应对4种主要云漏洞的实用指南(下)
极客时间编辑部
讲述:初明明大小:4.66M时长:05:06
你好,欢迎收听极客视点。
云漏洞与传统结构中的漏洞类似,但共享租赁的云特性及潜在的普遍访问会增加其被利用的风险。此前,美国国安局(NSA)发布了一份应对 4 种主要云漏洞的指南,对商业机构解决云漏洞来说具有一定参考价值。在上一篇文章,我们已经分享了配置错误和访问控制不善这两种云漏洞的应对方法,以下介绍共享租赁漏洞和供应链漏洞的应对指南。
共享租赁漏洞
云平台由多个软件和硬件组件组成。确定云体系结构中使用的软件或硬件的对象,可以利用漏洞提升云中的特权。云技术管理程序(即支持虚拟化的软件 / 硬件)或容器平台中的漏洞在保护云架构和隔离客户工作负载方面发挥着至关重要的作用,因此这些漏洞尤其严重。
虚拟机监控程序漏洞很难被发现和利用,而且代价昂贵,所以它们只能被高级攻击者使用。领先的 CSP 持续扫描虚拟机监控程序代码中的漏洞,并将其虚拟机监控程序提交给模糊测试,以识别和补救漏洞。CSP 同样能监视系统日志,以查看是否有任何有关管理程序利用的证据。
容器化虽然是提高性能和可移植性的诱人技术,但在多租户环境中部署之前应仔细考量。容器在共享内核上运行,没有虚拟化提供的抽象层。在云等多租户环境中,容器平台中的漏润可能使攻击者得以破坏同一主机上其他租户的容器。
硬件漏洞也可能对云安全产生重大影响。芯片设计中的缺陷可能会通过侧通道攻击导致云中的租户信息受损。尽管这里并没有使用这些或其他硬件漏洞的攻击记录,但在云中使用共享硬件将放大未来漏洞的影响。为了解决这个问题,服务提供商在缓解硬件漏洞方面具有优势,因为它们可以比其他环境更大规模、更为快速地修补其环境。
缓解共享租户漏洞的方法包括使用 CSP 提供的机制将组织资源与其他云租户分开。这里建议采用以下缓解措施:
通过强大的加密方法以及正确配置、管理和监视的密钥管理系统,对静态和传输中的数据进行加密;
对于 DoD 组织,请使用获得 DoD CCSRG 认证的云服务;
对于特别敏感的工作负载,使用专用的、整体的或裸机的例子,来降低对手并置和利用虚拟机监控程序漏洞来获取资源访问权的风险;
对于敏感的工作负载,如果可能的话,请使用虚拟化进行隔离而非容器化;
在考虑使用云服务时,应了解底层隔离技术(例如虚拟化、容器化)以及它是否可以减轻预期用途的风险;
选择已经根据国家信息保障合作伙伴(NIAP)保护配置文件(PPs)评估了关键组件的云产品,尤其是已针对 NIAP 服务虚拟化 PP 进行了评估的虚拟机监控程序。
供应链漏洞
云中的供应链漏洞包括内部出现的攻击者以及硬件和软件中故意打开的后门。CSP 从全球采购硬件和软件,并雇佣各国的开发人员。第三方软件云组件可能包含开发人员故意插入的漏洞,来破坏应用程序。作为供应商,管理员或开发人员,将代理(Agent)插入云供应链中可能是本土民族国家攻击者破坏云环境的有效方法。
缓解针对云平台的供应链攻击主要是 CSP 的责任,云供应商意识到供应链风险,并通过软件测试和硬件验证来寻找后门的迹象。CSP 通过诸如角色分离,针对特别敏感操作的双方诚信和警报可疑管理员活动等控制措施来减轻内部攻击者的风险。为了增强组织抵御供应链受损的防御能力,管理员们应做到:
通过强大的加密方法以及正确配置、管理和监视的密钥管理系统,对静态和传输中的数据进行加密;
根据适用的认证流程购买云资源;
选择已根据国家信息保障合作伙伴(NIAP)保护配置文件(PPs)评估了关键组件的云产品;
确保开发和迁移合同规定遵守内部标准或等效流程以减轻供应链风险;
控制虚拟机映像的选择,以防止使用不可信的第三方产品,例如恶意云市场产品;
与 CSP 讨论特定于供应商的对策,以制定风险决策;
遵守适用的标准,利用安全的编码实践,并在企业应用程序的安全性、完整性和弹性方面不断改进。
以上就是今天的内容,希望对你有所帮助。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论