您所在的位置: 首頁 >
新聞資訊 >
技術前沿 >
云計算攻擊:網(wǎng)絡攻擊的新載體
云計算技術可以隨時通過互聯(lián)網(wǎng)提供計算資源共享池,且成本低廉甚至免費。通過使用云計算,許多個人和企業(yè)已經(jīng)提高了運營效率,同時降低了 IT 成本。
盡管與現(xiàn)場模型相比,云計算模型充滿了優(yōu)勢,但它們?nèi)匀蝗菀资艿絻?nèi)部和外部攻擊。因此,云開發(fā)人員需要采取安全措施來保護用戶的敏感數(shù)據(jù)免受網(wǎng)絡攻擊。
本文是為希望提高云服務解決方案安全性的云開發(fā)人員和服務提供商編寫的。我們將首先概述云計算技術的關鍵漏洞,然后看看云計算中最常見的攻擊類型。最后,我們將根據(jù)行業(yè)最佳實踐提供有關如何確?;谠频慕鉀Q方案的安全性的實用建議。
關鍵云計算漏洞
根據(jù)您需要的控制程度,可以選擇三種類型的云計算服務:
1、軟件即服務 (SaaS)
2、平臺即服務 (PaaS)
3、基礎設施即服務 (IaaS)
云技術仍在積極開發(fā)中,因此存在許多可被網(wǎng)絡犯罪分子或惡意內(nèi)部人員利用的漏洞。讓我們看看引起云用戶安全擔憂的關鍵云計算漏洞。
數(shù)據(jù)威脅
云用戶在云環(huán)境中存儲各種類型的數(shù)據(jù),其中很多數(shù)據(jù)包含有關用戶或業(yè)務活動的敏感信息。然而,這些數(shù)據(jù)很容易因人為行為、應用程序漏洞和不可預見的緊急情況而丟失、泄露或損壞。顯然,云服務提供商無法阻止所有數(shù)據(jù)威脅,但云開發(fā)人員應該應用現(xiàn)代加密算法來確保從用戶到云傳輸?shù)臄?shù)據(jù)的完整性。
云API漏洞
應用程序編程接口 (API) 允許用戶與基于云的服務交互。然而,API 中的漏洞可能會嚴重影響云編排、管理、配置和監(jiān)控的安全性。云開發(fā)人員需要對 API 實施強有力的控制。
惡意內(nèi)部人士
惡意行為的合法云用戶有多種方式在云環(huán)境中安排攻擊或泄露數(shù)據(jù)。不過,云開發(fā)人員可以通過實施身份和訪問管理 (IAM) 技術來最大限度地減少這種威脅。
共享技術漏洞
云計算涉及虛擬化和云編排等共享技術的使用。因此,通過利用這些技術任何部分的漏洞,攻擊者都可以對許多云用戶造成重大損害。虛擬機管理程序中的弱點可能使黑客能夠控制虛擬機甚至主機本身。在虛擬機逃逸的情況下,黑客可以通過共享資源獲得對主機的無限制訪問。因此,有必要注意您委托云解決方案的云提供商的安全性。
供應商鎖定
大多數(shù)現(xiàn)代云服務提供商使其客戶依賴于他們的服務,而轉(zhuǎn)換成本很高。當提供商無法提供他們所需的所有服務時,許多云用戶會感到被鎖定。確保您的解決方案具有幫助用戶輕松從其他提供商遷移的工具,例如導入各種格式數(shù)據(jù)的能力。
弱密碼學
盡管云提供商使用加密算法來保護存儲中的數(shù)據(jù),但他們通常使用有限的熵源(例如時間)來自動生成用于數(shù)據(jù)加密的隨機數(shù)。例如,基于 Linux 的虛擬機僅從精確的毫秒生成隨機密鑰。然而,這對于強大的數(shù)據(jù)加密來說可能還不夠,因為攻擊者還使用復雜的解碼機制來破解信息。因此,云開發(fā)人員應該在數(shù)據(jù)遷移到云之前考慮如何保護數(shù)據(jù)。
易受攻擊的云服務
雖然云計算平臺被設計為云服務的分布式系統(tǒng),但這些服務之間幾乎沒有保護。因此,攻擊者可以利用任何一項云服務中的漏洞來獲得對合法用戶數(shù)據(jù)的未經(jīng)授權的訪問。例如,2016年OpenStack云平臺的云服務存在超過150個已知弱點。創(chuàng)建強大的架構可以隔離用戶在云中的操作。
云計算的攻擊向量
云計算中網(wǎng)絡攻擊的主要目標是獲取用戶數(shù)據(jù)并阻止對云服務的訪問。兩者都會對云用戶造成嚴重傷害,并動搖人們對云服務安全性的信心。
在安排對云服務的攻擊時,黑客通常通過以下方式侵入云用戶與服務或應用程序之間的通信:
利用云計算中的漏洞;
在云之外的某個地方竊取用戶的憑據(jù);
在破解用戶密碼后使用先前對云的合法訪問;
充當惡意內(nèi)部人員。
如果您的解決方案具有一些區(qū)塊鏈驅(qū)動的功能,請務必查看我們有關區(qū)塊鏈攻擊向量的文章。
10 種最常見的云計算攻擊類型
攻擊云計算服務的方法有很多種,黑客也在不斷致力于開發(fā)更復雜的方法。然而,至少了解最常見的問題將有助于云開發(fā)人員設計更安全的解決方案。以下列出了十種不同類型的云攻擊。
1.云惡意軟件注入攻擊
惡意軟件注入攻擊的目的是控制云中的用戶信息。為此,黑客將受感染的服務實現(xiàn)模塊添加到 SaaS 或 PaaS 解決方案,或?qū)⑻摂M機實例添加到 IaaS 解決方案。如果云系統(tǒng)被成功欺騙,它會將云用戶的請求重定向到黑客的模塊或?qū)嵗?,從而啟動惡意代碼的執(zhí)行。然后攻擊者就可以開始惡意活動,例如操縱或竊取數(shù)據(jù)或竊聽。
最常見的惡意軟件注入攻擊形式是跨站點腳本攻擊和 SQL 注入攻擊。在跨站點腳本攻擊期間,黑客將惡意腳本(Flash、JavaScript 等)添加到易受攻擊的網(wǎng)頁中。德國研究人員于 2011 年對 Amazon Web Services 云計算平臺發(fā)起了一次 XSS 攻擊。在 SQL 注入的情況下,攻擊者以具有易受攻擊的數(shù)據(jù)庫應用程序的 SQL 服務器為目標。2008年,索尼的PlayStation網(wǎng)站成為SQL注入攻擊的受害者。
2. 濫用云服務
黑客可以使用廉價的云服務對目標用戶、公司甚至其他云提供商進行 DoS 和暴力攻擊。例如,安全專家Bryan 和 Anderson在 2010 年利用亞馬遜 EC2 云基礎設施的能力安排了 DoS 攻擊。結果,他們僅花費 6 美元租用虛擬服務,就成功地使他們的客戶端無法在互聯(lián)網(wǎng)上使用。
Thomas Roth 在 2011 年黑帽技術安全會議上演示了一個暴力攻擊的示例。通過從云提供商租用服務器,黑客可以利用強大的云功能將數(shù)千個可能的密碼發(fā)送到目標用戶的帳戶。
3.拒絕服務攻擊
DoS 攻擊旨在使系統(tǒng)超載并使其用戶無法獲得服務。這些攻擊對于云計算系統(tǒng)尤其危險,因為即使單個云服務器被淹沒,許多用戶也可能遭受損失。在高工作負載的情況下,云系統(tǒng)開始通過涉及更多虛擬機和服務實例來提供更多計算能力。在試圖阻止網(wǎng)絡攻擊的同時,云系統(tǒng)實際上使其更具破壞性。最后,云系統(tǒng)速度變慢,合法用戶無法訪問其云服務。在云環(huán)境中,如果黑客使用更多的僵尸機器來攻擊大量系統(tǒng),DDoS攻擊可能會更加危險。為了緩解這些問題,必須了解有效的DDoS 預防技術。
4. 旁路攻擊
當黑客將惡意虛擬機放置在與目標虛擬機相同的主機上時,就會發(fā)生旁路攻擊。在側(cè)信道攻擊期間,黑客的目標是加密算法的系統(tǒng)實現(xiàn)。然而,可以通過安全的系統(tǒng)設計來避免這種類型的威脅。
5. 包裹攻擊
云計算中的包裝攻擊是中間人攻擊的一個示例。云計算很容易受到包裝攻擊,因為云用戶通常通過網(wǎng)絡瀏覽器連接到服務。XML 簽名用于保護用戶的憑據(jù)免遭未經(jīng)授權的訪問,但此簽名不能保護文檔中的位置。因此,XML 簽名元素包裝允許攻擊者操縱 XML 文檔。
例如,2009 年,亞馬遜彈性云計算 (EC2) 的 SOAP 接口中發(fā)現(xiàn)了一個漏洞。該漏洞允許攻擊者通過成功的簽名包裝攻擊來修改竊聽的消息。
6. 云中人攻擊
在此類攻擊中,黑客利用同步令牌系統(tǒng)中的漏洞攔截并重新配置云服務,以便在下次與云同步時,同步令牌將被替換為向攻擊者提供訪問權限的新令牌。用戶可能永遠不知道他們的帳戶已被黑客入侵,因為攻擊者可以隨時放回原始同步令牌。此外,還存在被盜帳戶永遠無法恢復的風險。
7. 內(nèi)部攻擊
內(nèi)部攻擊是由故意違反安全策略的合法用戶發(fā)起的。在云環(huán)境中,攻擊者可以是云提供商管理員或擁有廣泛權限的客戶公司員工。為了防止此類惡意活動,云開發(fā)人員應該設計具有不同級別的云服務訪問權限的安全架構。
8. 賬戶或服務劫持
帳戶或服務劫持是在獲得用戶憑據(jù)的訪問權限后實現(xiàn)的。有多種技術可以實現(xiàn)這一目標,從釣魚到間諜軟件再到 cookie 中毒。一旦云賬戶被黑客入侵,攻擊者就可以獲取用戶的個人信息或企業(yè)數(shù)據(jù),從而危及云計算服務。例如, 2007 年,SaaS 供應商Salesforce的一名員工成為網(wǎng)絡釣魚詐騙的受害者,導致該公司的所有客戶帳戶均被泄露。
9. 高級持續(xù)威脅(APT)
APT 是一種讓黑客在合法用戶不知情的情況下持續(xù)竊取存儲在云中的敏感數(shù)據(jù)或利用云服務的攻擊。這些攻擊的持續(xù)時間使黑客能夠適應針對它們的安全措施。一旦建立未經(jīng)授權的訪問,黑客就可以穿過數(shù)據(jù)中心網(wǎng)絡并利用網(wǎng)絡流量進行惡意活動。
10.新攻擊:Spectre和Meltdown
這兩類網(wǎng)絡攻擊在今年早些時候出現(xiàn),已經(jīng)成為云計算的新威脅。借助惡意 JavaScript 代碼,攻擊者可以利用大多數(shù)現(xiàn)代處理器的設計缺陷從內(nèi)存中讀取加密數(shù)據(jù)。Spectre 和 Meltdown都打破了應用程序和操作系統(tǒng)之間的隔離,讓攻擊者可以從內(nèi)核讀取信息。這對于云開發(fā)人員來說確實是一個令人頭疼的問題,因為并非所有云用戶都安裝了最新的安全補丁。
7 個云攻擊預防技巧
云服務的動態(tài)特性打破了用于現(xiàn)場軟件的傳統(tǒng)安全模型。顯然,云服務提供商無法確保云中的全面安全。云用戶也有部分責任。雖然保護云中用戶數(shù)據(jù)的最佳方法是提供分層安全方法,但云服務提供商應實施行業(yè)最佳實踐,以確保其云安全達到最高水平。以下是有關云開發(fā)人員如何確保其基于云的解決方案安全的七個技巧。
1. 強化安全政策
軟件供應商在提供云服務時,應在安全策略中限制其保護云中用戶數(shù)據(jù)和操作的責任范圍。告知您的客戶您為確保云安全所做的工作以及他們需要采取哪些安全措施。
2.使用強認證
竊取密碼是訪問云中用戶數(shù)據(jù)和服務的最常見方式。因此,云開發(fā)人員應該實施強大的身份驗證和身份管理。建立多因素身份驗證。有多種工具需要靜態(tài)密碼和動態(tài)密碼。后者通過在移動電話上提供一次性密碼或使用生物識別方案或硬件令牌來確認用戶的憑據(jù)。
3.實施訪問管理
為了提高服務的安全性,云開發(fā)者應該讓云用戶將基于角色的權限分配給不同的管理員,這樣用戶就只能擁有分配給他們的能力。此外,云編排應使特權用戶能夠根據(jù)其在公司內(nèi)的職責來建立其他用戶的權限范圍。
4. 保護數(shù)據(jù)
云環(huán)境中的數(shù)據(jù)在傳輸和存儲的各個階段都需要加密:
在源頭(在用戶端)
傳輸中(從用戶傳輸?shù)皆品掌鞯倪^程中)
靜止時(存儲在云數(shù)據(jù)庫中時)
數(shù)據(jù)在進入云端之前就需要加密?,F(xiàn)代數(shù)據(jù)加密和標記化技術可以有效防御帳戶劫持。此外,證明端到端加密對于保護傳輸中的數(shù)據(jù)免受中間人攻擊也很重要。使用包含鹽和哈希值的強大加密算法可以有效地抵御網(wǎng)絡攻擊。
存儲在云端的數(shù)據(jù)也容易受到意外損壞,因此您還可以通過提供數(shù)據(jù)備份服務來確保其恢復。
5. 檢測入侵
為您的基于云的解決方案提供完全托管的入侵檢測系統(tǒng),該系統(tǒng)可以檢測并通知入侵者對云服務的惡意使用。使用入侵檢測系統(tǒng)提供網(wǎng)絡監(jiān)控并通知內(nèi)部人員的異常行為。
6. 安全 API 和訪問
云開發(fā)人員應確保客戶端只能通過安全 API 訪問應用程序。這可能需要限制 IP 地址范圍或僅通過公司網(wǎng)絡或 VPN 提供訪問。然而,對于面向公眾的應用程序來說,這種方法可能很難實施。因此,您可以通過 API 使用特殊的腳本、模板和配方來實現(xiàn)安全保護。您甚至可以更進一步,在 API 中構建安全保護。
7. 保護云服務
限制對云服務的訪問對于防止攻擊者通過云服務的弱點獲得對用戶操作和數(shù)據(jù)的未經(jīng)授權的訪問是必要的。在設計云服務架構時,將事件處理程序權限最小化,僅保留執(zhí)行特定操作所需的權限。此外,您可以將安全決策限制為僅針對用戶信任的那些能夠管理其數(shù)據(jù)安全的云服務。
結論
云計算技術因其諸多優(yōu)點而深受用戶歡迎。然而,這項技術也引入了漏洞,這些漏洞可能成為網(wǎng)絡攻擊的新載體。通過了解網(wǎng)絡犯罪分子如何在云計算中進行攻擊,云開發(fā)人員可以更好地保護他們的產(chǎn)品。
參考及來源:https://www.apriorit.com/dev-blog/523-cloud-computing-cyber-attacks
文章來源:嘶吼專業(yè)版