如今，很多組織遭遇網(wǎng)絡(luò)攻擊，這表明云計(jì)算安全是一個(gè)復(fù)雜的技術(shù)和合同問(wèn)題。

在最近發(fā)生的主要云安全事件中，Capital One公司的數(shù)據(jù)泄露事件影響了美國(guó)的1億人和加拿大的600萬(wàn)人。其實(shí)并不只有Capital One公司遭遇網(wǎng)絡(luò)攻擊，黑客Paige A. Thompson與此同時(shí)竊取了其他三十多家公司、教育機(jī)構(gòu)和其他實(shí)體的數(shù)TB的數(shù)據(jù)。  

正如這位被指控的網(wǎng)絡(luò)攻擊者在談到AWS配置時(shí)所說(shuō)，“很多組織在其安全方面都做錯(cuò)了。”  

那么，只有這一家公司在安全方面嚴(yán)重失誤?并不是，這個(gè)事件與眾不同。首先需要了解一些事情。調(diào)查表明，Capital One公司的業(yè)務(wù)在很大程度上依賴(lài)亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)的云計(jì)算服務(wù)。并且網(wǎng)絡(luò)攻擊是在Amazon簡(jiǎn)單存儲(chǔ)服務(wù)(S3存儲(chǔ)桶)中保存的數(shù)據(jù)上進(jìn)行的。但是，由于防火墻配置錯(cuò)誤，這次攻擊并不是在沒(méi)有任何安全措施的情況下對(duì)S3存儲(chǔ)桶進(jìn)行的攻擊。

簡(jiǎn)而言之，這些違規(guī)行為不是因?yàn)槠髽I(yè)犯下了愚蠢的安全錯(cuò)誤，而是因?yàn)樵诰S護(hù)自身安全方面做得很差。  

Capital One公司的ModSecurity Web應(yīng)用程序防火墻(WAF)配置錯(cuò)誤使得網(wǎng)絡(luò)攻擊者(前AWS員工)能夠欺騙防火墻，并將請(qǐng)求轉(zhuǎn)發(fā)給關(guān)鍵的AWS后端資源。攻擊者使用服務(wù)器端請(qǐng)求偽造(SSRF)攻擊來(lái)欺騙防火墻讓攻擊者進(jìn)入。

人們今后將會(huì)看到更多此類(lèi)攻擊。正如Cloudflare公司產(chǎn)品安全團(tuán)隊(duì)經(jīng)理Evan Johnson所說(shuō)的那樣，“這個(gè)問(wèn)題很常見(jiàn)，并且眾所周知，但很難預(yù)防，而且AWS平臺(tái)沒(méi)有任何應(yīng)對(duì)或緩解措施。”  

因此，顯然很多人可以將一些責(zé)任歸咎于AWS公司的公共云服務(wù)。但是，正如所謂的攻擊者自己對(duì)AWS的配置所說(shuō)的那樣，很多公司在這方面做錯(cuò)了。正如Gartner公司在調(diào)查報(bào)告中預(yù)測(cè)，“其實(shí)95%的云安全故障都是客戶(hù)的錯(cuò)。”  

然而有些人(例如參議員Ron Wyden)卻將此次數(shù)據(jù)泄露的大部分責(zé)任推給AWS公司，AWS公司確實(shí)需要為此進(jìn)行解釋?zhuān)嬲膯?wèn)題是如果企業(yè)的安全措施不佳，就會(huì)在遭遇攻擊時(shí)損失慘重。并且采用的云服務(wù)規(guī)模越大，損失越大。  

正如安全專(zhuān)家Brian Krebs指出的那樣，這一漏洞并不是由先前未知的‘零日’缺陷或內(nèi)部攻擊造成的，而是由使用眾所周知的錯(cuò)誤進(jìn)行攻擊造成的。  

但是，在這一系列安全災(zāi)難事件中，誰(shuí)真正犯了安全錯(cuò)誤呢?是云計(jì)算提供商還是使用云服務(wù)的公司?答案是他們都有責(zé)任。  

云安全的共享責(zé)任模型   客戶(hù)和云計(jì)算提供商各自負(fù)責(zé)云堆棧的不同部分。這個(gè)概念稱(chēng)為共享責(zé)任模型(SRM)。快速思考此模型的方法是云計(jì)算提供商負(fù)責(zé)云平臺(tái)的安全性，采用云平臺(tái)的用戶(hù)則需要負(fù)責(zé)在云中的業(yè)務(wù)安全性。

AWS和Microsoft Azure公司都明確支持此模型。但是，所有公共云都在某種程度上使用它，它是企業(yè)目前處理云安全的技術(shù)和合同方式的基礎(chǔ)。

在最基本的層面上，它意味著企業(yè)負(fù)責(zé)管理程序級(jí)別以上的所有內(nèi)容。其中包括客戶(hù)操作系統(tǒng)、應(yīng)用程序軟件、云計(jì)算實(shí)例的防火墻以及傳輸和空閑時(shí)的加密數(shù)據(jù)。云計(jì)算提供商負(fù)責(zé)主機(jī)操作系統(tǒng)、虛擬化層及其設(shè)施的物理安全性。   當(dāng)然在現(xiàn)實(shí)世界中，它從未如此簡(jiǎn)單，人們需要了解一些最新的安全事件。  

AWS公司表示，“安全與合規(guī)是AWS與用戶(hù)之間的共同責(zé)任。這種共享模式可以幫助減輕用戶(hù)的運(yùn)營(yíng)負(fù)擔(dān)，因?yàn)锳WS公司可以運(yùn)行、管理和控制從主機(jī)操作系統(tǒng)和虛擬化層到組件的物理安全性的組件，以及服務(wù)運(yùn)營(yíng)的設(shè)施。客戶(hù)承擔(dān)操作系統(tǒng)的責(zé)任和管理(包括更新和安全補(bǔ)丁)，其他相關(guān)的應(yīng)用軟件以及AWS提供的安全組防火墻的配置。”   對(duì)于Capital One公司來(lái)說(shuō)，他們沒(méi)有正確設(shè)置防火墻。但是，獲得AWS身份和訪問(wèn)管理(IAM)角色臨時(shí)憑據(jù)變得更容易。有了這些臨時(shí)憑證，進(jìn)行服務(wù)端請(qǐng)求偽造(SSRF)攻擊相對(duì)容易。

Johnson聲稱(chēng)有幾種方法可以減少臨時(shí)憑證的使用。Netflix公司還表明，企業(yè)可以在AWS云平臺(tái)中發(fā)現(xiàn)臨時(shí)安全憑證的使用。所以AWS公司可以更好地鎖定防火墻，但是，Capital One公司首先設(shè)置防火墻。簡(jiǎn)而言之，這一切都變得相當(dāng)混亂。

這并不奇怪。正如行業(yè)專(zhuān)家指出的那樣，將云安全要求視為一種范圍。云計(jì)算服務(wù)客戶(hù)將適用于其組織的所有監(jiān)管法規(guī)、行業(yè)和業(yè)務(wù)要求(GDPR、PCI DSS、合同等)，其總和等于該組織的所有特定安全要求。這些安全要求將有助于確保數(shù)據(jù)的機(jī)密性、完整性、可用性。  

安全要求范圍的一端是云計(jì)算服務(wù)提供商，另一端是采用云計(jì)算服務(wù)的用戶(hù)。提供商負(fù)責(zé)其中一些安全要求，用戶(hù)對(duì)其余部分負(fù)責(zé)，但都應(yīng)該滿(mǎn)足一些安全要求。云計(jì)算服務(wù)提供商和采用云服務(wù)的用戶(hù)都有義務(wù)保護(hù)數(shù)據(jù)。