您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
云計算攻擊:網(wǎng)絡(luò)攻擊的新載體
云計算技術(shù)可以隨時通過互聯(lián)網(wǎng)提供計算資源共享池,且成本低廉甚至免費。通過使用云計算,許多個人和企業(yè)已經(jīng)提高了運營效率,同時降低了 IT 成本。
盡管與現(xiàn)場模型相比,云計算模型充滿了優(yōu)勢,但它們?nèi)匀蝗菀资艿絻?nèi)部和外部攻擊。因此,云開發(fā)人員需要采取安全措施來保護用戶的敏感數(shù)據(jù)免受網(wǎng)絡(luò)攻擊。
本文是為希望提高云服務(wù)解決方案安全性的云開發(fā)人員和服務(wù)提供商編寫的。我們將首先概述云計算技術(shù)的關(guān)鍵漏洞,然后看看云計算中最常見的攻擊類型。最后,我們將根據(jù)行業(yè)最佳實踐提供有關(guān)如何確?;谠频慕鉀Q方案的安全性的實用建議。
關(guān)鍵云計算漏洞
根據(jù)您需要的控制程度,可以選擇三種類型的云計算服務(wù):
1、軟件即服務(wù) (SaaS)
2、平臺即服務(wù) (PaaS)
3、基礎(chǔ)設(shè)施即服務(wù) (IaaS)
云技術(shù)仍在積極開發(fā)中,因此存在許多可被網(wǎng)絡(luò)犯罪分子或惡意內(nèi)部人員利用的漏洞。讓我們看看引起云用戶安全擔(dān)憂的關(guān)鍵云計算漏洞。
數(shù)據(jù)威脅
云用戶在云環(huán)境中存儲各種類型的數(shù)據(jù),其中很多數(shù)據(jù)包含有關(guān)用戶或業(yè)務(wù)活動的敏感信息。然而,這些數(shù)據(jù)很容易因人為行為、應(yīng)用程序漏洞和不可預(yù)見的緊急情況而丟失、泄露或損壞。顯然,云服務(wù)提供商無法阻止所有數(shù)據(jù)威脅,但云開發(fā)人員應(yīng)該應(yīng)用現(xiàn)代加密算法來確保從用戶到云傳輸?shù)臄?shù)據(jù)的完整性。
云API漏洞
應(yīng)用程序編程接口 (API) 允許用戶與基于云的服務(wù)交互。然而,API 中的漏洞可能會嚴(yán)重影響云編排、管理、配置和監(jiān)控的安全性。云開發(fā)人員需要對 API 實施強有力的控制。
惡意內(nèi)部人士
惡意行為的合法云用戶有多種方式在云環(huán)境中安排攻擊或泄露數(shù)據(jù)。不過,云開發(fā)人員可以通過實施身份和訪問管理 (IAM) 技術(shù)來最大限度地減少這種威脅。
共享技術(shù)漏洞
云計算涉及虛擬化和云編排等共享技術(shù)的使用。因此,通過利用這些技術(shù)任何部分的漏洞,攻擊者都可以對許多云用戶造成重大損害。虛擬機管理程序中的弱點可能使黑客能夠控制虛擬機甚至主機本身。在虛擬機逃逸的情況下,黑客可以通過共享資源獲得對主機的無限制訪問。因此,有必要注意您委托云解決方案的云提供商的安全性。
供應(yīng)商鎖定
大多數(shù)現(xiàn)代云服務(wù)提供商使其客戶依賴于他們的服務(wù),而轉(zhuǎn)換成本很高。當(dāng)提供商無法提供他們所需的所有服務(wù)時,許多云用戶會感到被鎖定。確保您的解決方案具有幫助用戶輕松從其他提供商遷移的工具,例如導(dǎo)入各種格式數(shù)據(jù)的能力。
弱密碼學(xué)
盡管云提供商使用加密算法來保護存儲中的數(shù)據(jù),但他們通常使用有限的熵源(例如時間)來自動生成用于數(shù)據(jù)加密的隨機數(shù)。例如,基于 Linux 的虛擬機僅從精確的毫秒生成隨機密鑰。然而,這對于強大的數(shù)據(jù)加密來說可能還不夠,因為攻擊者還使用復(fù)雜的解碼機制來破解信息。因此,云開發(fā)人員應(yīng)該在數(shù)據(jù)遷移到云之前考慮如何保護數(shù)據(jù)。
易受攻擊的云服務(wù)
雖然云計算平臺被設(shè)計為云服務(wù)的分布式系統(tǒng),但這些服務(wù)之間幾乎沒有保護。因此,攻擊者可以利用任何一項云服務(wù)中的漏洞來獲得對合法用戶數(shù)據(jù)的未經(jīng)授權(quán)的訪問。例如,2016年OpenStack云平臺的云服務(wù)存在超過150個已知弱點。創(chuàng)建強大的架構(gòu)可以隔離用戶在云中的操作。
云計算的攻擊向量
云計算中網(wǎng)絡(luò)攻擊的主要目標(biāo)是獲取用戶數(shù)據(jù)并阻止對云服務(wù)的訪問。兩者都會對云用戶造成嚴(yán)重傷害,并動搖人們對云服務(wù)安全性的信心。
在安排對云服務(wù)的攻擊時,黑客通常通過以下方式侵入云用戶與服務(wù)或應(yīng)用程序之間的通信:
利用云計算中的漏洞;
在云之外的某個地方竊取用戶的憑據(jù);
在破解用戶密碼后使用先前對云的合法訪問;
充當(dāng)惡意內(nèi)部人員。
如果您的解決方案具有一些區(qū)塊鏈驅(qū)動的功能,請務(wù)必查看我們有關(guān)區(qū)塊鏈攻擊向量的文章。
10 種最常見的云計算攻擊類型
攻擊云計算服務(wù)的方法有很多種,黑客也在不斷致力于開發(fā)更復(fù)雜的方法。然而,至少了解最常見的問題將有助于云開發(fā)人員設(shè)計更安全的解決方案。以下列出了十種不同類型的云攻擊。
1.云惡意軟件注入攻擊
惡意軟件注入攻擊的目的是控制云中的用戶信息。為此,黑客將受感染的服務(wù)實現(xiàn)模塊添加到 SaaS 或 PaaS 解決方案,或?qū)⑻摂M機實例添加到 IaaS 解決方案。如果云系統(tǒng)被成功欺騙,它會將云用戶的請求重定向到黑客的模塊或?qū)嵗?,從而啟動惡意代碼的執(zhí)行。然后攻擊者就可以開始惡意活動,例如操縱或竊取數(shù)據(jù)或竊聽。
最常見的惡意軟件注入攻擊形式是跨站點腳本攻擊和 SQL 注入攻擊。在跨站點腳本攻擊期間,黑客將惡意腳本(Flash、JavaScript 等)添加到易受攻擊的網(wǎng)頁中。德國研究人員于 2011 年對 Amazon Web Services 云計算平臺發(fā)起了一次 XSS 攻擊。在 SQL 注入的情況下,攻擊者以具有易受攻擊的數(shù)據(jù)庫應(yīng)用程序的 SQL 服務(wù)器為目標(biāo)。2008年,索尼的PlayStation網(wǎng)站成為SQL注入攻擊的受害者。
2. 濫用云服務(wù)
黑客可以使用廉價的云服務(wù)對目標(biāo)用戶、公司甚至其他云提供商進行 DoS 和暴力攻擊。例如,安全專家Bryan 和 Anderson在 2010 年利用亞馬遜 EC2 云基礎(chǔ)設(shè)施的能力安排了 DoS 攻擊。結(jié)果,他們僅花費 6 美元租用虛擬服務(wù),就成功地使他們的客戶端無法在互聯(lián)網(wǎng)上使用。
Thomas Roth 在 2011 年黑帽技術(shù)安全會議上演示了一個暴力攻擊的示例。通過從云提供商租用服務(wù)器,黑客可以利用強大的云功能將數(shù)千個可能的密碼發(fā)送到目標(biāo)用戶的帳戶。
3.拒絕服務(wù)攻擊
DoS 攻擊旨在使系統(tǒng)超載并使其用戶無法獲得服務(wù)。這些攻擊對于云計算系統(tǒng)尤其危險,因為即使單個云服務(wù)器被淹沒,許多用戶也可能遭受損失。在高工作負(fù)載的情況下,云系統(tǒng)開始通過涉及更多虛擬機和服務(wù)實例來提供更多計算能力。在試圖阻止網(wǎng)絡(luò)攻擊的同時,云系統(tǒng)實際上使其更具破壞性。最后,云系統(tǒng)速度變慢,合法用戶無法訪問其云服務(wù)。在云環(huán)境中,如果黑客使用更多的僵尸機器來攻擊大量系統(tǒng),DDoS攻擊可能會更加危險。為了緩解這些問題,必須了解有效的DDoS 預(yù)防技術(shù)。
4. 旁路攻擊
當(dāng)黑客將惡意虛擬機放置在與目標(biāo)虛擬機相同的主機上時,就會發(fā)生旁路攻擊。在側(cè)信道攻擊期間,黑客的目標(biāo)是加密算法的系統(tǒng)實現(xiàn)。然而,可以通過安全的系統(tǒng)設(shè)計來避免這種類型的威脅。
5. 包裹攻擊
云計算中的包裝攻擊是中間人攻擊的一個示例。云計算很容易受到包裝攻擊,因為云用戶通常通過網(wǎng)絡(luò)瀏覽器連接到服務(wù)。XML 簽名用于保護用戶的憑據(jù)免遭未經(jīng)授權(quán)的訪問,但此簽名不能保護文檔中的位置。因此,XML 簽名元素包裝允許攻擊者操縱 XML 文檔。
例如,2009 年,亞馬遜彈性云計算 (EC2) 的 SOAP 接口中發(fā)現(xiàn)了一個漏洞。該漏洞允許攻擊者通過成功的簽名包裝攻擊來修改竊聽的消息。
6. 云中人攻擊
在此類攻擊中,黑客利用同步令牌系統(tǒng)中的漏洞攔截并重新配置云服務(wù),以便在下次與云同步時,同步令牌將被替換為向攻擊者提供訪問權(quán)限的新令牌。用戶可能永遠不知道他們的帳戶已被黑客入侵,因為攻擊者可以隨時放回原始同步令牌。此外,還存在被盜帳戶永遠無法恢復(fù)的風(fēng)險。
7. 內(nèi)部攻擊
內(nèi)部攻擊是由故意違反安全策略的合法用戶發(fā)起的。在云環(huán)境中,攻擊者可以是云提供商管理員或擁有廣泛權(quán)限的客戶公司員工。為了防止此類惡意活動,云開發(fā)人員應(yīng)該設(shè)計具有不同級別的云服務(wù)訪問權(quán)限的安全架構(gòu)。
8. 賬戶或服務(wù)劫持
帳戶或服務(wù)劫持是在獲得用戶憑據(jù)的訪問權(quán)限后實現(xiàn)的。有多種技術(shù)可以實現(xiàn)這一目標(biāo),從釣魚到間諜軟件再到 cookie 中毒。一旦云賬戶被黑客入侵,攻擊者就可以獲取用戶的個人信息或企業(yè)數(shù)據(jù),從而危及云計算服務(wù)。例如, 2007 年,SaaS 供應(yīng)商Salesforce的一名員工成為網(wǎng)絡(luò)釣魚詐騙的受害者,導(dǎo)致該公司的所有客戶帳戶均被泄露。
9. 高級持續(xù)威脅(APT)
APT 是一種讓黑客在合法用戶不知情的情況下持續(xù)竊取存儲在云中的敏感數(shù)據(jù)或利用云服務(wù)的攻擊。這些攻擊的持續(xù)時間使黑客能夠適應(yīng)針對它們的安全措施。一旦建立未經(jīng)授權(quán)的訪問,黑客就可以穿過數(shù)據(jù)中心網(wǎng)絡(luò)并利用網(wǎng)絡(luò)流量進行惡意活動。
10.新攻擊:Spectre和Meltdown
這兩類網(wǎng)絡(luò)攻擊在今年早些時候出現(xiàn),已經(jīng)成為云計算的新威脅。借助惡意 JavaScript 代碼,攻擊者可以利用大多數(shù)現(xiàn)代處理器的設(shè)計缺陷從內(nèi)存中讀取加密數(shù)據(jù)。Spectre 和 Meltdown都打破了應(yīng)用程序和操作系統(tǒng)之間的隔離,讓攻擊者可以從內(nèi)核讀取信息。這對于云開發(fā)人員來說確實是一個令人頭疼的問題,因為并非所有云用戶都安裝了最新的安全補丁。
7 個云攻擊預(yù)防技巧
云服務(wù)的動態(tài)特性打破了用于現(xiàn)場軟件的傳統(tǒng)安全模型。顯然,云服務(wù)提供商無法確保云中的全面安全。云用戶也有部分責(zé)任。雖然保護云中用戶數(shù)據(jù)的最佳方法是提供分層安全方法,但云服務(wù)提供商應(yīng)實施行業(yè)最佳實踐,以確保其云安全達到最高水平。以下是有關(guān)云開發(fā)人員如何確保其基于云的解決方案安全的七個技巧。
1. 強化安全政策
軟件供應(yīng)商在提供云服務(wù)時,應(yīng)在安全策略中限制其保護云中用戶數(shù)據(jù)和操作的責(zé)任范圍。告知您的客戶您為確保云安全所做的工作以及他們需要采取哪些安全措施。
2.使用強認(rèn)證
竊取密碼是訪問云中用戶數(shù)據(jù)和服務(wù)的最常見方式。因此,云開發(fā)人員應(yīng)該實施強大的身份驗證和身份管理。建立多因素身份驗證。有多種工具需要靜態(tài)密碼和動態(tài)密碼。后者通過在移動電話上提供一次性密碼或使用生物識別方案或硬件令牌來確認(rèn)用戶的憑據(jù)。
3.實施訪問管理
為了提高服務(wù)的安全性,云開發(fā)者應(yīng)該讓云用戶將基于角色的權(quán)限分配給不同的管理員,這樣用戶就只能擁有分配給他們的能力。此外,云編排應(yīng)使特權(quán)用戶能夠根據(jù)其在公司內(nèi)的職責(zé)來建立其他用戶的權(quán)限范圍。
4. 保護數(shù)據(jù)
云環(huán)境中的數(shù)據(jù)在傳輸和存儲的各個階段都需要加密:
在源頭(在用戶端)
傳輸中(從用戶傳輸?shù)皆品?wù)器的過程中)
靜止時(存儲在云數(shù)據(jù)庫中時)
數(shù)據(jù)在進入云端之前就需要加密?,F(xiàn)代數(shù)據(jù)加密和標(biāo)記化技術(shù)可以有效防御帳戶劫持。此外,證明端到端加密對于保護傳輸中的數(shù)據(jù)免受中間人攻擊也很重要。使用包含鹽和哈希值的強大加密算法可以有效地抵御網(wǎng)絡(luò)攻擊。
存儲在云端的數(shù)據(jù)也容易受到意外損壞,因此您還可以通過提供數(shù)據(jù)備份服務(wù)來確保其恢復(fù)。
5. 檢測入侵
為您的基于云的解決方案提供完全托管的入侵檢測系統(tǒng),該系統(tǒng)可以檢測并通知入侵者對云服務(wù)的惡意使用。使用入侵檢測系統(tǒng)提供網(wǎng)絡(luò)監(jiān)控并通知內(nèi)部人員的異常行為。
6. 安全 API 和訪問
云開發(fā)人員應(yīng)確??蛻舳酥荒芡ㄟ^安全 API 訪問應(yīng)用程序。這可能需要限制 IP 地址范圍或僅通過公司網(wǎng)絡(luò)或 VPN 提供訪問。然而,對于面向公眾的應(yīng)用程序來說,這種方法可能很難實施。因此,您可以通過 API 使用特殊的腳本、模板和配方來實現(xiàn)安全保護。您甚至可以更進一步,在 API 中構(gòu)建安全保護。
7. 保護云服務(wù)
限制對云服務(wù)的訪問對于防止攻擊者通過云服務(wù)的弱點獲得對用戶操作和數(shù)據(jù)的未經(jīng)授權(quán)的訪問是必要的。在設(shè)計云服務(wù)架構(gòu)時,將事件處理程序權(quán)限最小化,僅保留執(zhí)行特定操作所需的權(quán)限。此外,您可以將安全決策限制為僅針對用戶信任的那些能夠管理其數(shù)據(jù)安全的云服務(wù)。
結(jié)論
云計算技術(shù)因其諸多優(yōu)點而深受用戶歡迎。然而,這項技術(shù)也引入了漏洞,這些漏洞可能成為網(wǎng)絡(luò)攻擊的新載體。通過了解網(wǎng)絡(luò)犯罪分子如何在云計算中進行攻擊,云開發(fā)人員可以更好地保護他們的產(chǎn)品。
參考及來源:https://www.apriorit.com/dev-blog/523-cloud-computing-cyber-attacks
文章來源:嘶吼專業(yè)版