规避IaaS风险 你要提防不安全的API

把数据、系统和应用放到云环境中的风险已经是众所周知的事情。现今像云安全联盟(CSA)这样的组织一直描述各种云部署模型中存在的风险，并在2015年 5月发表题为“IaaS云存在的错误可能让你的数据处于危险之中”的文章，Symantec描述了一些可能对基础设施及服务(IaaS)云服务的客户产成风险的主要领域。在一次采访中，亚马逊Web服务的资深安全项目经理Bill Murray表示关于云安全最大的担忧是，客户没有把基本的安全最佳实践应用到他们部署和管理的IaaS资产中。这与Symantec的研究结果相一致，该结果发现16000个已经发现的云域中有0.3%的域文件夹结构很容易被猜到，其不仅可以被访问，而且还导致11000个文件，包含如信用卡交易、用户名和密码、电子邮件地址的敏感数据对任何人都可读。研究人员还发现了一些泄露的可访问的密码凭证，其中有些被硬编码到应用程序中。

IaaS的数据安全风险对企业迁移到云来说是一个长期存在的问题，然而有一些特定的问题需要我们时刻留意。

Symantec在云安全研究中发现的首要问题包括接口API、共享资源、数据泄露、恶意的内部人员和错误配置的问题。所有这些都和CSA的报告“臭名昭著的九条：2013年云计算主要威胁”所描述的问题一致。Symantec在研究中发现了这些数据安全风险的具体事例，不过，在组织实施和评估云服务的今天，应该提供一些“发人深思的东西”。

提防不安全的API

Symantec报告的一个核心主题是，许多最严重的IaaS风险很大程度是由于云管理员对操作系统，应用程序和云管理界面的错误配置或缺乏安全控制。列出的第一个主要风险是缺乏安全的API，这些API是由云提供商提供以允许用户与他们的服务以及服务管理更无缝的集成。尽管提供商负责提供安全的API和补丁，客户应该自己对这些API进行评估，包括支持的传输方法以及什么样的数据在与供应商的交互过程中被来回发送。API或应用程序的更新很容易导致兼容性问题，甚至也可能引发数据泄露的场景，因此客户应该定期测试他们的程序和API交互的部分。

云提供商的责任

当然云用户本身无法完全减轻内部人员威胁，云提供商必须监控所有的活动和实现可靠的职责和权限管理流程控制的分离。该报告明确提到将加密密钥存储到云里，那里恶意的内部人员有可能访问到这些密钥。虚拟化管理程序的漏洞也存在同样的问题--用户无法查看虚拟机管理程序的配置或控制，因此供应商将需要对虚拟化平台和工具相关的补丁和新缺陷更加细心。大多数云供应商也有对分布式DDoS攻击的强力控制，以及对数据丢失的控制。但是，用户没有对云帐户口令的访问控制权或无法监控IaaS日志来查看非法活动或者帐户使用的情况。攻击者正在黑市上以每个7到8美元的价格贩售云服务帐户。

防御IaaS攻击

Symantec的报告中描述了各种不同的针对IaaS环境的攻击，包括存储枚举，泄露的访问令牌等。建议云客户要在选定IaaS前彻底调研云服务提供商的安全控制和服务水平协议。客户应尽可能利用多因素身份验证，对数据进行加密以减少内部威胁，维护密钥的控制权，并开始比以往任何时候都更关注在云环境中的可用日志。定期扫描基于云的系统漏洞也是一个最佳做法。

本文作者：谈翔

来源：51CTO