CybersecurityResearch发布《AWS云安全报告2019》,统计了AWS一年来云上安全现状以及用户对这个领域的需求和看法等。报告通过与400,000网络安全业内人士(包括技术人员、专家、管理者)探讨AWS云上用户如何应对云上安全威胁、采用何种工具和最佳实践。
同时本文还会结合国内外机构如中国信通院、CybersecurityResearch、IDC、PaloAltoNetworks等云安全相关报告的研究分析,借此,可以预测国内云计算市场所面临的同类问题和潜在需求。为企业,尤其是云服务商、云承建商提供参考和指引。
主要发现
人们对于云安全的认识有明显差异
通过对亚太地区的调查显示,近九成专业人员对公有云安全持怀疑态度,这与非安全专业人员看法存在较大差异。
对云上安全问题关注的重点发生变化
数据安全(68%)、隐私安全(61%)成为云上最受关注的问题,一些传统安全问题在云环境下依然存在,且备受关注,云上排名前三的安全问题:错误配置(62%)、未授权访问(55%)、不安全的API(52%)。
AWS最受欢迎服务不同于国内市场
最受欢迎、部署最多的服务是:数据加密(62%)、网络加密(51%)、IAM(71%)和可视化监控(65%)。而对于云防火墙、云WAF以及抗D的部署率远远低于国内。
企业上云最关心的是遗留系统及工具的集成问题
除了用户对云原生安全需求越加明晰外,遗留系统和工具在云环境缺少可适应的解决方案成为企业迁移上云最头痛的问题。此外,人员和流程管理在云环境中依然是主要问题之一。
建立用户信任与云服务商信心至关重要
43%的企业选择混合云部署,33%的企业选择非集成的多云解决方案,其他为单云(24%)。企业依旧重视云上合规,但这已经是一种基本需求,而不再是额外需求。在建立用户对云服务商的信任方面,其主要关注静态数据加密(52%)、API安全审计与报警(49%)和跨云安全策略实施(47%)的解决能力,如果可以帮助客户在这些方面解决企业痛点,这对提升云供应商信心的将会起到促进作用。
概述
随着两会闭幕,“新基建”、“5G”等热词开始刷屏各大媒体,而这些都离不开云计算,彼此间相辅相成。那么,作为业界“一哥”的AWS云则是我们在这个领域最应去关注的,包括技术、服务、运营、战略等各个方面。有关AWS的“前世今生”网上有很多详细介绍和业绩报告,本文不再重述。
国家对于新基建的提出了明确政策,2020年两会政府工作报告关于这方面包括:
推动制造业升级和新兴产业发展;
提高科技创新支撑能力;
深入推进大众创业万众创新;
重点支持既促消费惠民生又调结构增后劲的“两新一重”建设。
“两新一重”,即新型基础设施建设,新型城镇化建设,交通、水利等重大工程建设。报告中指出:“加强新型基础设施建设,发展新一代信息网络,拓展5G应用,建设充电桩,推广新能源汽车,激发新消费需求、助力产业升级。”
我们的目标也是以此为基础:
发展产业互联和产业数字化,推进产业互联网发展,重点研究推动新基建、企业数字化转型、智慧城市、科研创新、网络信息安全等方面的工作,以产业互联网为突破口和着力点,打造具有国际水准的产业互联网平台,推进国民经济各行业的互联网化和数字化进程;
科技向善,运用数字技术、创新应用模式助力中小微企业纾困;做强云平台,推动传统中小微企业进行全面化数字化升级。
这些新型基础设施,即5G架构网络、IoT网络、超大型数据中心、云计算平台以及边缘计算网络等等。未来我们可能面对的应用场景将包括:
5G VR/AR虚拟购物
5G直播
5G电竞
5G + AIoT
车联网
云控平台(边缘云、区域云与中心云三级架构)
全IPv6政务专网
而这些场景都需要强大的算力、算量以及AI算法的支撑,以此来确保未来5G生态下的高带宽、超低延时、强大边缘计算等特性。在满足底层技术支撑的同时,对于网络安全的需求同等重要,也将是安全团队将要面临的新挑战。
如何给AWS云找“茬”
根据上述介绍,云是支撑这些的基础设施,也是为什么我们要针对AWS云去做分析。
本文根据全球不同区域的客户的反馈,从云安全关注点、云安全挑战、云原生安全、最受欢迎的云服务、云上数据保护、云合规、云部署阻碍等16个方面进行了分析(结合国外机构安全调研和报告):
报告基于对网络安全专业人员的全面在线调查结果,旨在更深入地了解AWS云安全的最新趋势、主要挑战和解决方案。受访者范围从技术主管到经理和IT安全从业人员,代表了跨多个行业的不同规模的组织。
下边将列出每一方面的分析结果,这些结果是基于调研的反馈,具有较强的市场代表性,也可以理解为是全球云市场的需求导向和现状。希望大家可以带着问题去阅读,例如:
这个问题我们之前有考虑过么?
这是不是我们应该关注的点?
我们在这方面现在做得怎么样?
为什么我们没有想过这些问题?
接下来我们要做些什么?
从AWS看云安全市场现状
01 云安全关注点
公有云应用持续激增,但安全问题依然严重。近九成(91%)的网络安全专业人士对公有云安全极为担忧。
图1云安全事件关注度(来源:CybersecurityResearch)
云安全事件
在过去1年里,23%的企业经历了云安全事件,比前一年(2018)有显著的增长。观察到云安全事件的增长进一步促进了与采用云计算相关安全问题的增加。
图2 云安全事件关注度(来源:CybersecurityResearch)
云安全关注的重点
虽然AWS等云提供商提供多种安全措施,但客户最终要负责保护自己在云中的工作负载。在调查中,网络安全专业人士强调的前三大云安全挑战是:
数据防泄漏/丢失(68%)
数据隐私威胁(61%)
违反保密性(52%)
其他方面包括:
合规性(50%)|意外暴露(47%)|数据权限/控制(47%)|事件响应(39%)
Gartner公司副总裁兼云安全主管Jay Heiser表示:“公有云的使用量正在快速增长,因此不可避免地会导致大量敏感内容暴露在潜在风险当中。”
云计算正在逐渐改变我们数据、应用程序和工作负载的使用方式。这也带来了一系列新的安全威胁和挑战。随着大量数据进入云中——特别是公有云服务,加之百亿级IoT设备和终端都可以作为攻击的入口,这些资源都可能成为攻击者的目标。
当前云上面临的较严重的安全事件包括(排名由高到低):
排名 | 威胁 |
---|---|
数据泄露 | |
身份、凭据和访问管理不当 | |
不安全接口和应用程序接口(API) | |
系统漏洞 | |
账户劫持 | |
恶意内部人员 | |
高级持续威胁(APTs) | |
数据丢失 | |
尽职调查不彻底 | |
滥用和恶意使用云服务 | |
DoS | |
共享技术漏洞 |
表1云计算威胁(来源:CSA 《云计算十二大顶级威胁:行业洞察报告》 )
02 运维安全痛点
企业仍然认为公有云比传统的本地环境面临更高的安全漏洞风险(44%)。认为公有云对安全漏洞风险较小的受访者比例下降(由去年的23%下降到19%),进一步支持了使用公有云会增加成为网络攻击目标可能性的观点。
SaaS方面,人们对SaaS安全性的看法仍然相对不变。大多数人(58%)认为云应用程序与本地应用程序一样安全,甚至更安全。
随着越来越多的工作负载转移到云端,网络安全专业人士开始意识到保护这些工作负载的复杂性。企业面临的最大安全操作挑战是:
基础设施安全的可见性(44%)
跨云和内部环境设置一致的安全策略(42%)
策略的合规性(42%)
其他方面包括:
安全性无法跟上应用变化速度(39%)|缺乏与本地化安全技术的集成(37%)|无法快速识别错误配置(35%)|复杂的云到本地云安全规则匹配(33%)
图3 云运维痛点(来源:CybersecurityResearch)
在跟随时代进步迁移上云的过程中,企业往往存在一些误区,包括:
上云后相比本地环境更安全
云安全应由服务商负责
不过是迁移到云上,我们已准备好了
Palo Alto Networks就亚太区大型企业云安全现状进行了调研分析报告(Asia-PacificCloudSecurityStudy)发现,企业管理者对云安全的认知与一线专业技术人员的看法存在明显差异。
很多企业其实并未做好应对云上威胁的准备,而且其中大部分人认为公有云是安全的,上云后就不用再关心安全问题。特别是在我国,高级管理者对云提供商的安全服务更为信任:78%的决策者认为云供应商提供的安全足以保护其免受云上威胁,这高于亚太地区70%的平均水平。同时,82%的中国企业认为SaaS环境高度安全,其中认为IaaS环境和PaaS安全的企业占比分别为67%和61%,这一数值也高于亚太地区的平均数。
企业需要认识到云安全是一种共同的责任,正如国内各大云服务商声明的一样——责任共担原则。云服务商负责其基础设施的安全,而确保存储在基础设施之上的数据与应用安全,则是企业自身的责任,这也在《网络安全法》中有明确指出,国内企业应该对此加深认识。
03 云安全挑战
在调查中,AWS云平台的配置错误排在第一位,是云安全的最大单一漏洞(62%)。其次是通过误用员工凭证和不适当的访问控制(55%)和不安全的接口/API(52%)进行未经授权的访问。
图4 云安全挑战(来源:CybersecurityResearch)
这与前面CSA给出的云上十二大威胁基本相匹配。除此之外,云上黑灰产开始显现踪迹。当黑灰产利用云资源发起各种恶意行为时,往往导致云厂商为其“背锅”。因此,加强情报和分析能力,及时识别云上的恶意用户和恶意主机,将是云安全领域一项长期的较量。
2019年腾讯联合Freebuf发表《云趋势安全报告》,统计了十大最具影响漏洞:
排名 | 漏洞 | 描述 |
---|---|---|
Linux TCP “SACK PANIC”远程拒绝服务漏洞(CVE-2019-11477,CVE-2019-11478,CVE-2019-11479) | 近10年的Linux内核均在受影响范围,涉及Redhat、CentOS、Debian、Ubuntu、FreeBSD等发行系统,涉及全球数百万主机。 | |
Windows RDP 服务远程代码执行漏洞预警(CVE-2019-0708) | 企业操作系统方面虽然只影响Server 2003和Server 2008/2008 R2操作系统,但漏洞可被远程直接控制,且漏洞一旦被利用,具备类似Wannacry的感染力,故排名第二。 | |
Intel 处理器微体系架构数据采样(MDS)漏洞风险预警 | 虽然属于信息泄露漏洞,危害较低,但由于是硬件类漏洞,总会引起行业高度关注,因为本身利用难度较高也开始逐步被大众遗忘。 | |
Intel SPOILER信息泄露漏洞 | 借Spectre(“幽灵”)漏洞之势,再次进入大众视野,同上面的MDS漏洞,几乎所有现代英特尔处理器都存在该漏洞,但由于利用难度、修复复杂度等原因,最终也没有掀起大的波澜。 | |
容器运行环境runC逃逸漏洞(CVE-2019-5736) | runc是一款广泛用于生成及运行容器的CLI工具,Kubernetes、Docker、containerd或者其他基于runC的容器技术在运行时层均存在漏洞,该漏洞允许恶意攻击者对主机系统进行root访问,被称为多年以来容器领域曝出的最为严重的问题。 | |
Oracle WebLogic组件远程代码执行漏洞预警(CVE-2019-2725,CVE-2019-2729) | 频繁而危险,可以说这五个字形容再贴切不过,属于比较危险(可导致远程代码执行)的漏洞,同时也是频繁出现的漏洞,历史上Weblogic的RCE不在少数,每次也是缝缝补补的。 | |
Docker cp命令容器权限逃逸安全漏洞(CVE-2018-15664、CVE-2019-11246、CVE-2019-1002101) | 容器安全在2019年上半年开始被各行各业重点关注,尤其是这次的权限逃逸,让大家对容器安全开始更加重视,此次的漏洞影响虽然集中在本地,但容器的使用不当(如运行不信任的容易,在节点执行 docker cp),却也会放大该漏洞的危害。 | |
ThinkPHP 多个版本远程代码执行漏洞(5.0、5.1、5.2等多个版本) | 由于ThinPHP在国内的广泛使用,导致ThinkPHP的每次漏洞爆发,都会引起较大关注,2019年伊始爆发的2次多个版本的RCE漏洞影响让很多人记忆犹新。 | |
知名邮件代理程序 Exim 远程代码执行漏洞(CVE-2019-10149) | 该漏洞各大外媒报道受影响量达数百万主机,而国内讨论声寥寥,可说是“雷声大,雨点小的漏洞。 | |
Ubuntu Snap本地提权漏洞(CVE-2019-7304) | 本地提权可能影响有限,但由于默认安装到了Ubuntu18.04,且漏洞PoC很快公布,在一小段时间里却也引起了大家较大关注。 |
表2 2019年最具影响云安全漏洞Top10(来源:腾讯+Freebuf)
04 云原生安全
在云平台的原生安全控制评估中,AWS排在第一位(83%)。
图5 云原生安全厂商排名(来源:CybersecurityResearch)
在国内市场,从综合实力、获客能力、产品能力、技术能力、生态与服务能力等五个维度对云计算厂商进行综合评价,排名结果如下(Top10):
图6 国内云厂商排名Top10(来源:爱分析《中国云计算厂商30强》)
05 安全效能
AWS用户对AWS身份和访问控制的有效性评分最高(44%),其次是基础设施安全性(33%)和资产与配置管理(28%)。
图7 云上产品/服务安全效能(来源:CybersecurityResearch)
06 最受欢迎服务
AWS IAM(71%,管理用户访问和密钥)和Amazon CloudWatch(65%,监控和跟踪AWS应用以及系统利用率的可视化)是AWS云部署中使用最广泛的安全服务,紧随其后的是:
AWS CloudTrail(45%,跟踪用户活动和API使用情况)
AWS目录托管服务(42%)和AWS Trusted Advisor(35%,性能与安全优化)
其他安全服务包括:
AWS Trusted Advisor登录(35%)|AWS认证管理(Provision, Manage, and Deploy SSL/TLS Certificates,32%)|AWS配置(Create Automated Rules to Check the Configuration of AWS Resources,29%)|AWS密钥管理(Managed Creation and Control of Encryption Keys,26%)|AWS盾(DDoS Protection,26%)|Amazon云目录(Create Flexible Cloud-native Directories,26%)|Amazon GuardDuty (智能威胁检测和持续监控,22%)
07 部署最多的安全服务
最常用的云安全控制是:
数据加密(62%)
网络加密(51%)
SIEM绑定(51%)
云访问控制(50%)
图8 云上部署最多的安全服务(来源:CybersecurityResearch)
其他部署包括:
日志管理分析(46%)|配置管理(46%)|DLP (45%)|特权访问(44%)|SSO/用户认证(43%)|Firewalls/NAC(NetworkAccessControl,42%)|终端安全控制(41%)|补丁管理(41%)|反病毒/反恶意软件(39%)|网络监控(37%)|应用防护(35%)
国内对于这部分的统计数据较少,结合国家统计数据,可以看到一些目前比较热门的云上安全领域。(统计来源:中国信通院《中国网络安全产业白皮书(2019)》)
公有云方面,风险监测防御、应对多云环境、敏感数据保护等是云安全热点领域,其他比较受客户关注的有:云工作负载保护平台(CWPP)、沙箱和蜜罐(主要是HW行动)、云访问安全代理(CASB)、持续集成与持续交付(CI/CD)、数据防泄漏(DLP)。
私有云方面,聚焦防火墙、WAF、IDS、IPS、堡垒机、数据库审计等安全产品,企业如今所关注的不是单个产品或能力,而是更期望看到整体云安全解决方案。
08 云上数据保护
随着云的使用逐年增加,更多的数据存储在云环境中。网络安全专业人员连续第二年表示,访问控制(72%)是保护云数据的主要方法,其次是加密或令牌化(64%)。
今年,云服务商提供的安全服务使用率(58%)从第4位跃升至第3位,这表明企业希望他们的服务提供商帮助提供额外的数据保护并降低风险,这是他们服务组合的一部分。
云上数据保护使用的常见方法:
图9 云上数据保护服务(来源:CybersecurityResearch)
其他保护方式包括:
访问云上被保护网络(50%)|部署云安全监控工具(43%)|采用第三方供应商的额外安全服务(37%)
根据IDC的调查统计,云安全问题正在急剧恶化,在过去的18个月中,近80%的公司至少经历了一次云数据泄露,而43%的公司报告了10次以上的泄露事件。全球企业面临的云上数据安全问题不尽相同,即安全相关的配置错误(67%),对访问设置和活动缺乏足够的可见性(64%)以及身份和访问管理(IAM)许可错误(61%)是他们最关注的云生产环境安全问题。有80%的企业报告他们无法识别IaaS/PaaS环境中对敏感数据的过度访问。根据2020年Verizon数据泄露报告,在数据泄露的根源方面,只有黑客攻击排名高于配置错误。尽管接受调查的大多数公司已经在使用IAM、数据防泄漏、数据分类和特权账户管理产品,但仍有超过一半的公司声称这些产品不足以保护云环境。
如今访问授权最容易被忽视,国内大多数中小微企业上云后处于一种云上“裸奔”的状态,不采用或很少采用安全产品或服务。这些云上系统都是攻击者的主要目标,因为它们容易被可用于恶意活动,例如窃取敏感数据、传播恶意软件或蓄意破坏等行为。
翻译、分析、解读:腾讯天幕团队
报告原文
https://www.cybersecurity-insiders.com/portfolio/2019-aws-cloud-security-report/
来源:freebuf.com 2020-06-28 14:30:18 by: 宇宸de研究室
请登录后发表评论
注册