博客

应用安全: 云雾缭绕的房间里的大象

Lori MacVittie 缩略图
洛里·麦克维蒂
2015 年 6 月 1 日发布

云中的大象

好了,孩子们。 现在是该我们进行“那次谈话”的时候了。 您知道这个,您一直与朋友悄悄谈论这个,但在此之前您不敢真正询问,因为当然其他人都知道它,而您不想承认自己并不真正了解它,这显得很不酷。  

但实际上他们没有这样做,或者至少即使他们这样做了,他们也没有谈论这件事。 现在我们确实应该讨论一下使用云时采取正确的预防措施。 您知道如何保护云中的应用程序免受感染和攻击。

是的,今天我们最终要讨论云中的应用安全性。

不加密。 没有身份和访问权限管理。 而不是网络安全。

 

application安全。

由于当今浩瀚的互联网上有大量关于“云安全”的文档、研究、建议和一般讨论,其中很少有*提到“应用安全”这个词。  我可以找到关于使用加密的研究和统计数据,关于谁应该(以及没有)保护云中的数据,以及谁在使用什么样的身份和访问权限管理来随时随地访问应用程序。 但是关于应用安全性的话题呢? 没什么。 没有什么。 零。 零。

这确实相当令人惊讶(和不安),因为根据最新的Verizon 数据泄露调查报告 (DBIR),网络应用程序是金融服务安全事故的第二大原因,仅次于听起来邪恶的犯罪软件。  对本世纪最严重的 25 起入侵事件进行分析后发现,其中近一半(44%)是通过 Web应用执行的,这也令人惊讶。 这也令人沮丧,因为安全态势的下降和应用向云端迁移之间似乎存在关联

事实是,加密并不是万能的。

让我再重复一遍,这次全部用大写,以强调这件事的严重性: 加密不是万能的。

网络安全或身份和访问权限管理也不是。

所有这些都是好的,但单独来看,它们只是更大保护计划的一部分。 保护方案应该(但通常不包括)应用安全性。

网络安全无法阻止HTTP DDoS 攻击。 身份和访问权限管理不会阻止诸如HeartbleedApache Killer 之类的 Web 平台漏洞的利用。

加密不会阻止 SQLi。 加密恶意代码只是为了将其隐藏起来,不让网络中旨在找到它们的无数服务发现它。

从其目的来看,该应用是一种面向公众的资源。 我们把它放在那里并期望——不,我们鼓励、我们引诱、我们恳求——消费者与之互动。 使用它。 安装它。 经常去参观。 这是一个应用的世界,这意味着应用对于业务的每个方面都至关重要,无论是面向客户、面向员工还是内部系统运行。 如今,我们所做的一切都依赖于应用,但当我们提到安全性时,我们似乎从未记得它。

我们确实应该开始更多关注应用安全,而不仅仅是数据安全、网络安全或加密通信。 当数据在应用中处理时,它最容易受到攻击。 这是因为此时它是纯文本,并且完全处于该应用的控制之下。 应用可以显示它、修改它,并将它传递给任何可以哄骗它的人(或者说,随着机器人、蜘蛛和恶意软件的兴起,任何东西的数量越来越多)。

这意味着我们需要更加重视保护应用免遭利用和攻击。 从平台(网络或应用服务器)到协议(TCP 和 HTTP)再到实际代码本身。 我们需要扫描、清理、发现并防御攻击用来利用整个应用堆栈的各种方法。

F-Secure Labs 的数据显示,Web应用攻击的频率从 2012 年的不到 20% 翻了一番,上升到了 2013 年的 40%。而 Neustar 在 2014 年发现,55% 的 DDoS 目标遭遇了烟雾弹攻击(以大规模 DDoS 为掩护,实施真正的应用层攻击),其中近 50% 的目标安装了恶意软件/病毒,26% 的目标丢失了客户数据。

application攻击是一种真实而重大的威胁,尤其是当它们迁移到云端时,可用的保护选项可能会更少。

云中提供的专注于安全的本机服务都是关于访问和加密的。 它们都不是“应用层”安全,也无法提供足够的覆盖范围来抵御旨在通过利用应用本身来禁用、破坏或窃取数据的攻击。 这意味着您需要另一种解决方案;另一种旨在保护应用及其在云中负责处理的数据的服务,就像在数据中心中一样。 这可能意味着支持云的WAF(Web应用防火墙)WAF 即服务,或者至少在云中部署的每个应用上全面应用OWASP推荐的最佳实践。

云安全可以看作是一种共同的责任,提供商和客户分别承担保护“云”安全的不同方面,但应用安全 110% 是将该应用放入云中的人的责任。 请看一下这篇采访(通过The Register ),采访对象是 AWS 全球安全项目负责人 Bill Murray(重点是我的):

“AWS 的安全是 AWS 和客户共同的责任,”Murray 在最近的一次采访中表示。 他负责 AWS 安全,涵盖亚马逊数据中心的物理安全,同时还处理执法部门的逮捕令和传票。

他告诉El Reg :“客户有责任保护他们在 AWS 上运行的客户操作系统以及他们正在运行的应用等所有内容。”我们负责主机操作系统和虚拟机以及数据中心地板的混凝土等所有内容。

“我们经常被问到这个问题: “什么事让你彻夜难眠?” 让我们在 AWS 安全方面忧心忡忡的原因是客户没有正确配置他们的应用来保证自身的安全,”Murray 说道。

这就是你,这意味着你需要仔细考虑部署什么服务和解决方案来保护该应用免受不可避免的攻击。

应用安全并不像昂贵的保镖。 这不是只有 VIP 应用程序才能获得的东西。 它更像是个人安全,是每个在公共场合展示的应用都应该具备的。 无论这些应用程序位于数据中心还是云端,情况都是如此。

* 我说“很少”,但老实说,我一个也找不到。 这可能是因为我的 Google 功能失败了,但更有可能是因为似乎没有人愿意谈论它。