文章讨论了云服务如AWS和GCP在提供日志记录和可见性方面的挑战,强调了控制平面API调用监控、数据级事件和未记录API的重要性。通过启用必要的服务、使用SIEM解决方案和实施最小权限原则,可以提高云环境的安全性并减少盲点。
云中的可见性是一个重要但难以解决的问题。可见性差可能导致各种安全风险,包括数据丢失、凭据滥用和云配置错误。这是当今安全管理者在寻求采用云技术时面临的最大挑战之一。
在Enterprise Strategy Group2020年4月的一项调查中,研究人员透露,33%的受访者认为,对托管其云原生应用程序的基础设施的活动缺乏可见性是保护这些应用程序的最大挑战。
云提供商之间的可见性深度不同,每个提供商都有自己的积极和消极方面。让我们看看AWS和GCP提供的一些日志记录和可见性选项,以及它们的盲点和如何消除它们。
了解可见性选项
云提供商通常免费提供某种默认的日志记录或监控,但这永远不足以让你充分了解整个组织的情况。它们还提供额外的付费服务,使你能够更深入地了解各种用例的环境。由于每个云提供商的做法略有不同,因此不同提供商之间的盲点和可见性不足也有所不同。
重要的控制平面
云提供商提供的“控制平面”本质上是处理“云操作”或API调用的。控制平面必须可以从互联网上的任何地方访问,并且允许用户与云中的资源进行交互。
例如,通过AWS命令行接口(CLI)进行的API调用通过AWS控制平面进行路由,允许你执行操作,例如启动新的亚马逊弹性计算云(EC2)实例。在GCP中,控制平面处理诸如通过“gcloud”CLI进行的调用之类的事情。
了解环境中正在进行的API调用非常重要,这就是为什么提供了许多免费的默认日志记录服务。其中包括AWS中的CloudTrail事件历史记录(在你的帐户中进行的API调用的90天历史记录)或类似GCP中的活动日志记录,它提供了项目中活动的大致概述。然而,这些默认产品也有不足之处。如果没有额外的配置,你将错过关键元素。
要监控云控制平面,需要使用云提供商提供的内置服务。但不要止步于此。然后,这些日志应导出到外部安全信息和事件管理(SIEM)解决方案,如Splunk,以进行进一步分析和警报。
这些服务包括为组织中的每个地区和每个事件类型配置AWS CloudTrail,或将GCP审计日志应用于组织级别的所有支持服务。这样做将有助于你获得所需的额外洞察,以便做出更明智的安全决策。
网络和主机呢?
当涉及到云网络内的活动或该网络内的主机时,通常没有免费的默认服务来获得可见性。主机上可能有默认的日志记录,例如bash历史记录,但没有任何东西可以聚合这些日志并通过统一的接口为你提供对所有主机的访问。
有许多内置和第三方产品可供使用,以了解网络和主机上的活动。一些云工作负载保护平台提供基于主机的监控和可见性,使你能够实时检测和预防威胁。
其他产品,如AWS VPC(虚拟私有云)流量镜像或GCP数据包镜像,可以帮助在云网络中捕获完整的数据包。VPC流日志是另一个用于网络可见性和产品的有用工具,如AWS GuardDuty,它可以监控这些流日志,以及DNS日志和CloudTrail日志,以检测环境中的威胁和异常活动。
痛点和盲点
无论有哪些监控和可见性选项,即使使用了云提供商的所有内置服务(甚至一些第三方服务),也可能会遗漏一些内容。
数据级事件的输入和输出
数据级事件不同于控制平面或管理事件,因为它们是对特定数据执行的操作,而不是对云资源执行的操作。例如,AWS S3数据事件记录S3存储桶中对象的活动,从而深入了解谁在与哪些对象交互。如果没有额外的配置(因此也没有额外的成本),则不会记录这些事件类型。一些服务提供数据级事件日志记录,如S3存储桶访问日志,但其他服务,如AWS EBS Direct API,则不提供。
为了确保不会对数据级事件失去洞察,你应该在可能的情况下启用它们。如果不可能,我们建议拒绝所有用户访问这些数据级API。
未记录的API
每个云提供商都会发布其支持的API的文档,这使你能够识别其特定云中可能存在的内容。问题是,每个云提供商通常都支持未记录的API,这些API可能在不应该公开的时候被公开。这些未记录的API通常用于增强用户体验,例如通过提供商提供的网络控制台提供良好的用户体验。
因为这些都是未记录的,通常不用于直接访问,所以在记录其他记录API的地方不会记录它们。这种缺乏日志记录的情况可能会使攻击者在你的环境中执行某些操作,而你无法知道他们执行了这些操作。
为了防止未记录的API在你的环境中被恶意使用,在细粒度级别上授予权限是很重要的。也就是说,不要使用通配符授予权限(例如在AWS中使用“*”),不要使用“托管”权限集,因为它们通常过于宽松,并定期审查授予用户的权限,以确保它们受到适当的限制。通过允许在细粒度级别上列出权限,你可以避免未记录的API暴露的大部分风险。
预GA服务
云计算中的另一个潜在盲点是预GA服务。这可能包括alpha、beta、gamma、预生产或类似服务。此类服务通常被阻止向公众开放,只允许列出的用户访问,但许多时候,它们处于预GA状态时可供公众使用。
如何访问预GA服务的一个示例是通过“gcloud”CLI的“beta”组和“alpha”组提供的命令,可以分别使用“gcloud-beta<service>”和“gcloud-alpha<service>”访问这些命令。
仅仅因为它们是预GA并不意味着它们没有被记录,但在这里你可能会遇到不支持记录的服务,并且有可能被滥用。你可以通过拒绝用户在其项目中启用新API,并仅向他们提供对受信任服务列表的访问,来阻止对GCP中的许多beta和alpha服务的访问。
最小特权原则
必须在细粒度级别设置权限,以便它们只授予对必要服务和API的访问权限。当通配符或托管权限集应用于无法100%确定授予用户的每一项服务和操作的环境中时,往往会出现这些风险。当对权限进行粒度设置时,可以确保用户不会访问任何意外的内容。
如果不利用云提供商提供的日志记录和可见性,你可能会很快对环境中实际发生的事情失去洞察。即使启用了适当的服务,可见性差距仍然存在,正如我们在讨论数据级事件、未记录的API和预GA服务时所讨论的那样,因此有必要遵循最低权限原则,以避免授予对脱离你监控的服务和API的访问权限。
你要扮演的角色
云提供商似乎有责任不发布未记录的API或预GA服务,但在发布之前,你有责任以这些API不会使环境面临不适当风险的方式委派权限和访问。
原文链接:
https://thenewstack.io/how-to-find-and-eliminate-blind-spots-in-the-cloud/
扫一扫
1348
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
