解密云端深度防御

什么是纵深防御？

纵深防御通常被视为任何有效安全策略的基本概念。如果没有相互关联的不同防御层，组织将面临单一漏洞或错误配置的威胁，可能导致关键资源完全受损。

虽然这似乎是本地防御架构的明显要求，但云环境往往落后。端点安全解决方案普遍缺乏、基础设施管理极少，以及身份在云安全运营中的作用过大，往往会让人误以为云中的纵深防御有点天方夜谭。如果入侵云环境的单个根凭证就能让攻击者大获全胜，那么我们如何才能实现纵深防御呢？

真实案例：加密货币交易所数百万美元的泄密事件

在应对加密货币交易所的大型云事件时，我们目睹了攻击者将纵深防御的缺乏发挥到了极致。

攻击者没有采用传统的攻击媒介——在组织中找到最初的立足点，然后进行横向移动和权限提升来获取关键资产——而是直接攻击黄金凭证。

攻击者花了数月时间假扮研究区块链的数学家，开展了一项复杂的社会工程活动，最终与受害者的顶级加密工程师建立了同事关系。只有在这种关系巩固之后，他们才会向工程师发送一个“数据共享程序”进行安装，从而在工程师的笔记本电脑上执行他们的恶意软件。

由于这台笔记本电脑经常被用来访问和管理云端的“热钱包”系统，因此它不断访问敏感云服务器的凭证。一旦这些凭证被攻破，攻击者只需不到 24 小时就能发起恶意交易并成功窃取数亿美元。

深度云防御的 4 个关键要素

虽然云计算有其独特的挑战，但云中的纵深防御至少与本地环境的纵深防御同样重要且可实现。

要将这种架构方法调整到云端，需要实现与本地环境中类似的元素，包括强大的监控功能以及向 SOC 发送实时警报以进行调查和遏制。

成功实施纵深云防御的关键在于四个关键领域：访问管理、分层 MFA 实施、实施双重控制以及“纵深检测和响应”。

1. 访问管理

任何安全专家都知道，IAM 是云中的王者。通过集中式 IAM 简单且易于管理云环境中的所有资源，攻击者只需窃取一个凭证即可造成巨大破坏。

虽然这种风险确实存在，但不应将其视为与保护本地环境中高权限凭据的挑战本质上不同。分层访问控制模型依赖于为特定需求而承担的受限角色，而不是具有广泛权限的用户，这是在云防御中创建“深度”的关键。

就像 3 层模型可以缓解 Active Directory 环境中的简单特权升级一样，云中细粒度的最低特权角色在减轻凭证泄露的影响方面大有裨益。当没有 IAM 用户被授予即时高权限，而是必须承担不同的角色来执行不同的功能时，单个凭证的泄露不会导致攻击者立即危及整个环境。

对于更敏感的操作，这些角色假设应限制在允许的源 IP（理想情况下是跳转服务器）上。虽然某些特权角色仍可使用，但要获得这些角色需要额外的步骤或额外的凭据泄露，而 SOC 可以检测并阻止这些情况，因为攻击者会更加努力地实现其目标。

维护云中有效访问管理的最后一个重要最佳实践是完全避免经常使用根帐户。虽然可以通过访问管理策略限制其他管理帐户，但无法通过分层访问模型有效阻止受损的云根帐户。

在绝大多数情况下，不应使用根帐户进行任何日常操作。一旦创建了云帐户并创建了相关的管理用户，根帐户凭据就可以离线存储，并且仅在极少数情况下使用，遵循精心预定义的协议。一旦安全地离线管理根帐户，就可以有效地管理所有其他访问，以促进纵深防御。

2. 分层 MFA 执行

正如近期许多攻击所表明的那样，单靠 MFA 并不是完美的解决方案。攻击者利用 MFA 疲劳，进行完整的中间人攻击以窃取 MFA 代码，或劫持已通过 MFA 身份验证的会话，这在一定程度上削弱了人们对 MFA 作为敏感数据终极保护者的信心。

然而，在云环境中实施多层 MFA 可以大大有助于建立纵深防御。

分层 MFA 的关键在于，每当尝试访问潜在敏感角色或系统时，都需要重新进行 MFA。在此模型下，即使最初使用 MFA 进行身份验证的会话被劫持或被盗，攻击者也无法在不再次进行 MFA 流程的情况下实现所有目标。

虽然实际考虑使得不需要对每个操作都进行 MFA，但特别敏感的操作（例如访问非常敏感的数据，执行删除、加密或导出系统或大量数据等精细操作）通常可以放在进一步的 MFA 要求之后。

由于这些操作并不常见，因此对合法用户的额外干扰不会太大，而对攻击者的潜在阻碍却很大。当然，如果 MFA 能被攻破一次，那么它就能被攻破多次。然而，这种分层的 MFA 方法降低了攻击者快速访问关键资源的可能性，为防御者创造了更多机会（和额外时间）来检测和阻止潜在攻击的最坏部分。

3. 双重控制

有效的访问管理和 MFA 对于在云环境中建立纵深防御大有帮助，但可能不足以抵御坚定而持久的攻击者。

劫持现有的特权会话和内部威胁仍然是这些措施无法完全缓解的关键风险。正如加密货币交易所事件所证明的那样，一些资产非常敏感，任何攻击者控制它们都可能造成最严重的后果。

要应对这一巨大的风险，我们必须承认，有些角色对于任何一个人而言都过于特权，有些资产过于敏感，任何单一系统都无法管理。

对最敏感的系统和操作实施双重控制原则意味着强制执行至少两种独立的 身份验证和授权模式来执行某些操作。

对于手动操作来说，这很容易做到，例如，要求多个用户（每个用户都有自己的凭证和 MFA）手动批准删除资源或转移大笔资金等操作。这类似于众所周知的财务控制，例如要求两个不同的授权用户发起和批准超过一定阈值的付款订单。

虽然不太直观，但同样的原则也可以应用于自动化系统，即确保将应用程序执行的独特敏感操作分离到不同的、独立的授权系统中。

实施将根据具体系统而有所不同，但让我们回到我们的加密货币交易所朋友作为例子。为了防止将来发生类似的攻击，我们针对大额客户提款实施了以下解决方案：

• 客户在两个独立的系统上发起请求，这里简化为服务器 A 和 B。

• 服务器 A 是唯一能够与第三方合作伙伴触发提款操作的机器，并通过访问控制来强制执行。

• 服务器 B（在使用不同凭证管理的单独环境中）是唯一可以访问签署提款操作所需凭证的机器。

• 服务器 B独立 接收提款请求并签署有效操作，但无法触发它，而是将签名的操作发送给服务器 A。

• 服务器 A独立 接收提款请求，然后验证来自服务器 B 的签名操作并触发交易。

这种简化的架构可实现客户自动提款，但通过实施双重控制可避免产生单点故障。服务器 A 和 B 的有效隔离意味着攻击者只要攻陷其中任何一台服务器，就无法触发恶意交易，除非单独攻陷另一台单独管理的服务器来实现此目标。在尝试这种额外的攻陷时，防御者将有更多机会检测并阻止成功的攻击。

4. 深度检测与响应

促进云防御的有效“深度”需要采用传统方法来检测和遏制云中的威胁。

不幸的是，云环境中普遍缺乏 EDR、防火墙和物理网络分段，这往往导致对检测和响应的态度“平淡”。这种态度通常依赖一些日志源和自动遏制机制来检测攻击，从而导致检测失败的可能性大大增加。

相反，成熟的云检测方案必须持续监控、丰富和关联来自整个环境的日志。

将来自云控制、身份、计算、数据和网络平面的事件与相关应用程序日志相结合，有助于实施高级警报，以检测潜在的横向移动和权限提升。

当采用这种全面方法创建“深度检测”时，它很快就有助于建立同样“深入”的响应程序。全面警报不是依赖于禁用用户等单一遏制瓶颈，而是能够在资源级别实现快速而准确的遏制，例如通过停止受感染的实例或限制对关键数据的访问。

这种联合的“深度检测和响应”方法是抵御攻击同时对生产的影响最小的关键。

结论

纵深防御是制定强大的云安全策略的关键——需要云原生架构和控制，而不是传统的内部部署环境中使用的架构和控制。

因此，在云中实施相互关联的防御层对于防御高度自动化的云威胁环境至关重要。通过实施有效的访问管理、分层 MFA 实施、双重控制和“深度检测和响应”，组织可以有效反击越来越执着和积极主动的以云为中心的攻击者。

Decoding Defense in Depth for the Cloudhttps://www.gem.security/post/decoding-defense-in-depth-for-the-cloud