持續監視和實施云的安全性。另外,這些手段和配置不是靜態的,應與云風險管理一同發展演化。
 
 
為降低云配置錯誤風險,管理員應:
 
1.實施最小特權管理,利用云服務策略防止用戶公開共享數據,部署云或第三方工具以檢測配置錯誤,采用零信任模型限制對云資源的訪問,審核數據訪問日志,限制數據訪問等等。
 
2.實施縱深防御,對各類管理員進行培訓,使用加密手段并正確配置,將云中的軟件配置為自動更新,控制虛擬鏡像選擇,對所有訪問級別活動啟用日志記錄,為配置更改和安全事件建立自動連續監視等等。
 
另外,為了更好完成云遷移工作,管理員還應充分利用云服務商的服務,不斷發展架構和流程并了解新風險變化,了解數據及其在各系統中的流動方式,使用云服務商工具或技術減少配置錯誤風險等等。
 
(二)弱訪問控制
 
訪問控制機制的弱點可能使攻擊者提升特權,從而損害整體云資源。當云資源使用弱認證/授權方法,或包含繞過這些方法的脆弱性時,風險就會發生。
 
 
緩解弱訪問控制的方法包括:使用多因素身份驗證,禁用弱認證協議,使用零信任模型限制對云資源的訪問,利用基于云的訪問控制,使用自動化工具審核訪問日志中的安全問題,避免在軟件版本控制系統中包含密鑰等等。
 
(三)共享租戶脆弱性
 
對手可以利用漏洞提升云環境中的特權。虛擬機監控程序漏洞很難發現,一旦利用就可能會導致虛擬機穿透等問題。另外,容器在共享內核上運行,沒有虛擬化提供的抽象層,在多租戶環境中,容器漏洞可能使攻擊者破壞同一主機上其他租戶的容器。
 
 
緩解共享租戶脆弱性的方法包括:加密靜態數據和傳輸中的數據,使用專用的整體單元、裸機實例或虛擬化實例(不使用容器)來處理敏感內容,事先評估使用云服務的底層隔離技術是否可以減輕預期的風險等等。
 
(四)供應鏈脆弱性
 
云供應鏈脆弱性包括內部攻擊者,以及軟硬件中的故意后門。第三方云組件可能包含開發人員故意插入的漏洞,以破壞應用程序。
 
 
云平臺供應鏈脆弱性的主要責任在于云服務商,防范供應鏈受損的方法主要包括通過軟件測試和硬件驗證來尋找后門,對靜態數據和傳輸數據進行加密,根據適用的認證流程采購云資源,對可疑管理員活動監控報警,遵守相關標準利用安全編碼實踐等等。
 
 
網御星云云安全管理平臺
 
 
網御星云云安全管理平臺通過對各類安全資源的管理、調度和編排,使各種軟件、硬件和虛擬化形態的安全能力全面適配云環境,根據云本身脆弱性特點,對云環境所面臨的各類安全風險進行持續的管理和評估。除適配云和虛擬化環境外,平臺還能夠實現對安全能力的虛擬化、自動化部署,具備彈性擴展、服務編排等能力,對云上業務進行安全防護、安全檢測和安全管理。采用最小特權和縱深防御的設計原則,規避云配置錯誤和弱訪問控制,以及共享租戶脆弱性等。采用三權分立設計原則,系統管理和租戶管理兩大職能都細分為系統管理員、審計管理員、安全管理員,實現三權分立、相互監督,規避管理員的風險。
 
隨著云服務的快速發展,越來越多的用戶將業務逐漸轉移到云上,同時,也更加凸顯了云安全的重要性。網御星云云安全管理平臺將統籌安全組件和安全服務,為云平臺、云租戶提供統一的安全能力交付,以專業的定制化云安全解決方案,為用戶創造更大價值。
 
 
 

掃二維碼用手機看

這是描述信息

服務熱線:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀區東北旺西路8號中關村軟件園21號

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版權所有:北京網御星云信息技術有限公司    京ICP備05080314號     

這是描述信息
永盛游戏官网