数周、数月乃至数年以来,存储在云端的数据被暴露在开放互联网之上已经成为一类持续涌现的麻烦事件。事实上,这种暴露并不一定跟针对性攻击或安全违规有所关联; 相反,其往往只是由细小设置错误所引发。也许敏感信息被不慎存储在了其本不该接触到的云存储库当中,又或者被存储在云端的数据允许任何人以无需身份验证的方式加以访问,甚至可能源自管理员未对默认密码作出修改。总而言之,作为如今整体云安全体系的重要组成部分,Google Cloud Platform希望拿出一套潜在解决方案,帮助人们解决云存储桶配置错误这一长期存在的问题。
这当中存在着巨大的风险。因错误配置所导致的数据泄露往往会影响到数百万条记录,而且一切因此而曝光的数据都有可能引发实际后果。在去年的一次重大事件当中,政治分析厂商Deep Root公司意外泄露多达1.98亿名美国选民的个人信息,具体包括其姓名、地址与党派隶属关系。
这类事件之所以层出不穷,在很大程度上因为多数备受瞩目的数据泄露问题——例如埃森哲、WWE以及博思艾伦等——仅仅是源自对Amazon Web Services简单存储服务(简称S3)存储桶的错误配置。然而,谷歌云客户的日子也不好过——Google Groups就曾遭遇到错误配置并引发数据外泄。为了防止此类情况的发生,该平台通过一项全新功能提供可视化工具(目前仍处于Alpha测试阶段),这就是云安全命令中心。其基本思路在于评估客户所使用的全部云组件——大型企业往往需要同时使用各类云基础设施、应用程序以及存储库——并提供漏洞扫描功能,从而自动检查潜在的敏感信息并提示体系内存在的、可供公开访问的各类资产。
谷歌公司产品管理总监Jennifer Lin表示:“用户将能够快速了解其拥有的项目数量、已经部署的资源、敏感数据的位置以及防火墙规则的配置方式。安全团队则可借此确定各云存储桶是否向互联网开放,以及其中是否包含个人可识别信息。”
云服务供应商无法控制客户对其基础设施的具体配置,因此各类新型安全功能越来越关注标记与透明化工具。云安全命令中心将帮助客户了解其选定的设置选项的实际含义——事实上,相当一部分错误配置都来自原本仅供内部使用、但随后被转换为可在线访问的存储区或系统层面。在这类情况下,此前无关紧要的设置突然对安全产生了重大影响,但管理员们却不一定记得或者有能力就此做出适当的调整。
去年11月,AWS公司宣布针对S3作出一系列安全改进,其中包括对所有存储桶提供默认加密设置,并在管理仪表板当中通过“公开指示器”提示一切可通过公开互联网访问的任意存储桶。AWS首席技术布道师Jeff Barr写道,“每当开启一个公共访问存储桶,您都将立刻得到提醒。”另外,AWS还提供免费的审计工具,可对存储区执行安全扫描,并提供与之对应的建议性操作、推荐的调查方式并在未发现问题时作出相应标记。这项审计功能此前就已经在为企业客户服务,但今年2月底其正式以免费方式供全部S3用户使用。与谷歌的云安全命令中心一样,AWS还提供机器学习工具,可自动扫描云存储桶中的漏洞并检测其中可能存在的个人敏感数据。
上周三谷歌公司发布的云安全公告高度强调可见性与透明度两大因素,其中包括Google Cloud Platform的管理员将能够使用并追踪更为强大的活动日志功能。通过这种方式,客户将能够轻松获得与基础设施访问相关的详细活动信息,包括哪些人曾经访问、其做了什么,又是否曾对云调零和出修改等等。这些“访问透明度”工具还包括谷歌自身与客户基础设施之间的全部交互日志内容。
考虑到云计算的庞大规模,透明度特性对于安全保障而言可谓至关重要。管理员则查看各套系统与存储桶访问配置的难度越低,发现错误与意外泄露事故的可能性也就越高,这将有效防止业务体系发生长期瘫痪。而强大的日志记录功能也将帮助用户提早确定意外泄露的数据,并评估自身数据是否确实受到危害。
然而,由于人为错误仍是导致云数据泄露事件的主要原因,因此除了提供工具与功能选项之外,提升相关人员对风险及资源的认识水平同样直接决定我们能否真正纠正或避免此类问题。与Google Cloud Platform合作开发威胁情报分享安全厂商RedLock公司在去年10月发布的一份报告中指出,在使用云存储服务的企业当中,有53%的受访者曾至少意外公开一项云服务。这一数字与2017年5月进行的调查相比有所增长——当时发现的由云配置错误而导致的数据泄露事故比例为40%。
毫无疑问,Google Cloud Platform如今公布的安全功能绝对无法凭借一己之力解决云配置错误导致的数据泄露问题。但是,大型云服务供应商已经开始在这个问题上投入精力与关注,同时努力改善可用资源——这显然是一种值得肯定与称道的发展趋势。
本文翻译自Wired
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
