企业需意识到公共云可能出现的安全问题

2022-07-08

云平台无处不在，并且应用越来越广泛。随着谷歌公司开始与微软和亚马逊展开竞争，公共云领域的竞争目前尤其激烈。

数字化转型是这场爆炸式增长的主要催化剂。通常，当一些工作负载转移到公共提供者(通常是不太重要的开发和测试环境)时，云采用就开始了。过了一段时间，非关键应用程序可能会迁移，然后是存储(文件和数据库)，然后是更大的部署。

公共云之所以具有吸引力，是因为承载应用程序组件的基础设施和协调过程的基础部分是完全管理的，而且大部分是隐藏的，例如网络功能、互联网访问、安全、存储、服务器和计算虚拟化。一切都可以通过简单的用户界面或API轻松配置。安全是通过使用与国际互联网隔离的专用网络来实施的。

有关在公共云中托管的专用网络的信息并不安全。这是因为即使没有访问互联网，私有网络仍然可以通过DNS与之通信。大多数情况下，无需特定配置即可从推送到公共云基础设施的工作负载获得完整的DNS访问权限。因此，默认情况下，大多数公共云提供商都可以使用DNS隧道、DNS文件系统和数据泄露。这不是一个安全缺陷，而是一个专门内置的功能，主要用于帮助需要访问云计算服务器无需服务的工作负载，以简化数字化转型。这这将使任何业务都能够应对各种可能的数据泄漏。

最可能出现的四种情况如下：

1. 将恶意代码插入后端以执行DNS解析以提取数据。通常，通过组织外部的标准方法(如SQL注入、堆溢出、已知漏洞和不安全的API)获取访问权限。

2. 恶意代码被插入到一个广泛使用的库中，因此它会影响所有用户(例如供应链攻击)，而不考虑其是什么语言(例如Java、Python和Node.js)。

3. 企业内有权访问主机的人员可以修改/安装/开发使用DNS执行恶意操作的应用程序(联系命令和控制、推送数据或获取恶意软件内容)。

4. 开发人员插入特定代码，该代码不需要更改基础设施，并使用DNS提取生产数据、事件或帐户信息。代码将通过持续集成和测试部分的质量门，并自动部署到生产中。

那么，组织可以做些什么——特别是当它在多个云服务上部署多层次应用程序时?

首先，应该为存储在公共云托管的私有网络上的任何业务信息部署专用DNS服务，即使它是临时的。专用DNS服务将允许组织筛选可访问的内容和不应访问的内容。它还允许组织定期审计云架构，这在任何公共云环境中都是都是必需的。这需要特定的识别云模式，这对大多数系统和网络架构师来说都是新的。大多数工作负载不需要完全访问全球互联网。但有时它是必要的——例如，当企业的DevOps团队需要更新基础设施、安装包或依赖项时，因为它简化了部署阶段。企业可以通过设计一个“不可变的基础设施”来实现这一点，该基础设施具有预构建的图像、专用网络和受控的入站和出站通信。他们还应该执行测试阶段，特别是因为云计算提供商的选项可能会在不集成的情况下发生变化。

其次，云计算提供商提出了部署内部资源和后端服务(如数据库、文件存储、特定计算、后台管理)的专用网络解决方案。这解决了数据保护(例如，GDPR法规)、数据加密或只是为了阻止应用程序的某些部分直接暴露于互联网等安全和监管问题。然而，更好的做法是在未连接到全球互联网的子网或网络上部署计算后端资源，而这只能由已知的资源实现。然后，可以强制执行筛选规则以限制访问并遵守安全策略。

最后，确保在云计算编排器中集成灵活的DDI(DNS-DHCP-IPAM)解决方案，以简化配置。启用该服务后，DDI将自动在配置中推送适当的记录。这不仅可以为组织节省大量时间，还可以实施有助于保护公共云部署的策略。