隨著企業對第三方供應商的依賴加深,供應鏈攻擊成為日益嚴峻的威脅。攻擊者不再僅針對企業本身,而是轉向攻擊供應商產品,進而影響眾多客戶。SolarWinds 和 WhatsApp 的案例凸顯了供應鏈攻擊的巨大風險。為此,供應商需強化產品安全性,驗證伺服器、憑證和 API 日誌等,並提升產品的防篡改能力。然而,沒有任何措施能保證絕對安全,因此持續測試和修復漏洞至關重要。企業和供應商都應重視安全設計,並及時修復已知問題。
雲端攻擊向量的新挑戰與防禦策略
供應鏈攻擊:新的威脅模式
現代企業越來越依賴第三方供應商的產品和服務,這使得供應鏈攻擊成為了一種日益增長的威脅。攻擊者不再僅僅針對企業的門戶和視窗,而是開始針對企業所使用的產品本身。SolarWinds Orion 事件就是一個典型的例子,攻擊者透過攻擊供應商的產品來感染眾多客戶。
另一個例子是 WhatsApp 的一個簡單蠕蟲病毒。該應用程式本身被發現存在漏洞,惡意軟體被設計為利用 WhatsApp 作為傳播蠕蟲的工具。Facebook(WhatsApp 的所有者)並未被攻擊者直接攻擊,但他們生產的產品卻成為了雲端中感染其他資產的載體。這類別攻擊的收入影響可能是巨大的,例如 SolarWinds 的股票在 2021 年 1 月損失了近 40% 的價值。
即使是蘋果這樣注重資料隱私和安全測試的公司,也仍然可能成為受害者。例如,iOS 14.4 修補了多個零日漏洞,這些漏洞曾被廣泛利用。沒有人是免疫的,我們需要意識到,攻擊者現在不僅僅是針對企業的門戶和視窗,還針對我們所製造的產品。
供應鏈安全的挑戰
供應鏈攻擊可以感染的不僅僅是單一終端使用者,還包括所有消費初始受害者解決方案的客戶和使用者。數千家科技供應商正在加強安全性,以確保這類別攻擊不會在其產品中發生。他們正在驗證建置伺服器、憑證、API 日誌以及許多其他可能成為入侵指標的來源。他們正在進行監控,並努力確保其產品具有防篡改能力。
然而,就像針對企業一樣,沒有任何補救措施、緩解措施或產品測試是 100% 有效的。作為科技供應商,每個人都需要比以往任何時候都更徹底地測試其產品,並在攻擊者發現之前找出盡可能多的設計缺陷和漏洞。企業和供應商需要及時修復這些問題,並確保即使是基本的設計也是安全的。
緩解策略:強化雲端安全
特權存取工作站(PAW)
保護雲端最常見的方法之一是確保所有對雲端運算環境的管理存取都得到保護。具有特權憑證的個人所使用的典型工作站是攻擊者的誘人目標,因為這些憑證可以被竊取並用於攻擊和後續的橫向移動。由於這些是真實憑證,因此很難檢測到這種攻擊。
最佳實踐是提供專用資產(實體或虛擬機器)專門用於對雲端的特權存取,這種資產被稱為特權存取工作站(PAW)。在典型環境中,身份(使用者)會獲得專用的 PAW 用於雲端管理,以及唯一的憑證和/或秘密以執行與資產和使用者相關的工作。如果使用這些秘密從非 PAW 資源或其他 PAW 進行存取,則可能是入侵的指標。
在實施 PAW 時,以下是最佳實踐:
- 使用專用資產(實體或虛擬),這些資產經過強化並對所有活動進行監控。
- 以最小許可權原則運作,並實施應用程式允許和阻止列表(以前稱為應用程式白名單和黑名單)。
- 安裝在支援 TPM(可信賴平台模組)的現代硬體上,最好是 2.0 或更高版本,以支援最新的生物識別技術和加密技術。
- 對漏洞進行管理,並自動化及時的補丁管理。
程式碼安全管理
import logging
def secure_code_review(code):
# 記錄程式碼審查過程
logging.info("Starting secure code review")
# 檢查程式碼中的潛在漏洞
vulnerabilities = check_vulnerabilities(code)
if vulnerabilities:
logging.warning("Vulnerabilities found: {}".format(vulnerabilities))
# 處理發現的漏洞
handle_vulnerabilities(vulnerabilities)
else:
logging.info("No vulnerabilities found")
def check_vulnerabilities(code):
# 這裡實作檢查漏洞的邏輯
pass
def handle_vulnerabilities(vulnerabilities):
# 這裡實作處理漏洞的邏輯
pass
內容解密:
secure_code_review函式:這個函式負責啟動安全程式碼審查過程。它首先記錄審查過程的開始,然後呼叫check_vulnerabilities函式來檢查程式碼中的潛在漏洞。check_vulnerabilities函式:這個函式用於檢查程式碼中的漏洞。它應該實作具體的邏輯來掃描程式碼中的安全問題,例如 SQL 注入、跨站指令碼(XSS)等。handle_vulnerabilities函式:如果發現漏洞,這個函式會被呼叫來處理它們。它應該實作修復或緩解漏洞的邏輯。- 日誌記錄:整個過程中,使用
logging模組來記錄重要事件,例如審查的開始、發現的漏洞以及處理結果。這有助於追蹤和稽核安全審查過程。
加強雲端環境的安全性:多因素認證與存取控制
在雲端運算環境中,安全性是企業與組織最為關注的核心議題之一。為了保護敏感資源和資料,企業需要採取多層次的安全措施來防範潛在的威脅。本篇文章將探討多因素認證(MFA)、特權管理帳戶(PAW)以及存取控制清單(ACL)在雲端安全中的重要性,並提供實際的實施建議。
多因素認證與特權管理帳戶(PAW)
多因素認證是一種強化安全性的有效手段,透過要求使用者提供多種驗證資訊(如密碼、生物特徵、動態驗證碼等),來確認其身份的真實性。特權管理帳戶(PAW)則是專門用於執行高許可權操作的帳戶,通常用於管理雲端資源和敏感資料。
PAW的安全要求
- 強制多因素認證:確保所有對敏感資源的存取都需經過多因素認證。
- 專用或受信任的網路:PAW應在專用或受信任的網路上執行,避免與可能存在安全風險的裝置共用同一網路。
- 有線連線:僅使用有線網路連線,禁止使用無線通訊,以降低被攻擊的風險。
- 實體防竊措施:使用實體防竊線纜來防止裝置被盜,尤其是對於筆記型電腦等易被竊取的裝置。
PAW的使用限制
- 禁止瀏覽網際網路:避免使用PAW瀏覽網際網路,以減少惡意軟體感染的風險。
- 禁止使用電子郵件和即時通訊應用:避免在PAW上使用電子郵件和即時通訊應用,以防止潛在的安全威脅。
- 避免使用不安全的網路連線:禁止在PAW上使用Wi-Fi或行動資料等不安全的網路連線。
- 限制USB裝置的使用:禁止在PAW上使用未經授權的USB儲存裝置或周邊裝置。
為了提高效率並減少硬體成本,許多企業採用虛擬化技術,將PAW與日常使用的作業系統平行執行在一台裝置上。這種方法可以有效隔離高許可權操作與日常工作,降低安全風險。
存取控制清單(ACL)
存取控制清單(ACL)是一種重要的安全機制,用於定義誰或什麼可以存取特定的資源(如儲存桶、網路、儲存裝置等),以及相關的許可權模型。ACL由一或多個條目組成,每個條目明確允許或拒絕特定帳戶、角色或服務的存取許可權。
ACL的基本組成
- 許可權:定義了可以執行的操作(如讀取、寫入、建立、刪除等)。
- 範圍:定義了誰或什麼可以執行指定的操作(如特定的帳戶或角色)。
ACL的應用範例
假設有一個儲存桶需要限制存取許可權,可以透過設定ACL來實作。例如:
- 給予特定帳戶「讀取」許可權,以便他們可以檢視資料。
- 給予維護人員「寫入」和「刪除」許可權,以便他們可以管理和更新資料。
透過這種方式,ACL可以根據「需要知道」的原則來限制對資料的存取,從而提高資料的安全性。
網路架構中的ACL應用
在n階層的雲端網頁應用架構中,應在每一層之間以及每個可用性群組內設定ACL,以防止不當的網路和存取通訊。這包括:
- 防止網路流量跨層存取:確保網路流量必須透過適當的資產進行通訊。
- 限制來自網際網路的直接連線:僅允許負載平衡器直接與網際網路通訊。
- 封鎖不當的IP位址:透過地理位置服務,封鎖來自不當國家或已知惡意IP位址的存取。
- 防止層內的不當通訊:限制層內的不當通訊,以防止橫向移動或不當的應用程式間存取。
加強雲端資產的安全性
強化雲端資產的安全性是保護雲端環境的重要措施。這包括:
- 強化作業系統和應用程式:確保所有作業系統和應用程式都已更新至最新版本,並修補已知的安全漏洞。
- 限制不必要的服務和功能:關閉不必要的服務和功能,以減少攻擊面。
- 實施嚴格的存取控制:透過ACL和其他存取控制機制,限制對敏感資源的存取。
總之,透過實施多因素認證、使用特權管理帳戶、設定存取控制清單以及強化雲端資產的安全性,企業可以顯著提高其雲端環境的安全性,保護敏感資料和資源免受潛在威脅。
內容解密:
本段落詳細介紹了加強雲端環境安全性的重要措施,包括多因素認證、特權管理帳戶(PAW)以及存取控制清單(ACL)的應用。透過這些措施,企業可以有效防範潛在的安全威脅,保護敏感資料和資源。特別是在雲端運算環境中,這些安全措施對於確保資料的安全性和完整性至關重要。
@startuml
skinparam backgroundColor #FEFEFE
skinparam componentStyle rectangle
title 雲端攻擊向量與防禦策略
package "安全架構" {
package "網路安全" {
component [防火牆] as firewall
component [WAF] as waf
component [DDoS 防護] as ddos
}
package "身份認證" {
component [OAuth 2.0] as oauth
component [JWT Token] as jwt
component [MFA] as mfa
}
package "資料安全" {
component [加密傳輸 TLS] as tls
component [資料加密] as encrypt
component [金鑰管理] as kms
}
package "監控審計" {
component [日誌收集] as log
component [威脅偵測] as threat
component [合規審計] as audit
}
}
firewall --> waf : 過濾流量
waf --> oauth : 驗證身份
oauth --> jwt : 簽發憑證
jwt --> tls : 加密傳輸
tls --> encrypt : 資料保護
log --> threat : 異常分析
threat --> audit : 報告生成
@enduml
此圖示展示了加強雲端環境安全性的逐步措施,從啟用多因素認證到強化雲端資產的安全性,每一步都是為了提高整體的安全性。
加強雲端安全的關鍵步驟
- 啟用多因素認證:確保所有使用者在存取敏感資源時都需要進行多因素認證。
- 使用特權管理帳戶:專門為高許可權操作設立獨立的帳戶,並嚴格限制其使用範圍。
- 設定存取控制清單:根據「需要知道」的原則,限制對敏感資料和資源的存取。
- 強化雲端資產的安全性:定期更新和修補安全漏洞,關閉不必要的服務和功能。
透過這些關鍵步驟,企業可以顯著提高其雲端環境的安全性,有效防範潛在的安全威脅。
內容解密:
本段落總結了加強雲端安全的關鍵步驟,包括啟用多因素認證、使用特權管理帳戶、設定存取控制清單以及強化雲端資產的安全性。這些措施對於保護企業的雲端環境和敏感資料具有重要意義。
加強雲端資產安全防護:技術深度解析與實務應用
雲端運算環境下的資安防護,需要採取不同於傳統本地佈署的強化措施。資產強化(Asset Hardening)是減少安全漏洞、提升整體安全態勢的關鍵步驟。強化雲端資產需要採用系統化的方法,透過稽核、識別、修補和控制潛在的安全弱點,以降低安全風險。
雲端強化標準與指引
在進行雲端資產強化時,可以參考多個國際公認的標準和指引,例如:
- CIS(Center for Internet Security)基準測試:針對主要雲端服務提供商(如AWS、Azure、GCP)提供的安全組態基準。
- AWS CIS Benchmarks:針對Amazon Web Services的安全基礎設施和三層Web架構提供強化。
- Azure CIS Benchmarks:針對Microsoft Azure的安全基礎設施和Microsoft 365提供強化。
- GCP CIS Benchmarks:針對Google Cloud Platform的安全基礎設施和Google Workspace提供強化。
- NIST 800-144 和 NIST 800-53 Rev 5:美國國家標準與技術研究所(NIST)發布的雲端安全與隱私,以及資訊系統和組織的安全與隱私控制標準。
- ISO 27017 和 ISO 27018:國際標準化組織(ISO)針對雲端服務的安全控制和個人識別資訊(PII)保護的實踐守則。
- FedRAMP:美國聯邦風險與授權管理計劃,為政府實體使用的雲端服務提供標準化的安全授權方法。
這些標準和指引提供了雲端資產強化的最佳實踐,幫助組織降低安全風險並滿足合規要求。
實務應用與技術深度解析
在實務應用中,雲端資產強化需要根據具體的技術堆疊和雲端服務提供商的特性進行調整。例如:
- 虛擬機器強化:與本地佈署環境類別似,需要對虛擬機器的作業系統和應用程式進行強化。
- 容器強化:需要特別關注容器的安全組態和執行時防護。
- 無伺服器環境強化:需要關注函式計算的安全組態和事件驅動架構的安全性。
- 虛擬基礎設施強化:需要對虛擬網路、儲存和計算資源進行強化。
在技術深度解析方面,需要關注以下幾個方面:
程式碼範例與解析
import boto3
# 建立AWS客戶端
ec2 = boto3.client('ec2')
# 取得所有執行中的EC2例項
response = ec2.describe_instances(
Filters=[
{
'Name': 'instance-state-name',
'Values': ['running']
}
]
)
# 列印例項ID和所屬安全組
for reservation in response['Reservations']:
for instance in reservation['Instances']:
instance_id = instance['InstanceId']
security_groups = [group['GroupId'] for group in instance['SecurityGroups']]
print(f'Instance ID: {instance_id}, Security Groups: {security_groups}')
內容解密:
- 匯入boto3函式庫:使用Python的boto3函式庫來與AWS服務進行互動。
- 建立EC2客戶端:透過
boto3.client('ec2')建立EC2客戶端,用於操作EC2例項。 - 描述EC2例項:使用
describe_instances方法取得所有執行中的EC2例項,篩選條件為instance-state-name為running。 - 解析回應結果:遍歷回應結果中的
Reservations和Instances,提取每個例項的ID和所屬安全組ID列表。 - 列印結果:輸出每個執行中的EC2例項ID及其對應的安全組ID。
這段程式碼展示瞭如何使用Python指令碼來稽核AWS環境中的EC2例項及其安全組組態,是雲端資產稽核的一個具體實踐。
風險評估與修正優先順序
在進行雲端資產強化時,需要根據風險評估結果來確定修正的優先順序。可以利用詞雲圖(如Figure 7-2所示)來視覺化風險專案的重要性和關聯性,從而更好地與團隊成員溝通和協作。
加固雲端資產與漏洞管理
在雲端運算環境中,加固資產是確保系統安全性的重要步驟。資產加固涉及移除不必要的元件、功能和服務,以減少攻擊面並降低安全風險。本文將探討資產加固的策略和漏洞管理的方法。
資產加固策略
資產加固需要採取多方面的方法,包括:
網路層面的加固
- 確保雲端安全控制措施正確組態,並定期稽核所有規則。
- 保護遠端存取點和使用者。
- 封鎖未使用的網路埠(ACL)。
- 停用和移除不必要的協定和服務。
- 加密網路流量。
應用程式層面的加固
- 移除不必要的元件或功能。
- 根據使用者角色和上下文限制對應用程式的存取(例如應用程式控制)。
- 移除所有範例檔案和預設密碼。
- 使用特權存取管理解決方案來管理應用程式密碼,強制執行密碼最佳實踐(密碼輪換、長度等)。
資料函式庫層面的加固
- 建立管理限制,例如控制特權存取,以控制使用者在資料函式庫中的操作。
- 開啟節點檢查以驗證應用程式和使用者。
- 對傳輸中和靜止的資料函式庫資訊進行加密。
- 強制執行安全密碼。
- 實施根據角色的存取控制(RBAC)許可權。
- 移除未使用的帳戶。
虛擬機器(作業系統)層面的加固
- 套用作業系統更新。
- 移除不必要的驅動程式、檔案共用、函式庫、軟體、服務和功能。
- 加密本機儲存。
- 緊縮登入檔和其他系統許可權。
- 記錄所有活動、錯誤和警告。
- 實施特權使用者控制。
身份和帳戶管理
- 透過移除不必要的帳戶(例如孤立帳戶、預設帳戶和未使用的帳戶)和整個雲端環境中的許可權來強制執行最小許可權原則。
資產加固的效益
資產加固需要持續努力,但這種努力將在組織內以多種方式獲得回報:
- 目標功能:透過加固,減少了不必要的程式和功能,從而降低了操作問題、錯誤組態、不相容性、資源問題等的風險。
- 改善安全性:減少攻擊面可以降低資料洩露、未經授權的存取、系統受損甚至惡意軟體的風險。
- 合規性和可稽核性:減少執行的程式、服務和帳戶,加上較不複雜的環境,使得環境稽核通常更加透明和直接。
漏洞管理
漏洞管理是一項跨任何環境的安全最佳實踐,但在雲端中有一些關鍵的差異和影響需要了解。主要差異在於漏洞評估的方法。以下是雲端中最流行的五種漏洞評估技術:
網路掃描:針對根據網路位址或主機名稱的資產進行漏洞掃描。
- 已驗證:使用適當的特權憑據,網路掃描透過遠端存取驗證到資產中以執行漏洞評估。
- 未驗證:僅使用網路暴露的服務,網路掃描嘗試根據開放的埠、執行的服務、TCP 指紋、利用程式碼和明確輸出版本資訊的服務(例如版本 4.20)或透過字串格式來識別漏洞。
代理技術:通常是小型輕量級軟體,以系統或根許可權安裝,以評估整個資產中的漏洞,然後將結果報告給本地檔案或集中報告給漏洞管理系統。
備份或離線評估:使用範本、映像備份或其他離線資產儲存,在受控環境中解除資產的保護(啟用遠端存取並啟用或建立特權帳戶),然後使用已驗證的網路掃描技術進行漏洞評估。
API 端掃描技術:這種現代方法利用雲端服務提供者提供的 API 來管理資產,並利用它來列舉檔案系統、程式和服務中的漏洞。這種方法僅在雲端服務提供者的虛擬化管理程式通常具有透過 API 對資產進行完整存取以套用漏洞評估簽名以進行正面識別時才有效。