云計算的20大常見安全漏洞與配置錯誤
責編:gltian |2020-09-08 16:23:55云安全是公有云廠商最著力宣傳的賣點之一,但是對于企業用戶而言,過于信任和盲從云服務的默認配置是一件非常危險的事情,企業的安全架構師及云安全審核人員需要對云計算初始環境的安全漏洞和配置錯誤進行全面評估和調優。
以下,我們列舉微軟Azure云計算環境的TOP20常見賬戶和配置漏洞(初始默認配置),對企業選擇其他類似公有云服務也有一定借鑒意義。
微軟 Azure TOP20漏洞快速清單
- 可從Internet訪問的存儲賬戶
- 允許不安全轉移的存儲賬戶
- 特權用戶缺乏多因素身份驗證
- 缺少用于加入設備的多因素身份驗證
- 免費基礎版Azure安全中心缺少很多必要安全功能
- 具有基本DDoS保護的Azure虛擬網絡
- 未加密的操作系統和數據磁盤
- 安全中心中缺少電子郵件通知
- Azure Monitor中缺少日志警報
- Azure NSG入站規則配置為ANY
- 公共IP地址配置為Basic SKU
- 面向公眾的服務使用動態IP地址
- 可匿名讀取訪問的Blob存儲
- Azure AD中的訪客用戶數量過大
- Azure AD中不安全的訪客用戶設置
- 對Azure AD管理門戶的無限制訪問
- Azure身份保護功能默認被禁用
- Azure Network Watcher默認被禁用
- 并非對所有Web應用程序流量都強制執行HTTPS
- Azure安全中心中的監視策略
1.可從互聯網訪問的存儲賬戶
Azure存儲賬戶的默認設置是允許從任何地方(包括互聯網)進行訪問。這樣的設置自然會帶來潛在的未經授權的數據訪問,數據泄漏,泄露等風險。
始終采用最小特權原則,并僅從選定的IP地址,網絡范圍或VNet(Azure虛擬網絡)子網限制對每個存儲賬戶的訪問。
2.存儲賬戶的不安全傳輸
通過此設置,可以強制執行向存儲的安全(加密)數據傳輸。這意味著任何通過不安全協議(例如HTTP或SMB)但未加密的請求都將被拒絕。
Azure存儲賬戶的默認設置是接受任何協議,這不可避免地使云存儲容易受到竊聽攻擊。位置良好的攻擊者可能會竊聽通信,并獲得對敏感或私人信息的訪問權。
顯而易見,應該為所有存儲賬戶啟用加密數據傳輸。
3.特權用戶缺乏多因素身份驗證
對任何Azure資源具有管理或寫入權限的任何用戶都應該要求多因素身份驗證(MFA),包括以下角色:
- 管理員
- 服務共同管理員
- 訂閱所有者
- 貢獻者
使用MFA保護這些高特權賬戶非常重要,因為它們極有可能成為對手的攻擊目標。
啟用MFA后,攻擊難度大增,從而大大降低了風險。
請注意,Microsoft Azure支持各種MFA解決方案和選項,其中一些是免費的,其中一些是根據高級計劃按訂閱提供的,例如:
- Azure多重身份驗證
- 條件訪問策略
無論如何,至少應對所有管理用戶強制執行某種MFA。
4.缺少針對新加入設備的多因素身份驗證
應該要求所有用戶提供第二種身份驗證方法,然后才能將設備加入Active Directory。
這是為了確保防止惡意設備通過被入侵賬戶被添加到目錄中。
風險在于,攻擊者可能將不受管控、不合規的惡意設備加入企業網絡,然后用于訪問企業的應用程序和其他資源。
5.免費版Azure安全中心
與免費(基礎)版相比,付費增強版Azure安全中心增加了以下一些重要的安全功能:
- 威脅檢測和威脅情報源
- 異常檢測,行為分析和安全警報
- 能識別新型攻擊和零時差攻擊的機器學習功能
- 整個基礎架構的漏洞掃描和漏洞管理
- 高級訪問和應用程序控制可阻止惡意軟件和其他網絡攻擊
上述這些功能無疑可以幫助抵御某些網絡攻擊,盡管成本增加,但在每個生產環境中都應啟用這些功能。
6.Azure虛擬網絡的基礎DDoS保護
與基礎DDoS保護相比,增強的標準DDoS(分布式拒絕服務)保護提供了以下附加防御措施:
- 近實時遙測和交通監控
- 持續的攻擊警報和通知
- 自適應調整和流量分析
- 詳細的攻擊分析
以上措施可以幫助防御基于網絡的DDoS攻擊。在每個生產環境中的所有重要VNet上都應啟用標準 DDoS防御服務。
唯一的缺點是,這是一項高級功能,因此需要額外付費。
7.未加密的操作系統和數據磁盤
不用說,磁盤加密應該成為每個生產環境、工作站、服務器以及云環境的標準配置。
在云環境中,有時將其稱為“靜態加密”,Azure支持Windows和Linux VM的磁盤加密:
- 在Windows環境,使用BitLocker
- 在Linux環境,使用DM-Crypt
根據Azure文檔,磁盤加密不應影響性能,也不會增加任何成本,因此,沒有任何理由不為所有磁盤啟用加密,這包括:
- 操作系統磁盤
- 數據盤
- 未連接的磁盤
8.安全中心中缺少電子郵件通知
在Azure云上運行生產環境而不在Azure安全中心中配置電子郵件通知可算得上是一個重大安全事故。
Azure安全中心應始終配置有電子郵件地址和/或電話號碼,以便接收有關事件的通知,尤其是,當特定資源受到威脅時。
郵件通知應當在每個環境中都配置,并始終以很高的優先級進行監視。
9.Azure Monitor中缺少日志警報
Azure的監控和警報服務允許創建自定義警報,以針對Azure云中部署的服務的特定需求量身定制。
如果使用相關的警報條件對其進行了適當的配置,則它可以提供環境中問題的早期指示,而不是依賴于內置的Azure安全功能。
因此,在Azure體系結構審閱中,總是希望看到與環境相關的定義明確的自定義警報列表。
以下是我們可以使用Azure監控警報發出警報的示例列表:
- 指標值
- 記錄搜索查詢
- 活動日志事件
- 基礎Azure平臺的運行狀況
- 測試網站可用性
10. Azure NSG入站規則配置為ANY
在NSG(網絡安全組)中定義防火墻規則時,常見的錯誤配置是協議、源或目標配置為“ ANY”。
這種做法可能會導致流量超出預期流量的風險。對于攻擊者而言,這些看似良性的配置常常他們入侵的突破口。
最佳做法是始終堅持最小特權的原則。僅允許具有明確定義的源和目標地址的特定協議的方式定義防火墻規則。
請注意,強烈建議在具有應用程序感知能力的Azure中啟用第7層防火墻。第7層防火墻在整個Azure網絡(包括應用程序)中提供增強的安全功能。
11. 公共IP地址配置為Basic SKU
與基礎(Basic)SKU相比,在Azure中將公共IP地址配置為標準SKU(庫存單位)具有以下優點:
- 真正的靜態IP地址
- 默認安全,對入站流量不開放
- 允許區域冗余和分區(區域,地理等)
- 支持將來的擴展
對于基礎SKU,主要的安全問題是總體開放性。除非由防火墻特別保護,否則默認情況下,分配有基礎SKU的公共IP地址的系統將完全暴露給外界。
不用說,這在任何生產環境中都是大忌。在生產環境中,所有公共IP地址都應配置為Standard SKU,并應充分理解其網絡流量。
請注意,一旦以任何一種方式配置了IP地址,就無法更改此設置。因此,解決此問題可能需要規劃停機和遷移時間。
12.面向公眾的服務的動態IP地址
這本身并不是真正的安全漏洞,但是對于任何面向公眾的系統,這都是一個嚴重的錯誤配置。、如果IP地址是動態的,則意味著它可以在任何時間更改,例如在重新啟動或DHCP租約續訂之后。而且,當它出現在公開可用的系統上時,它可能會破壞很多東西,例如:
- DNS記錄
- 監控和日志警報
- 系統集成和互操作性
這可能會導致不必要的可用性問題(例如DoS)。因此,始終強烈建議對任何面向公眾的服務使用靜態IP地址。
13.可匿名讀取訪問的Blob存儲
Azure Blob存儲是在云上共享數據的強大而便捷的方式。它支持以下3個訪問控制(級別)選項:
- 1.私人(無匿名訪問)
- 2.Blob(僅針對Blob的匿名讀取訪問權限)
- 3.容器(容器和Blob的匿名讀取訪問權限)
將訪問級別配置為后兩個選項(匿名讀取訪問)會帶來未經授權訪問數據,數據泄漏,滲漏等安全風險。
在生產環境中,應將所有Blob存儲都設置為私有,禁止任何匿名訪問。
14. Azure AD中的訪客用戶數量很高
Azure Active Directory(AD)中的訪客用戶通常是外部用戶(例如供應商,承包商,合作伙伴,客戶和其他臨時角色)創建的賬戶。
他們只是外部人士,因此,請盡量減少他們的數量。
問題在于,隨著時間的流逝,一些企業的訪客用戶不斷堆積,往往導致一些訪客失效后忘記撤消其訪問權限,這是非常危險的。
訪客賬戶往往會成為攻擊者在網絡環境中的立足點,可能導致特權提權以及Azure云環境中的其他問題。
因此,應始終檢查訪客賬戶的數量。實際上,CIS Benchmark甚至建議完全不使用訪客用戶。
這是我們使用Azure CLI查找所有來賓用戶的方法:
- az ad user list –query “[?additionalProperties.userType==’Guest’]”
15. Azure AD中不安全的訪客用戶設置
在Azure Active Directory中擁有訪客賬戶是一回事,為他們提供高特權是另一回事。
默認情況下,與完整功能的內部成員用戶相比,訪客的特權非常有限,但是在Azure AD中,也可以將訪客配置為具有與成員用戶相同的特權!
通過外部協作設置(例如上圖所示)進行配置。上面描述的配置將授予訪客用戶以下權限:
- 枚舉所有其他用戶和組(包括成員)
- 讀取所有已注冊的企業應用程序的屬性
- 從外部邀請其他用戶加入組織
從安全的角度來看,這當然是非常不安全的,應該盡快更改,除非有非常強硬的理由。
最后,建議完全取消訪客賬戶。
16.對Azure AD管理門戶的無限制訪問
Azure AD管理門戶包含大量敏感信息,默認情況下,Azure AD下的任何用戶都可以訪問它。
這意味著可以作為標準(成員)用戶登錄到https://portal.azure.com/并瀏覽,查看幾乎所有設置,其他用戶的詳細信息,組成員身份,應用程序等。
這是一個重大安全風險,因此應加以限制。
17. Azure身份保護功能被禁用
Azure身份保護為Active Directory中的用戶賬戶增加了一層額外的保護,以減輕登錄(登錄)風險,例如:
- 用戶的異常行徑
- 惡意軟件鏈接的源IP地址
- 用戶賬戶泄漏
- 密碼噴射攻擊嘗試
- 匿名源IP地址(例如Tor)
這些都是是有助于保持Azure AD環境更安全的功能,因此強烈建議啟用此功能。
唯一的缺點是,這是一項高級功能,會增加額外的費用。
18. Azure Network Watcher被禁用
Azure Network Watcher提供了至關重要的診斷和可視化工具,用于了解和解決Azure網絡中的網絡問題。
它還為NSG(網絡安全組)Azure防火墻提供網絡流分析,包括與特定VM之間的數據包捕獲以及許多其他診斷功能。
默認情況下此功能被禁用,建議用戶對所有區域都啟用此功能。
我們還可以通過以下方法使用Azure CLI檢查Network Watcher的狀態:
- az network watcher list
19.未對所有Web應用程序流量強制執行HTTPS
從安全的角度來看,對于內部和外部(公開)的所有Web應用程序,都應僅接受安全(加密)HTTPS連接,這也是當今的安全標準。
HTTPS提供了非常必要的安全性,機密性和私密性。
啟用上述設置后,對給定Azure Web服務的每個傳入的不安全(純文本)HTTP請求都將重定向到其HTTPS端口。
應該為所有Azure Web服務進行HTTPS配置。
對于Azure中的數據庫,應實施相同的策略,例如:
- MySQL服務器
- PostreSQL服務器
所有服務器都應啟用“強制SSL連接”選項。
現在,您可能想知道應該選擇哪個TLS?
NIST(美國國家標準技術研究所)和PCI(支付卡行業)都不再建議TLS版本1.0和1.1版本。因此,應始終至少選擇TLS 1.2版。
20. Azure安全中心中的監視策略
CIS基準建議啟用Azure安全中心的以下監控策略:
計算和應用程序:
- 系統升級
- 操作系統漏洞
- 端點保護
- 磁盤加密
- 漏洞評估
- 自適應應用程序控件
網絡:
- 網絡安全組(NSG)
- Web應用程序防火墻(WAF)
- 下一代防火墻(NGFW)
數據:
- 儲存加密
- SQL審核
- SQL加密
在每個生產環境中都應啟用所有這些策略(將其設置為“ AuditIfNotExists”)。這些策略提供了對Azure云組件的基本安全監視。
啟用這些策略時,還應同時啟用“自動設置監視代理程序”:
這將確保在環境中部署的所有現有虛擬機以及將來創建的任何新虛擬機上預配置Azure監視代理。
結論
評估Microsoft Azure云環境的安全狀況并非易事。與任何其他云技術一樣,微軟的Azure是一個復雜的話題。要安全地進行設置,需要付出巨大的努力,需要了解多個技術領域,并且需要了
Azure生態系統。您需要深入了解許多領域,而不僅僅是Azure云本身。
云安全是一個動態話題,因為整個云計算生態系統不斷變化和發展,引入新功能,適應新要求等。
希望本文至少能對Azure云安全審計領域提供一些有用的見解,并為您審計其他公有云安全時提供一些實用信息,提高云基礎架構的安全性。