重點1  公有雲提供的伺服器初始壯態,皆未整合弱點修補程式

當你申請一個提供基礎架構即服務(IaaS)的公有雲,像是Amazon Web Services或Rackspace,這些雲端服務的業者會提供一個VM型錄讓你從中挑選使用。

然而,要注意的是,當你開始啟用這些VM、操作時,會發現它們都是處於未修補漏洞的狀態。舉個例子來說,若你從型錄中選擇了Windows Server 2008 SP2的VM,等到IaaS平臺將相關的系統產生後,你會發現微軟Windows Server從2009年發布至今的所有修補程式,都沒有整合在其中。

這樣的狀況會導致兩個問題。首先,你不只是產生一臺伺服器,而且是以公開的方式進行,同時從該產品發布後被發現的每一個弱點都在這臺伺服器上。其次,正因為如此,你使用前,必須優先修補這臺伺服器。這會增加部署時間與成本(對於修補這臺伺服器期間所耗用的CPU和網路,都是超過原先計畫的,而且,別忘了,這些的運用,你等於都是在額外支出的狀態下進行)

另一方面,則是與服務等級協議(SLA)的認定有關。當我們打算將系統或應用服務轉移到雲端環境,部分討論總會提到,雲端服務業者將會負責大部分的電腦運算堆疊的工作。

對多數人來說,IaaS公有雲的最大賣點,是租戶不必擔憂伺服器設備、耗電與散熱、運算與儲存硬體、網路設備等,因為大家都天真地以為業者會搞定所有的事情,但以修補程式的整合為例,就不在雲端服務業者負責的範圍內。

換言之,若攻擊者破壞你的系統、偷走所有資料、在人人都可看到的公開網站張貼敏感資訊,你很難求助於雲端服務供應商,除非他們也在那時候受到攻擊。

 因應之道 

面對漏洞修補的整合需求,可利用RightScale或enStratus等雲端管理工具。它們能協助你做好VM管理修補與組態設定。隨著部署流程的發送,這兩套工具可協助確保持續的安全狀態。

 

從雲端服務業者所拿到的VM,大多只能確保系統已經套用到主要更新,但你開始使用VM時,該次更新後續又有許多修補程式接連發布,而這樣的狀態形同弱點大暴露、完全沒抵禦能力。以Windows Server 2008 R2的VM為例,在雲端環境啟用後,應趕快安裝的修補程式有一百多個。

 

 重點2  系統管理的路徑暴露在外

當你在公有雲環境啟用一臺虛擬機器,你沒有辦法直接到這臺系統前面去操作,結果,系統管理動作(例如Linux的SSH、Windows的RDP)的相關存取,將會暴露在網際網路上。你還要注意到,伴隨這樣而來的狀況是:前面提到的修補不足也可能同時存在你的VM上,因此,最後,你所申請的伺服器會被駭客侵入。

有些公有雲服務業者會透過公、私鑰來認證管理者身分,但這只能保護你免於受到密碼暴力破解攻擊。而且,近來,針對Windows RDP環境出現了阻斷服務攻擊與遠端程式碼執行攻擊,相關漏洞都不需要通過系統認證身分,就可以被駭客利用。

 因應之道 

我們應該在防火牆內來產生VM。因為防火牆能夠限制系統管理的程序存取企業網路的IP位址。如果要從動態的IP位址去存取伺服器時,你可以透過CloudPassage Halo來幫忙。這套產品可以做到讓伺服器端的防火牆阻擋管理相關連線,直到認證身分為止。

 

 重點3  VM數量暴增、雜亂無章,增加管理複雜度

過去,一般伺服器還是位於內部網路的實體硬體設備,因伺服器數量太多而產生的管理問題不大。要部署一臺伺服器的相關預付成本很高,這有助於縮減真正要上線的數量。而且,這樣的伺服器建置要耗費實體的機房空間,也需要在內部區域網路配置IP位址。在這樣的環境下,你只需要實體設備的搜尋與網路掃描工具,就能夠有效地辨識出不在你管理範圍內的非法系統。

現在,雲端運算的特點之一在於部署伺服器比管理伺服器更容易。滑鼠點選幾次後,你可以快速與簡易地部署十幾臺、幾百臺伺服器。

如果你真的在所管理的環境下,部署了幾百臺伺服器,要掌握、追蹤全部的設備的狀態,可能會是惡夢。

雖然這些伺服器都在一定時間內才開始產生,因此你可以用Nmap來找到、辨識網路內的所有非法伺服器。但在雲端系統中管理,其他工作可能還是很困難。

因為,你還是要持續追蹤這些伺服器扮演的角色,確認是否已經基於企業政策來執行修補與設定組態。

 因應之道 

加速採用像是Puppet和Chef等工具,這些都是專門設計的軟體,可用來自動化設定雲端上的VM組態。

 

 重點4  副本複製能幫你,也可以毀了你

在實體伺服器上安裝作業系統與所需的應用程式,相當耗時,即使你將Script的方式來執行流程,安裝可能還是要花上好幾個小時。

在雲端的世界,我們開始大量透過「副本複製(Clone)」的概念,來解決這個問題。透過副本複製的方式,你可以安裝與設定一臺高標準的主要伺服器(gold-standard master server)。當你需要一臺新伺服器,你只需要用副本的方式複製這臺主伺服器即可。過程只需幾分鐘,即可快速取得一臺伺服器、上線。這方式也有助於持續性,而且每臺伺服器都一樣。

當然,這可能是個問題,因為每臺伺服器有些設定是不能重複的,例如IP位址、授權、主機名稱。應用同樣組態的伺服器聽起來很理想,但實際上,你要設法讓系統彼此之間的內容只有98%相同,以便易於管理。

對於長期的管理也是一樣。舉個例子來說,副本複製的伺服器終究也需要安裝修補程式,如果你採用直接修補的方式,要注意如何在不同系統之間能保有持續性。

大多數環境的作法都是修補高標準的主伺服器,並汰換掉既有的副本。這樣的方式很好用,能夠協助你追蹤每個副本被修補後版本取代的狀況。否則,你就只能快速修補,使伺服器狀態變成不同狀態。

 因應之道 

可以尋求上述雲端管理工具,例如RightScale、enStratus,或是CloudPassage Halo、Puppet和Chef。

 


相關報導請參考「軟體開發安全實務大公開- 跟世界頂尖IT公司學安全開發!」

熱門新聞

Advertisement