ToB企服应用市场:ToB评测及商务社交产业平台

标题: 云盘算存在的安全隐患 [打印本页]
作者: 玛卡巴卡的卡巴卡玛    时间: 2024-6-14 21:03
标题: 云盘算存在的安全隐患

目录

一、概述
二、ENISA云安全毛病分析
三、云盘算相关体系毛病
3.1 概述
3.2 毛病分析
3.2.1 Hypervisor毛病
3.2.1.1 CVE-2018-16882
3.2.1.2 CVE-2017-17563
3.2.1.3 CVE-2010-1225
3.2.2 假造机毛病
3.2.2.1 CVE-2019-14835
3.2.2.2 CVE-2019-5514
3.2.2.3 CVE-2013-5973
3.2.2.4 CVE-2003-1134
3.2.3 OpenStack毛病
3.2.3.1 CVE-2020-9543
3.2.3.2 CVE-2019-10141
3.2.3.3 CVE-2018-14620
3.2.3.4 CVE-2017-16613
3.2.4 容器毛病
3.2.4.1 容器镜像风险
3.2.4.2 容器镜像仓库风险
3.2.4.3 容器编排工具风险
3.2.4.4 容器实例风险
3.2.4.5 容器主机操作体系风险
四、云安全相关设置错误
4.1 云安全常见设置错误
4.1.1 存储访问
4.1.2 密码、密钥等的管理
4.1.3 禁用日志记录和监督
4.1.4 对主机、容器和假造机的访问权限过大
4.1.5 缺乏验证
4.2 微软Azure TOP 20毛病清单

一、概述

信息体系中的服务器、路由器、交换机、数据库、盘算机终端以及各类软件体系,由于设计缺陷或管理操作失误,面临着极大的安全隐患和风险。云盘算在操作过程中假如设置不当,也会给云盘算服务带来极大的安全隐患。
二、ENISA云安全毛病分析

ENISA(欧盟网络与信息安全机构)评估框架被视为NIST在欧洲的对应框架,它负责制定云盘算的信息安全收益、风险与发起。ENISA确定了组织应该思量的云安全相关的30多种风险毛病范例,具体分布如下。

三、云盘算相关体系毛病

3.1 概述

毛病是指体系硬件、应用程序、网络协议或体系安全策略设置方面存在的缺陷。毛病可能导致攻击者在未授权的环境下访问体系资源或破坏体系运行,对体系的安全造成威胁。信息体系中的操作体系、应用软件、数据库、路由器、交换机、防火墙及网络中的其他硬件设备都不可制止地存在毛病。
云平台上的毛病形式重要有操作体系毛病、数据库毛病、假造化平台毛病、云管理平面毛病和不安全的API等形式。下面重点从云盘算所特有的假造化平台毛病、云管理平面毛病、假造机毛病和容器毛病等方面进行介绍。
3.2 毛病分析

3.2.1 Hypervisor毛病

Hypervisor是一种运行在物理服务器和操作体系之间的中间层软件,可以允许多个操作体系和应用共享一套基础物理硬件。Hypervisor又称为假造机监督器,可以将其看作假造环境中的“元”操作体系,它可以协调访问服务器上的所有物理设备和假造机。历史上曾经出现过的Hypervisor高危毛病有下述几个。
3.2.1.1 CVE-2018-16882

Linux Kernel KVM Hypervisor内存错误引用毛病。
Linux Kernel是美国Linux基金会发布的操作体系Linux所使用的内核。KVM Hypervisor是其中一个基于内核的假造机。Linux Kernel中的KVM Hypervisor存在内存错误引用毛病,攻击者可利用该毛病造成拒绝服务(主机内核瓦解)或获取权限。
3.2.1.2 CVE-2017-17563

Xen Hypervisor内存破坏毛病。
Xen是英国剑桥大学开辟的一款开源的假造机监督器产品。该产品能够使不同和不兼容的操作体系运行在同一台盘算机上,并支持在运行时进行迁移,保证正常运行并且制止宕机。Xen 4.9.X及之前版本中的Hypervisor存在内存破坏毛病。攻击者利用该毛病造成拒绝服务(主机操作体系瓦解)攻击效果。
3.2.1.3 CVE-2010-1225

Microsoft Virtual PC Hypervisor Virtual Machine Monitor安全绕过毛病。
Windows Virtual PC是Microsoft假造化技能,Microsoft Virtual PC Hypervisor Virtual Machine Monitor存在安全绕过毛病,攻击者可以利用这个毛病绕过内存保护机制,获取敏感信息。
3.2.2 假造机毛病

假造机逃逸指的是突破假造机的限制,实现与宿主机操作体系交互的一个过程,攻击者可以通过假造机逃逸感染宿主机或者在宿主机上运行恶意软件。
假造机技能的重要特点之一是隔离,假如假造机A越权去控制假造机B,则存在安全毛病。当前CPU可以通过强制执行管理程序来实现内存保护,通过安全的内存控制规则来禁止正在使用的内存看到另外一台假造机。历史上曾经出现过的假造机相关高危毛病重要有下述几个。
3.2.2.1 CVE-2019-14835

QEMU-KVM假造机到宿主机内核逃逸毛病。
Red Hat Enterprise Linux(RHEL)是美国红帽(Red Hat)公司的一套面向企业用户的Linux操作体系。QEMU-KVM假造机到宿主机内核存在逃逸毛病。攻击者通过使用该毛病可能导致假造机逃逸,获得在宿主机内核中恣意执行代码的权限。
3.2.2.2 CVE-2019-5514

VMware Fusion假造机端远程代码执行毛病。
VMware Fusion是VMware公司出品的一款适用于Mac操作体系的假造机软件。VMware Fusion假造机端存在远程代码执行毛病,攻击者可通过VMware Fusion在本地启动的WebSocket API接口来在所有已安装VMware Tools的假造机上利用该毛病执行恣意代码。
3.2.2.3 CVE-2013-5973

VMware ESX和ESXi假造机文件形貌符本地拒绝服务毛病。
VMware ESXi是一款免费假造机解决方案。VMware ESX和ESXi处理某些假造机文件形貌符时存在安全毛病,允许拥有“Add Existing Disk”权限的非特权vCenter Server User获得对ESXi或ESX上恣意文件的读写访问。在ESX上,非特权本地用户可对恣意文件进行读写访问,修改某些文件允许宿主机重启后执行恣意代码。
3.2.2.4 CVE-2003-1134

Sun Microsystems Java假造机安全管理器拒绝服务攻击毛病。
Java 2安全管理器(Security Manager)是针对体系完整性和安全性进行检查的工具。Java 2安全管理器的实现存在问题,远程攻击者可以构建特别的类并运行,会由于NULL指针异常而导致JAVA假造机瓦解,因此可利用这个毛病对Sun Java假造机进行拒绝服务攻击。
3.2.3 OpenStack毛病

OpenStack是一个开源的云盘算管理平台项目,是一系列软件开源项目标组合。它是由NASA(美国国家航空航天局)和Rackspace互助研发并发起,以Apache许可证(Apache软件基金会发布的一个自由软件许可证)授权的开源代码项目。
OpenStack为私有云和公有云提供可扩展的弹性云盘算服务,项目目标是提供实施简单、可大规模扩展、丰富、标准同一的云盘算管理平台。近几年历史上曾经出现过的OpenStack相关高危毛病重要有下述几个。
3.2.3.1 CVE-2020-9543

OpenStack Manila越权毛病。
OpenStack Manila 7.4.1之前版本、8.0.0版本至8.1.1版本和9.0.0版本至9.1.1版本中存在该安全毛病。攻击者可利用该毛病检察、更新、删除或共享不属于它们的资源。
3.2.3.2 CVE-2019-10141

openstack-ironic-inspector SQL注入毛病。
Openstack-ironic-inspector是一款硬件检测保卫程序。该程序重要用于检测由OpenStack Ironic管理的节点的硬件属性。Openstack-ironic-inspector中的'node_cache.find_node()'函数存在SQL注入毛病,其源于基于数据库的应用,缺少对外部输入SQL语句的验证,攻击者可利用该毛病执行非法SQL命令。
3.2.3.3 CVE-2018-14620

Red Hat Openstack不安全检索毛病。
Red Hat OpenStack是美国红帽(Red Hat)公司的一套开源IaaS解决方案。该方案支持私有云、公有云和混淆云的创建和管理。Openstack-rabbitmq-container和Openstack-containers都是其中的容器组件。Red Hat Openstack 12版本、13版本和14版本中的Openstack-rabbitmq-container和Openstack-containers存在安全毛病,该毛病源于OpenStack RabbitMQ容器镜像在生成阶段通过HTTP不安全地检索rabbitmq_clusterer组件。攻击者可利用该毛病向镜像生成器提交恶意代码并将其安装在容器镜像中。
3.2.3.4 CVE-2017-16613

OpenStack Swauth身份验证绕过毛病。
OpenStack是NASA和美国Rackspace公司互助研发的一个云平台管理项目。OpenStack Swauth是其中的一个授权体系。OpenStack Swift是一个用于检索大量数据的云存储软件。OpenStack Swauth 1.2.0及之前版本中的middleware.py文件存在安全毛病。当使用OpenStack Swift及之前版本的软件时,攻击者可通过向请求的X-Auth-Token包头注入令牌来利用该毛病绕过身份验证。
3.2.4 容器毛病

容器是一种轻量级的假造化技能,它提供一种可移植、可重用且自动化的方式来打包和运行应用。容器化的利益在于运维的时间不需要再关心每个服务所使用的技能栈,每个服务都被无差别地封装在容器里,可以被无差别地管理和维护。如今比力盛行的工具是Docker和Kubernetes(K8S)。
容器安全问题重要包罗下述几个方面。
3.2.4.1 容器镜像风险

容器镜像可能存在安全毛病、镜像设置缺陷、恶意软件植入、未信任镜像及明文存储的风险。
3.2.4.2 容器镜像仓库风险

包罗与镜像仓库的不安全连接、镜像仓库中的镜像逾期和不完备的认证机制。
3.2.4.3 容器编排工具风险

包罗管理访问权限不受限制、未经授权的访问、容器间网络流量隔离效果差、混淆不同敏感级别的工作负载、编排节点的可信问题。
3.2.4.4 容器实例风险

包罗运行时软件中的毛病、容器的网络访问不受限制、容器运行时设置不安全、流氓容器。
3.2.4.5 容器主机操作体系风险

包罗攻击面大、共享内核、主机操作体系组件毛病、用户访问权限不当、窜改主机操作体系文件等风险。
通常,针对容器云的攻击重要是由外部恶意用户和内部恶意管理员从网络侧发起攻击,攻击对象重要包罗容器化微服务网络攻击、容器云组件毛病攻击、容器镜像仓库攻击、基于硬件管理接口缺陷的攻击和基于API接口缺陷的攻击等。
四、云安全相关设置错误

4.1 云安全常见设置错误

云安全的常见设置错误重要有以下五个突出方面。
4.1.1 存储访问

在存储桶方面,许多云盘算用户以为“颠末身份验证的用户”仅涵盖那些在其组织或相关应用程序中已通过身份验证的用户。“颠末身份验证的用户”应是指需要身份验证的任何用户。由于这种误解以及由此导致的控件设置错误设置,存储对象终极可能完全暴露给公共访问环境。因此要安全设置存储对象的访问权限,以确保只有组织内需要访问权限的人员才能访问它。
4.1.2 密码、密钥等的管理

诸如密码、API密钥、管理凭据和加密密钥之类的信息是至关重要的,至今已经发生过许多上述信息在设置错误的云存储桶、受感染的服务器、开放的GitHub存储库乃至HTML代码中公开可用的安全事故。针对这种风险的解决方案是维护企业在云中使用的所有秘密清单并定期检查这些敏感数据的安全防护状态。
4.1.3 禁用日志记录和监督

企业云团队中的安全负责人应该负责定期检察此项设置,并标记与安全相关的事故。存储即服务供应商通常提供类似的信息,这同样需要定期检察。
4.1.4 对主机、容器和假造机的访问权限过大

企业没有使用过滤策略或防火墙,而将数据中心中的物理或假造服务器直接连接到Internet,比方暴露在公共互联网上的Kubernetes集群的ETCD(端口2379)。针对此问题要保护重要的端口并禁用云中旧的、不安全的协议。
4.1.5 缺乏验证

由于错误设置的发生,人们经常看到组织无法创建和实施错误设置辨别体系来核查设置。无论是内部资源还是外部稽核员,都必须负责定期验证服务和权限是否已正确设置和应用。企业还需要建立严格的流程来定期稽核云设置。
4.2 微软Azure TOP 20毛病清单

微软采取了大量的物理、基础结构和操作控制步伐来帮助保护Azure,但也需要额外举措来保护工作负载。启用Azure安全中心可以加强云安全状况。
Azure安全中心是用于进行安全状况管理和威胁防护的工具。在Azure安全中心内,使用Azure Defender保护混淆云工作负载。由于安全中心与Azure Defender集成,因此它可以保护在Azure、本地和其他云中运行的工作负载。该服务支持连续评估安全状况,使用Microsoft威胁情报功能防御网络攻击,并通过集成控件来简化安全管理。但是假如在Azure安全中心针对常见账户和一些初始设置没有正确设置安全策略或者缺失某些安全功能,就会产生安全风险和毛病。
Azure的TOP20毛病快速清单重要表如今以下方面。


好了,本次内容就分享到这,欢迎各人关注《云盘算安全》专栏,后续会继续输出相关内容文章。假如有帮助到各人,欢迎各人点赞+关注+收藏,有疑问也欢迎各人批评留言!

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4