蒲庙信息网

首页 > 正文

云安全:内部共享责任模型

www.dasvelas.com2019-10-08

原标题:云安全:内部共享责任模型

0x251C

原文:steven j.云计算d1net

如今,许多组织都面临着网络攻击,这表明云计算安全是一个复杂的技术和合同问题。

在最近的一次重大云安全事件中,Capital One的数据泄露影响了美国1亿人和加拿大600万人。事实上,不仅Capital One遭到网络攻击,黑客Paige A.Thompson还从30多家其他公司、教育机构和其他实体窃取了数兆字节的数据。

正如被指控的网络攻击者在谈到aws配置时所说,“许多组织的安全性都有问题。”

那么,这家公司只是在安全方面犯了严重的错误吗?不,这件事不一样。首先需要了解一些事情。调查显示,CapitalOne的业务在很大程度上依赖于Amazon Web Services(AWS)云计算服务。并对保存在amazon简单存储服务(s3 bucket)中的数据进行网络攻击。但是,由于防火墙配置错误,此攻击不是对没有任何安全措施的s3 bucket的攻击。

简而言之,这些违规行为并不是因为公司犯了愚蠢的安全错误,而是因为公司在维护自身安全方面做得很差。

Capital One的modSecurity Web应用程序防火墙(WAF)配置错误允许网络攻击者(前AWS员工)伪造防火墙并将请求转发到关键的AWS后端资源。攻击者使用服务器端请求伪造(ssrf)攻击诱使防火墙进入攻击者。

将来人们会看到更多这样的攻击。正如Cloudflare产品安全团队经理Evan Johnson所说:“这个问题非常普遍且众所周知,但是很难预防,并且AWS平台上没有任何补救措施或缓解措施。”

因此,很明显,很多人可以责怪某些AWS的公共云服务。但是,正如所谓的攻击者自己对AWS的配置所说的那样,许多公司在这方面犯了错误。正如Gartner在其调查报告中预测的那样,“实际上,95%的云安全故障都是客户的错误。”

但是,有些人(例如参议员Ron Wyden)将这种数据泄露的大部分责任推给了AWS。 AWS确实需要对此进行解释,但是真正的问题是,如果公司的安全措施不好,它将是:遭受攻击时损失惨重。而且,采用的云服务越大,损失就越大。

正如安全专家Brian Krebs指出的那样,此漏洞不是由以前未知的“零日”缺陷或内部攻击引起的,而是由使用众所周知的错误的攻击引起的。

但是在这一系列的安全灾难中,谁真正犯了安全错误?是云计算提供商还是使用云服务的公司?答案是他们都有责任。

客户和云提供商各自负责云堆栈的不同部分。此概念称为共享责任模型(SRM)。快速考虑此模型的方式是,云计算提供商负责云平台的安全性,采用云平台的用户负责云中业务的安全性。

AWS和Microsoft Azure都明确支持此模型。但是,所有公共云都在一定程度上使用了它,这是公司当前的云安全技术和合同方法的基础。

在最基本的级别上,这意味着公司负责管理程序级别以上的所有内容。这包括客户机操作系统,应用程序软件,用于云计算实例的防火墙以及用于传输和空闲的加密数据。云计算提供商负责主机操作系统,虚拟化层及其设施的物理安全性。

当然,在现实世界中,它从未如此简单,人们需要了解一些最新的安全事件。

AWS表示:“安全性和合规性是AWS与用户之间的共同责任。这种共享模型可以帮助减轻用户的操作负担,因为AWS可以运行,管理和控制从主机操作系统和虚拟化层到组件的所有内容。安全组件以及服务运行的设施。客户承担操作系统的职责和管理(包括更新和安全补丁),其他相关应用程序以及AWS提供的安全组防火墙的配置。” p>

对于Capital One,他们没有正确设置防火墙。但是,获取AWS身份和访问管理(IAM)角色的临时凭证变得更加容易。使用这些临时凭据,执行服务器请求伪造(SSRF)攻击相对容易。

约翰逊声称,有几种方法可以减少临时证书的使用。 Netflix还表明,公司可以发现AWS云平台中临时安全证书的使用。因此,AWS可以更好地锁定防火墙,但是Capital One首先会设置防火墙。简而言之,这一切都变得很混乱。

这不足为奇。正如行业专家指出的那样,云安全要求被视为一个范围。云计算服务客户将适用于其组织的所有法规,行业和业务要求(GDPR,PCI DSS,合同等),其总和等于组织所有特定的安全要求。这些安全要求将有助于确保数据的机密性,完整性和可用性。

安全需求的一端是云计算服务提供商,另一端是使用云计算服务的用户。提供者负责其中的某些安全要求,而用户负责其余的安全要求,但应满足某些安全要求。云计算服务提供商和云服务用户都有保护数据的义务。

然而,在谁负责什么之间划清界限并不容易。没有所有云平台安全性的单一解决方案。例如,如果您使用软件即服务(SaaS)办公套件,例如Google的GSuite,则显然这是Google的责任,而不是用户的责任。如果您在平台即服务(PaaS)上运行自己的应用程序,则可以承担同时运行该程序的信誉和责任。

如果仔细观察,您会发现AWS提供了三种不同的共享责任模型(SRM)。这些是基础结构服务,容器服务和抽象服务。 Azure和其他公共云提供商也具有类似的安全策略设置。

基础架构包括计算服务(例如EC2)和支持服务(例如弹性块存储(EBS),自动扩展和虚拟专用网(VPC))。使用此模型,用户可以在AWS云平台中安装和配置操作系统和平台,就像在本地或在自己的数据中心中进行部署一样。除此之外,您还可以安装该应用程序。最终,用户可以在自己的应用程序中托管数据并自己管理应用程序。

容器服务与Docker和类似技术无关,当用户考虑容器时会想到这些。相反,这些服务通常在单独的Amazon EC2或其他基础架构实例上运行,但是有时用户不必管理操作系统或平台层。

AWS提供了托管服务,但是用户负责设置和管理网络控制(例如防火墙规则),并与身份和访问管理(IAM)分开管理平台级身份和访问管理。容器服务的示例包括Amazon Relational Database Service(Amazon RDS),Amazon Elastic Map Restore(Amazon EMR)和AWS Elastic Beanstalk。

在这里,AWS管理基础架构和基础服务,操作系统以及应用程序平台。例如,使用Amazon RDS AWS来管理容器的所有层,包括Oracle数据库平台。但是,AWS平台提供了数据备份和恢复工具。用户的工作是维护其业务连续性和灾难恢复策略。还负责数据和防火墙规则。因此,尽管Amazon RDS提供了防火墙软件,但它的工作是管理防火墙。

抽象服务是高级存储,数据库和消息传递服务。它们包括Amazon Simple Storage Service(Amazon S3),Amazon DynamoDB和Amazon Simple Email Service。这些抽象了平台或管理层,用户可以在其中构建和运行云应用程序。您可以使用其AWS API进行此操作。 AWS公司管理基础服务组件或操作系统。

在这里,用户的安全性工作是使用身份和访问管理(IAM)工具来管理数据,以在平台级别或在身份和访问管理(IAM)用户/组级别。应用用户身份或用户责任。

让我们看一个简单的例子。 Amazon将Amazon Elastic Compute Cloud(Amazon EC2)分类为基础设施即服务(IaaS)云平台。借助它,用户负责管理来宾操作系统(包括更新和安全补丁程序),实例上安装的任何应用程序软件或实用程序,以及每个AWS实例提供的防火墙(也称为安全组)的配置。但是,Amazon S3需要运行基础架构层,操作系统和平台,并且客户端访问终端节点以存储和检索数据。用户负责管理其数据(包括加密选项),对其资产进行分类,并对身份和访问管理(IAM)应用程序使用适当的权限。

您了解重点吗?两者都是基础架构即服务(IaaS),但是它们具有不同的规则。

这个故事的寓意是用户必须仔细研究每个云计算存储资源管理服务(SRM)服务协议。但是,基本概念并不太复杂,尽管必须准确理解它们使用的每个服务的内容以及谁负责每个服务。云计算提供商负责云平台的安全性,而用户负责其云平台业务的安全性。

云原生计算已将共享职责模型(SRM)中的内容混合在一起。例如,AWS现在提供AWS Lambda。这是一种无服务器的云计算方法,它允许用户运行代码而无需配置或管理服务器。那么,如果没有服务器,谁负责服务器?

亚马逊表示,AWS通过Lambda来管理基础架构,基础服务,操作系统和应用程序平台。用户负责代码的安全性,敏感数据的存储和可访问性以及身份和访问管理(IAM)。

这留下了一个问题。例如,由于用户使用Lambda运行代码,因此代码的责任在哪里结束,Lambda的责任从哪里开始?

作为全栈云原生安全平台提供商Gadi Naor的CTO和Alcide的共同创始人,“使用无服务器架构意味着组织仅因不再拥有对架构操作系统的访问权限而拥有新的盲点。在这些工作负载中添加防火墙,基于主机的入侵防御或工作负载保护工具。”

这仅仅是开始。例如,Kubernetes使混合云能够同时在多个云平台上运行。因此,如果用户运行的程序跨越了新的基于Red Hat的小发猫云平台和AWS,那么谁负责保护整个项目?问题发生时由谁负责?最后但并非最不重要的一点是,当最终用户起诉时,谁将支付费用?

这个问题问得好。人们进入的这个新的复杂云世界仍然没有好的答案。

那么用户可以做什么?首先,请确保您了解云安全需求。用户无法选择云计算服务提供商并开发云安全协议,直到他们知道什么对他们有用为止。这些不仅仅是技术问题。它们也是需要注意的法律问题。

利用此信息,用户可以与云计算提供商一起开发安全协议。这应该在其服务水平协议中明确说明。

最后,无论合同中包含什么内容,用户及其安全人员都必须确保基于云的数据和服务尽可能地安全。毕竟,这是您自己的数据和工作,如果出现问题,您将必须对此负责。

(来源:企业网络D1Net)返回搜狐,查看更多

负责编辑:

2019-09-18 16: 22

源:互连CNLink

原标题:云安全:内部共享责任模型

原文:Steven J. Cloud Computing D1net

如今,许多组织都在遭受网络攻击,这表明云计算安全性是一个复杂的技术和合同问题。

在最近的一次重大云安全事件中,Capital One的数据泄露事件影响了美国1亿人和加拿大600万人。实际上,不仅Capital One受到网络攻击,黑客Paige A. Thompson还从30多家其他公司,教育机构和其他实体中窃取了TB的数据。

正如被指控的网络攻击者在谈论AWS配置时所说的那样,“许多组织在安全性方面做错了事。”

那么,这家公司是否仅在安全方面犯了严重错误?不,这个事件不一样。首先需要了解一些事情。调查显示,Capital One的业务严重依赖于Amazon Web Services(AWS)云计算服务。然后对存储在Amazon Simple Storage Service(S3存储桶)中的数据进行网络攻击。但是,由于防火墙配置错误,这种攻击不是没有任何安全措施的对S3存储桶的攻击。

简而言之,这些违规行为不是因为该公司犯了愚蠢的安全错误,而是因为它在维护自己的安全性方面做得很差。

Capital One的ModSecurity Web应用程序防火墙(WAF)配置错误使网络攻击者(以前的AWS员工)可以欺骗防火墙并将请求转发到关键的AWS后端资源。攻击者使用服务器端请求伪造(SSRF)攻击将防火墙欺骗给攻击者。

将来人们会看到更多这样的攻击。正如Cloudflare产品安全团队经理Evan Johnson所说:“这个问题非常普遍且众所周知,但是很难预防,并且AWS平台上没有任何补救措施或缓解措施。”

因此,很明显,很多人可以责怪某些AWS的公共云服务。但是,正如所谓的攻击者自己对AWS的配置所说的那样,许多公司在这方面犯了错误。正如Gartner在其调查报告中预测的那样,“实际上,95%的云安全故障都是客户的错误。”

但是,有些人(例如参议员Ron Wyden)将这种数据泄露的大部分责任推给了AWS。 AWS确实需要对此进行解释,但是真正的问题是,如果公司的安全措施不好,它将是:遭受攻击时损失惨重。而且,采用的云服务越大,损失就越大。

正如安全专家Brian Krebs指出的那样,此漏洞不是由以前未知的“零日”缺陷或内部攻击引起的,而是由使用众所周知的错误的攻击引起的。

但是在这一系列的安全灾难中,谁真正犯了安全错误?是云计算提供商还是使用云服务的公司?答案是他们都有责任。

客户和云提供商负责云堆栈的不同部分。此概念称为共享责任模型(SRM)。考虑此模型的一种快速方法是,云计算提供商负责云平台的安全,而采用云平台的用户则需要负责云中的业务安全。

AWS和Microsoft Azure都明确支持此模型。但是,所有公共云都在一定程度上使用它,这是企业处理云安全性的当前技术和合同方法的基础。

在最基本的级别上,这意味着企业负责管理程序级别以上的所有内容。其中包括客户端操作系统,应用软件,用于云计算实例的防火墙以及用于传输和空闲时间的加密数据。云计算提供商负责主机操作系统,虚拟化层及其设施的物理安全性。

当然,在现实世界中,它从未如此简单,人们需要了解一些最新的安全事件。

“安全性和合规性是AWS和用户的共同责任,” AWS说。这种共享模式可以帮助减轻用户的操作负担,因为AWS可以运行,管理和控制从主机操作系统和虚拟化层到组件的物理安全性以及服务操作设施的组件。客户承担操作系统的职责和管理(包括更新和安全补丁),其他相关应用程序以及AWS提供的安全组防火墙的配置。

对于Capital One,他们没有正确设置防火墙。但是,更容易获得用于AWS身份和访问管理(IAM)角色的临时凭证。使用这些临时凭证,服务器请求伪造(SSRF)攻击相对容易。

约翰逊声称,有几种方法可以减少临时证书的使用。 Netflix还表明,公司可以发现AWS云平台中临时安全证书的使用。因此,AWS可以更好地锁定防火墙,但是Capital One首先设置了防火墙。简而言之,所有这些都变得非常混乱。

这不足为奇。正如行业专家指出的那样,云安全要求被视为一个范围。云计算服务客户将适用于其组织的所有法规,行业和业务要求(GDP R,PCI DSS,合同等),其总金额将等于组织的所有特定安全要求。这些安全要求将有助于确保数据的机密性,完整性和可用性。

安全要求范围的一端是云计算服务提供商,另一端是使用云计算服务的用户。提供者负责其中一些安全性要求,而用户负责其余的安全性,但它们应满足一些安全性要求。云计算服务提供商和云服务用户有义务保护数据。

但是,在谁负责和什么之间划清界限并不容易。没有适合所有云平台安全性的解决方案。例如,如果您使用SaaS办公套件(例如Google的GSuite),则很明显Google负责而不是用户。如果您在平台即服务(PaaS)上运行自己的应用程序,则可以承担该程序的信誉和责任。

如果仔细观察,您会发现AWS提供了三种不同的共享责任模型(SRM)。这些是基础结构服务,容器服务,抽象服务。 Azure和其他公共云服务提供商具有相似的安全策略设置。

基础设施包括诸如EC2之类的计算服务以及诸如弹性块存储(EBS),自动扩展和虚拟专用网(VPC)之类的支持服务。使用此模型,用户可以在AWS云平台中安装和配置操作系统和平台,就像在本地或在自己的数据中心中进行部署一样。除此之外,您还可以安装该应用程序。最终,用户可以在自己的应用程序中托管数据并自己管理应用程序。

容器服务与Docker和类似技术无关,当用户考虑容器时会想到这些。相反,这些服务通常在单独的Amazon EC2或其他基础架构实例上运行,但是有时用户不必管理操作系统或平台层。

AWS提供了托管服务,但是用户负责设置和管理网络控制(例如防火墙规则),并与身份和访问管理(IAM)分开管理平台级身份和访问管理。容器服务的示例包括Amazon Relational Database Service(Amazon RDS),Amazon Elastic Map Restore(Amazon EMR)和AWS Elastic Beanstalk。

在这里,AWS管理基础架构和基础服务,操作系统以及应用程序平台。例如,使用Amazon RDS AWS来管理容器的所有层,包括Oracle数据库平台。但是,AWS平台提供了数据备份和恢复工具。用户的工作是维护其业务连续性和灾难恢复策略。还负责数据和防火墙规则。因此,尽管Amazon RDS提供了防火墙软件,但它的工作是管理防火墙。

抽象服务是高级存储,数据库和消息传递服务。它们包括Amazon Simple Storage Service(Amazon S3),Amazon DynamoDB和Amazon Simple Email Service。这些抽象允许用户为云应用程序构建和运行平台或管理层。可以使用其AWS API来完成。 AWS管理基础服务组件或操作系统。

在这里,用户的安全工作是使用身份和访问管理(IAM)工具来管理数据,以便可以在平台级别将访问控制列表(ACL)样式权限应用于各种资源,或者可以将用户身份或用户责任权限应用于身份和访问管理(IAM)的用户/组级别。

这是一个简单的例子。 Amazon将Amazon Elastic Compute Cloud(Amazon EC2)分类为基础设施即服务(IaaS)云平台。使用它,用户负责管理客户端操作系统(包括更新和安全补丁程序),实例上安装的任何应用程序软件或实用程序,以及每个实例所提供的防火墙(也称为安全组)的配置。 AWS。但是,您需要使用Amazon S3来运行基础架构层,操作系统和平台,并且客户访问终端节点以存储和检索数据。用户负责使用身份和访问管理(IAM)管理其数据(包括加密选项),对其资产进行分类并以适当的特权应用工具。

您了解重点吗?两者都是基础架构即服务(IaaS),但是它们具有不同的规则。

这个故事的寓意是用户必须仔细研究每个云计算存储资源管理服务(SRM)服务协议。但是,基本概念并不太复杂,尽管必须准确理解它们使用的每个服务的内容以及谁负责每个服务。云计算提供商负责云平台的安全性,而用户负责其云平台业务的安全性。

云原生计算已将共享职责模型(SRM)中的内容混合在一起。例如,AWS现在提供AWS Lambda。这是一种无服务器的云计算方法,它允许用户运行代码而无需配置或管理服务器。那么,如果没有服务器,谁负责服务器?

亚马逊表示,AWS通过Lambda来管理基础架构,基础服务,操作系统和应用程序平台。用户负责代码的安全性,敏感数据的存储和可访问性以及身份和访问管理(IAM)。

这留下了一个问题。例如,由于用户使用Lambda运行代码,因此代码的责任在哪里结束,Lambda的责任从哪里开始?

作为全栈云原生安全平台提供商Gadi Naor的CTO和Alcide的共同创始人,“使用无服务器架构意味着组织仅因不再拥有对该架构的操作系统的访问权限而拥有新的盲点。在这些工作负载中添加防火墙,基于主机的入侵防御或工作负载保护工具。”

这仅仅是开始。例如,Kubernetes使混合云能够同时在多个云平台上运行。因此,如果用户运行的程序跨越了新的基于Red Hat的小发猫云平台和AWS,那么谁负责保护整个项目?问题发生时由谁负责?最后但并非最不重要的一点是,当最终用户起诉时,谁将支付费用?

这个问题问得好。人们进入的这个新的复杂云世界仍然没有好的答案。

那么用户可以做什么?首先,请确保您了解云安全需求。用户无法选择云计算服务提供商并开发云安全协议,直到他们知道什么对他们有用为止。这些不仅仅是技术问题。它们也是需要注意的法律问题。

利用此信息,用户可以与云计算提供商一起开发安全协议。这应该在其服务水平协议中明确说明。

最后,无论合同中包含什么内容,用户及其安全人员都必须确保基于云的数据和服务尽可能地安全。毕竟,这是您自己的数据和工作,如果出现问题,您将必须对此负责。

(来源:企业网络D1Net)返回搜狐,查看更多

负责编辑:

免责声明:本文仅代表作者本人,搜狐是信息发布平台,搜狐仅提供信息存储空间服务。

防火墙

云计算

亚马逊

用户

操作系统

阅读()

热门浏览
热门排行榜
热门标签
日期归档