美国家安全局发布云安全缓解策略十大要点(上)

科技   科技   2024-04-10 17:48   北京  

前言

随着组织将数据转移到云端以便于处理、存储和共享,云上数据的安全性日益重要,云安全的状况引起了美国NSA的密切关注。2024年3月7日,美国NSA发布了一系列关于云安全的战略,指导组织为其云环境保持良好的网络安全实践。这些安全实践来自于对近期网络攻击事件的观察,美国家安全局将这份“十大”策略指南称之为“改善云环境安全状况的最重要实践。网络安全和基础设施安全局(CISA)与NSA一起成为十项战略中的六项战略的合作伙伴。我们可以深入了解一下这些缓解策略,为我国安全从业人员及用户组织建设云上安全提供借鉴意义。另外,为了提高云用户的网络安全性,文中多次提到,零信任原则将是最佳实践,这也要引起我们的高度关注。本文我们将会介绍缓解策略中的前五项。


缓解策略1:坚持云共享责任模式

云环境下的威胁与传统的本地环境不同,对于云端的日益依赖带来了新的复杂性和安全性挑战,因此,攻击者越来越多地将目标瞄准这些环境。


客户组织经常错误的认为,云端服务提供者(CSP)是管理保护云端中资源的主体,但其实这并不属于CSP的责任。CSP提供高度自动化、API驱动的平台,这些平台依照客户的需求进行配置,而无需CSP方面的任何人工监督。错误配置和缺乏安全控制是云端环境中的重大风险。客户和CSP都有责任保护云端环境。


客户对其云端环境安全的责任将根据他们选择的云端服务不同而不同。下图说明了Iaas、PaaS和SaaS服务模式下的CSP和客户之间的责任划分。

图:客户与CSP责任划分


缓解策略2:使用安全的云身份和访问管理实践(与CISA联合)

这个策略由美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)共同撰写,旨在解释云身份管理面临的常见威胁,并推荐组织在云操作时应采用的最佳实践来减轻这些威胁。文档强调了随着远程工作和离线场所存储及服务的增加,对云技术的依赖迅速扩大,云环境因此成为攻击者的目标。从六个方面指导组织如何保护其云环境中的身份和访问管理,以抵御恶意网络行为者的威胁。


 1. 多因素认证(MFA)的重要性: 

文章强调了使用多因素认证来增强账户安全性的必要性。MFA要求用户提供两个或更多的认证因素,如知识因素(密码)、拥有因素(手机或安全令牌)和生物识别因素(指纹或面部识别)。特别推荐使用防钓鱼的MFA方法,如基于公钥的Fast Identity Online (FIDO)/WebAuthn认证,以提高安全性。


2. PKI证书的安全管理: 

云环境中广泛使用客户端证书和TLS证书来验证用户身份和保护数据传输。文章指出,组织应使用安全的方法来管理这些证书,包括安全存储密钥、定期轮换密钥、实施密钥撤销,并使用硬件安全模块(HSM)来增强保护。


3. 身份联合的保护:

身份联合允许组织在不同的系统和环境中统一管理身份,但这也可能成为攻击者的目标。文章建议使用端点检测和响应系统来监控身份联合服务器,保护证书和密钥,并实施网络分段来隔离这些服务器。


4. 基于上下文的访问控制: 

文章推荐实施基于上下文的访问控制策略,例如,根据用户的地理位置、设备类型或其他条件来限制对敏感资源的访问。这有助于限制即使在用户凭据被泄露的情况下,攻击者也能对系统造成的潜在损害。


5. 最小权限原则和职责分离: 

遵循最小权限原则,确保用户和应用程序仅拥有完成其任务所需的最小权限。职责分离是确保没有单个用户能够独立滥用系统的原则。这要求组织分离管理员角色,以控制资源的访问和管理。


6. 云实例元数据服务(IMDS)的保护: 

IMDS是一个提供关于云租户的一般信息的服务,但也可能被滥用来检索敏感信息。建议限制对IMDS的访问,使用最新版本的IMDS,并遵循供应商提供的最佳实践来保护此服务。


通过实施这些最佳实践,组织可以显著提高其云环境的安全性,保护关键数据不受威胁,并确保符合相关的安全标准和法规要求。这些措施有助于构建一个更加安全、可信赖的云环境,从而支持组织的业务连续性和灵活性。


缓解策略3:使用安全的云密钥管理机制(与CISA联合)

云密钥管理对于保护云环境中的数据至关重要。组织需要了解和实施最佳实践,以确保其敏感数据的安全性,并确保云操作符合安全标准。这包括正确选择密钥管理选项、理解与CSP共享的安全责任、使用HSM来保护最敏感的数据,以及实施职责分离和最小权限原则来管理对密钥的访问。


1. 密钥管理的重要性:

密钥管理是确保云环境中数据安全的关键环节,它涉及到加密操作的创建、存储、轮换和删除;云服务提供商(CSP)提供的密钥管理服务(KMS)可以帮助客户管理对称和非对称密钥,以及API密钥和其他服务密钥。


2. 云密钥管理选项:

客户可以选择CSP完全管理的密钥,也可以选择自行在本地或通过外部KMS管理密钥;云KMS提供了一种中间选项,允许客户在享受CSP服务的同时,对密钥类型、大小、轮换计划等进行自定义。


3. 信任与控制:

使用公共云服务意味着扩展了信任边界,引入了额外的风险,如内部威胁和对安全操作控制的缺失;客户应评估CSP的技术信息,以确保其安全实践满足组织的需求,并建立信任关系。


4. 共享的安全责任:

在使用CSP的KMS时,客户需要了解与CSP之间的责任分界,并确保自己负责的密钥得到妥善保护;客户负责定义密钥管理的用户和管理员角色以及策略,应遵循职责分离和最小权限原则。


5. 硬件安全模块(HSM):

使用经过验证的基于HSM的密钥管理系统是管理高度敏感数据的最佳实践,因为HSM提供了物理和逻辑上的保护。


6. 保护敏感信息:

组织应定期审计云环境中的密钥使用情况,确保密钥使用符合预期目的;应避免在可能被泄露的元数据中使用敏感信息,并确保客户密钥在静态和传输状态下始终加密。


7. 密钥销毁:

客户应了解CSP的密钥销毁过程,因为销毁密钥后,任何使用该密钥加密的数据将无法解密。


8. 标准和认证:

组织应选择符合国家标准和技术研究所(NIST)和联邦风险和授权管理计划(FedRAMP)标准的CSP。应使用商业国家安全算法(CNSA)套件推荐的量子抗性算法,并有计划过渡到更安全的算法。


缓解策略4:在云环境中实现网络分段和加密(与CISA联合)

强调了在云环境中实施网络分段和加密的重要性,并提供了遵循零信任原则的最佳实践,以提高云用户的网络安全性。


1.  网络加密的重要性:

数据在传输过程中的加密对于保护敏感信息免受恶意网络行为者(MCA)的窥探至关重要。推荐使用NSA的商业国家安全算法(CNSA)套件或NIST推荐的算法来加密数据传输,以防止敏感信息(如用户凭据)被截获。


2. 安全的云连接:

云用户必须确保与云平台的连接使用安全协议进行加密。云服务提供商(CSP)通常要求客户端连接使用加密,但组织可能会为了支持旧版客户端而允许使用较弱的加密算法。建议云用户使用CNSA套件算法来确保连接的安全性,并推荐使用TLS 1.2或更高版本的协议。


3. 私有连接的优势:

许多CSP提供私有连接选项,允许组织通过私有网络连接直接连接到云提供商的基础设施,而不是通过互联网。这种方法大大减少了MCA截获网络流量或利用脆弱协议进行攻击的机会。


4. 流量镜像:

流量镜像(Traffic mirroring)是一个由许多云服务提供商(CSP)提供的功能,它允许用户复制并转发网络流量。这项服务主要用于安全和监控目的,使防御者能够收集传入的网络流量并执行深度数据包检查(DPI),以识别潜在的威胁和进行威胁狩猎。然而,流量镜像功能也可能被恶意行为者滥用。如果恶意行为者在云租户中获得了足够的权限,他们可以利用流量镜像服务来收集和外泄在负载均衡器处解密的数据。例如,攻击者可能会利用这种能力来窃取敏感信息,如用户凭据、财务数据或其他机密信息。为了防范这种风险,建议云用户应该密切监控云租户内流量镜像服务的使用情况,以识别可能的恶意数据外泄尝试。这包括确保只有受信任的安全团队能够访问流量镜像功能,并实施严格的访问控制和审计策略,以确保流量镜像服务的使用符合组织的安全政策。

图:使用流量镜像进行渗透的范例


5. 后端流量(Backend traffic):

后端流量指的是在云服务提供商(CSP)的网络内部发生的流量,例如,当用户上传数据到云存储桶时,加密和数据管理服务需要与数据存储服务进行通信以完成这一操作。理想情况下,这些在CSP网络内部发生的服务间通信应该是加密的,并且与其他租户的流量隔离。这是因为云用户通常无法直接看到或控制CSP环境中的这些过程。


组织在选择云平台时,应该审查CSP的文档,并询问提供商如何保护客户数据。这有助于确定CSP的实践是否符合组织的安全需求。


需要注意的是,云中的客户资源之间的流量不一定会停留在云内。在某些情况下,客户流量可能会通过互联网路由,从而使其暴露给可能位于网络中的恶意行为者(MCA),他们可能会检查或甚至操纵这些流量。为了降低这种风险,组织必须确保在客户资源之间传输的流量得到适当的保护。此外,一些CSP提供私有API端点,客户可以使用这些端点确保流量在云内保持私密,而不会路由到互联网上。如果外部服务需要与云中部署的应用程序交互,组织可以配置基于身份的访问策略,以限制对应用程序的访问权限,只允许使用策略执行点的可信方进行访问。


6. 网络分段与微分段:

后端流量指的是在云服务提供商(CSP)的网络内部发生的流量,例如,当用户上传数据到云存储桶时,加密和数据管理服务需要与数据存储服务进行通信以完成这一操作。理想情况下,这些在CSP网络内部发生的服务间通信应该是加密的,并且与其他租户的流量隔离。这是因为云用户通常无法直接看到或控制CSP环境中的这些过程。


组织在选择云平台时,应该审查CSP的文档,并询问提供商如何保护客户数据。这有助于确定CSP的实践是否符合组织的安全需求。


需要注意的是,云中的客户资源之间的流量不一定会停留在云内。在某些情况下,客户流量可能会通过互联网路由,从而使其暴露给可能位于网络中的恶意行为者(MCA),他们可能会检查或甚至操纵这些流量。为了降低这种风险,组织必须确保在客户资源之间传输的流量得到适当的保护。此外,一些CSP提供私有API端点,客户可以使用这些端点确保流量在云内保持私密,而不会路由到互联网上。如果外部服务需要与云中部署的应用程序交互,组织可以配置基于身份的访问策略,以限制对应用程序的访问权限,只允许使用策略执行点的可信方进行访问。


缓解策略5:保护云端数据(与CISA联合)

云服务提供商(CSP)通常提供的三种数据存储类型:文件存储、对象存储和块存储。这些存储类型不仅作为独立系统存在,也是构建云平台即服务(PaaS)和软件即服务(SaaS)产品的基础。


保护云端数据常见的缓解措施:


1. 数据加密:

对于敏感数据,在静态和传输状态下进行加密的非常必要性。推荐使用商业国家安全算法(CNSA)套件1.0或更高版本的加密机制。此外,建议使用密钥管理服务(KMS)或硬件安全模块(HSM)来安全管理密钥。


2. 数据访问策略:

组织应实施基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)策略,确保用户和系统账户仅获得执行任务所需的最小权限。文章还建议使用数据标签系统,通过细粒度的ABAC策略来保护数据。


3. 限制攻击面:

云管理员应定期审计所有云资源,以检查是否存在不当的公开曝光或配置错误。这种审计可以帮助识别和纠正那些可能被恶意行为者利用的安全漏洞。特别是对象存储,由于其易配置错误,特别容易受到攻击。通过应用适当的访问策略,可以防止对象存储的无意数据曝光。例如,主要的云服务提供商通常会提供访问策略,这些策略可以由云管理员部署,以默认阻止公开的对象存储,并仅在例外情况下允许公开。


4. 系统恢复与备份:

支持生产系统的云环境用户必须实施恢复和备份解决方案。备份应保存为不可变状态,以防止恶意活动和勒索软件的攻击。同时,重要的是要正确识别所有需要备份的云资源,并限制对备份的访问。


5. 理解CSP数据程序:

组织应了解CSP的数据存储和保留政策,特别是软删除功能,这可以在一定时间内恢复被删除的对象。此外,应理解资源停用和数据删除之间的区别,确保敏感数据被正确安全地删除。


综上所述,正确保护云端存储系统及资料安全的最佳实践包括:充分了解云端存储产品并选择对所春促的资料有意义的存储类型;对所有敏感资料进行加密,并且使用使用密钥管理服务(KMS)或硬件安全模块(HSM)来安全管理密钥;有一个向使用者和服务分配权限的流程账户,并始终坚持最小权限原则。正确了解并核查云端资料的攻击面;定期测试关键资料的复原,并查看云端提供者有关资料删除的保留策略,确保正确删除携带敏感资料的系统。


附录 参考链接

[1]https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3699169/nsa-releases-top-ten-cloud-security-mitigation-strategies/

[2]https://media.defense.gov/2024/Mar/07/2003407863/-1/-1/0/CSI-CloudTop10-Shared-Responsibility-Model.PDF

[3]https://media.defense.gov/2024/Mar/07/2003407866/-1/-1/0/CSI-CloudTop10-Identity-Access-Management.PDF

[4]https://media.defense.gov/2024/Mar/07/2003407858/-1/-1/0/CSI-CloudTop10-Key-Management.PDF

[5]https://media.defense.gov/2024/Mar/07/2003407861/-1/-1/0/CSI-CloudTop10-Network-Segmentation.PDF

[6]https://media.defense.gov/2024/Mar/07/2003407862/-1/-1/0/CSI-CloudTop10-Secure-Data.PDF

[7]https://media.defense.gov/2023/Jun/28/2003249466/-1/-1/0/CSI_DEFENDING_CI_CD_ENVIRONMENTS.PDF

[8]https://media.defense.gov/2024/Mar/07/2003407857/-1/-1/0/CSI-CloudTop10-Infrastructure-as-Code.PDF

[9]https://media.defense.gov/2024/Mar/07/2003407865/-1/-1/0/CSI-CloudTop10-Hybrid-Multi-Cloud.PDF

[10]https://media.defense.gov/2024/Mar/07/2003407859/-1/-1/0/CSI-CloudTop10-Managed-Service-Providers.PDF

[11]https://media.defense.gov/2024/Mar/07/2003407864/-1/-1/0/CSI_CloudTop10-Logs-for-Effective-Threat-Hunting.PDF


绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。



M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

M01N Team
研战一体,以攻促防,共筑网络安全未来!
 最新文章