今日的雲端與容器組態設定錯誤將成為明日的重大漏洞

根據預測,到了 2027 年,超過  90% 的全球機構都將採用容器化應用程式,而 63% 的企業在 2023 年就已經採取雲端原生策略。一開始,人們覺得移轉至雲端應該只是基礎架構上的改變,傳統的資安原則應該依然適用。

在當時,惡意程式與漏洞攻擊是 IT 與系統管理員、開發人員以及營運團隊必須對抗的主要威脅。對於網路資安人員來說,分析針對性攻擊中的惡意程式,在滲透測試當中研究漏洞攻擊手法,都是標準的作業程序,無須大幅改變其資安方法。

然而這些假設與事實相去甚遠,企業移轉至雲端並採用容器技術,事實上帶來了非常多的變數,打亂了業務營運需求與資安優先要務之間的平衡。比方說,技術層面 (如網路組態設定) 及策略性元素 (如法規遵循與上市時程) 的管理變得更加困難。這樣的挑戰讓企業暴露於一種隱密但卻代價高昂的威脅,並且正快速成為雲端最新的重大漏洞,那就是:組態設定錯誤。

以一道可以解決各種權限問題、但卻會提供過多存取權限的萬能指令為例,許多系統管理員 (甚至是經驗最豐富的管理員) 都會使用它作為快速解決問題好讓網站運作的辦法。但它實質上會讓任何人都能讀取、寫入及執行某個的檔案或目錄,等於不考慮資安後果。

轉移中的雲端資安典範

雲端服務供應商 (CSP) 採取的是一種責任共同分擔的資安模型,供應商和客戶各有其必須承擔的責任。基本上,CSP 負責確保「雲端本身」的安全,包括雲端服務的基礎架構、硬體與軟體。客戶則負責「雲端內部」的安全,包括客戶的資料、應用程式與使用者存取。

CSP 必須確保實體基礎架構的安全性,包括:伺服器、儲存裝置以及網路元件,包括採用防火牆、實體存取控管、定期的資安稽核等措施。根據服務本身的性質以及責任共同分擔原則,CSP 有時也負責修補作業系統。

客戶的責任主要在於自己放到雲端上的資料,包括採用加密、資料外洩防護,以及存取控管。比方說,雲端平台供應商固然提供了儲存與傳輸加密,但客戶在上傳資料之前必須先確保資料已經加密,並且妥善管理加密金鑰。

圖 1:雲端責任共同分擔模型定義了 CSP 與客戶之間的責任歸屬。

不同的雲端責任共同分擔模型

責任共同分擔的模型會隨著客戶使用的雲端類型而有所不同:

  • 基礎架構服務 (IaaS):CSP 負責提供底層的基礎架構,包括虛擬機器、儲存與網路。但作業系統、應用程式與資料則由客戶負責。
  • 平台服務 (PaaS):CSP 負責管理底層基礎架構以及執行應用程式的平台,客戶負責資料處理與應用程式邏輯。例如,CSP 負責管理雲端容器服務的伺服器作業系統、網路與儲存,客戶則負責管理應用程式的程式碼與資料的安全。
  • 軟體服務 (SaaS):CSP 幾乎掌管了一切,從基礎架構到應用程式本身,客戶主要負責管理自己的資料與使用者存取。例如使用無伺服器服務的情況。

隨著企業採用的雲端服務越來越多,攻擊面也會隨之改變。實體攻擊幾乎已經消失,從客戶開始使用雲端服務的那一刻起,CSP 就有完全的責任防範任何可能讓駭客實際接觸到伺服器並從實體面攻擊系統漏洞的可能性。另一方面,在 SaaS 的模式中,CSP 也負責應用程式本身的管理與安全,換句話說,就是所有作業系統漏洞的管理與修補都是由 CSP 負責。

只要做好所有的安全措施 (包括修補),就不會讓駭客有機可乘。所以當所有的安全措施 (包括修補) 都有效落實時,服務就比較不會被駭客入侵。隨著 CSP 承擔越來越多的資安責任,企業整體的攻擊面也越來越小。這樣的轉變讓 CSP 能建立更安全的平台,減少客戶造成組態設定不當的機會。

服務暴露在外是另一個值得探討的關鍵議題。大部分的 CSP 服務都預設採取最低授權原則,客戶必須自己視需求加以變更。所以,當您必須額外花費力氣去變更設定,好讓應用程式可以在網際網路上公開存取時,您就更不容易發生含有漏洞的應用程式暴露在外的情況。

這並不會完全消除漏洞暴露在外的情況,尤其是採用 IaaS 的情況,因為客戶很容易放寬安全措施。畢竟這是他們負責的部分,而他們可以讓應用程式以及整個作業系統都暴露在外,這樣一來就會受到舊漏洞或新發現的漏洞影響。不過,當企業在 IaaS 環境內設計及開發應用程式時,CSP 可強制實施一些資安最佳實務原則,進一步降低漏洞的風險以及漏洞遭攻擊的可能性。可攻擊或感染的檔案和函式庫較少,環境的生命週期也較短。儘管不太可能有傳統的漏洞,但這並不表示就沒有資安問題。所以,那還有什麼?

我們看到的大部分雲端相關資安事件都有一個共同點,那就是:組態設定錯誤。

當資安政策阻礙到使用方便性,或者讓組態設定變得複雜時,客戶就會開始放鬆政策,避開最佳實務原則。此外,在移轉至雲端、但卻缺乏雲端資安的專業能力時,就很可能將資安政策放寬。

類似的情況,在今日的雲端服務也經常看到:使用者經常藉由授予完整權限的方式來解決問題。這有可能是為了實際上的考量,通常是為了支援靈活開發、測試與疑難排解問題、將流程自動化,或者為了讓分散的團隊有足夠的存取權限來有效執行工作。不僅如此,當來自多個內部和外部來源的資料必須彙整至某個雲端平台時,有限制的存取權限容易造成問題。

然而,企業卻經常忘了在業務靈活性與資安之間取得平衡,原因不外乎是缺乏妥善的治理與資安意識,或是因為技術的快速變革。不論是選擇供無限制的存取、或是設定過度授權的身分與存取管理 (IAM) 政策,其想法都是一樣的:只要能動就好了。但這麼做卻會犧牲安全,讓系統暴露於潛在的漏洞。

雲端/容器組態設定錯誤範例

Amazon Web Services (AWS) S3 儲存貯體 (bucket):一個常見的組態設定錯誤就是為了快速分享資料而將 S3 儲存貯體的政策設定成可公開讀取/寫入。這等於讓網際網路上的任何人都能存取資料,進而導致資料外洩。

IAM 角色:為了解決權限上的問題而讓雲端專案的所有使用者都取得「擁有者」(owner) 或「系統管理員」(admin) 的角色,進而導致資安風險。這樣做會讓每一位使用者都能對該專案執行任何動作,增加了意外或惡意變更的風險。

我們很常看到 GitHub 上一些公開專案的部署或安裝檔案提供過多的權限,或是有人在 Stack Overflow 示範如何使用一個權限過度開放的組態設定來解決問題。

更嚴重的問題是,有時廠商在自己的說明文件或程式碼範例中也使用了權限過度開放的組態設定檔案。例如,在網路組態設定檔的範例中,很常見的一個作法是在啟動一個處理程序、API 或 背景處理程序時使用 0.0.0.0 作為預設的網路組態設定。視所在的環境與防火牆規則而定,這有可能讓網際網路上的任何人都能存取。

圖 2:組態設定檔案如何提供過多權限的範例。

組態設定錯誤:雲端與容器環境的新漏洞

現代化雲端與容器環境越來越複雜,使得組態設定錯誤的現象非常普遍。舉例來說,許多企業都採用了多重雲端策略,Enterprise Strategy Group (ESG) 在其 2023 年「雲端偵測及回應調查」(Cloud Detection and Response Survey) 中指出,有 69% 的受訪者至少使用了三家不同的 CSP,而且 83% 的企業已將其營業用應用程式移轉至雲端。隨著這樣的移轉持續加速,再加上每一家 CSP 都有自己的組態設定與資安控管,資安團隊要讓所有平台都能維持一致的資安變得相當挑戰。而且,隨著企業越來越仰賴多家 CSP 來運作,企業也更迫切需要強大的雲端偵測及回應 (CDR) 解決方案來支援擴充性與流程自動化。

圖 3:諸多考量下,有越來越多企業開始採用多重雲端的策略
(資料來源:2023 年趨勢科技雲端資安報告)

缺乏資安概念的快速部署與 DevOps 實務

DevOps 主打快速部署的實務方法也加深了組態設定的風險。根據同一份 ESG 報告指出,大部分的企業都在廣泛導入 DevOps 方法,使得軟體在未經充分安全檢查的情況下頻繁推出新的版本。這經常導致組態設定只聚焦在功能面而忽略了安全性,留下了駭客可能利用的漏洞。

此外,ESG 調查也指出,在 DevOps 的情境中,85% 的企業至少每週會部署一份新的版本至營運環境。這麼趕的部署時程也提高了組態設定發生錯誤的可能性。在業務需求的推動下,如此快速的軟體部署節奏經常讓資安團隊無法徹底檢查並確保組態設定的安全。

以下是雲端與容器組態設定常見的一些錯誤:

  • 缺乏認證的 API:缺乏認證的介面會讓隨便任何人都能存取和篡改資料。
  • 開放的儲存貯體:雲端儲存貯體如果設定成允許公共存取,很可能讓機敏資料曝光。
  • 在營運環境使用預設的密碼:營運環境若使用預設的密碼,不僅很容易被人猜到,而且這組密碼是公開的,所以會讓駭客很容易非法進入。
  • 傳輸資料未加密:經由網路傳輸的資料若未加密,很容易遭到攔截而外流。
  • 過多的權限:授予使用者或服務過多不必要的權限會增加遭到濫用的風險。
  • 無管制的內送連接埠:開放一些不必要的連接埠容易讓駭客利用這些連接埠來進入系統。
  • 組態設定錯誤的安全群組:權限太過寬鬆的安全群組規則可能引來不必要的流量。
  • 暴露在外的管理主控台:管理介面如果暴露在網際網路上而沒有適當的存取控管,將成為駭客入侵的目標。
  • 過時的軟體與相依元件:執行老舊、已知含有漏洞的軟體版本,會讓系統暴露於漏洞攻擊,導致資料外洩,並影響功能的運作。
  • 缺乏網路分割:缺乏網路分割會讓駭客更容易在網內部橫向移動,增加駭客全面入侵的風險。

以下是組態設定錯誤一旦遭駭客利用或攻擊可能帶來的後果:

  • 資料外洩:無須經過授權便可存取機敏資料會讓駭客將機密資訊外洩並濫用。
  • 帳號被盜:駭客可能取得帳號的控制權,進而從事惡意活動。
  • 虛擬加密貨幣挖礦:駭客可能非法使用運算資源來挖礦,不僅耗費資源,更會影響效能。
  • 阻斷服務 (DoS) 攻擊:遭到癱瘓的服務將變得無法使用,影響合法使用者的權益。
  • 資料損失:關鍵資料遭到刪除或毀損可能導致關鍵資訊無法回復。
  • 違反法規:無法妥善保護資料將違反法規,引來罰款或法律後果。
  • 提升權限:駭客一旦取得更高的權限,就有可能存取更多關鍵的系統和資料。
  • 服務中斷:遭入侵的服務有可能因而中斷,進而影響企業營運和生產力。
  • 智慧財產遭竊:智慧財產若遭駭客竊取,駭客就能利用商業機密來打擊企業的競爭力。
  • 財務損失:復原工作及品牌形象受損所帶來的成本,將對企業造成直接和間接的財務損失。

駭客利用組態設定錯誤的案例

駭客非常了解組態設定錯誤相當普遍的現況,並且正積極地利用這項弱點。趨勢科技研究指出了這類情況的衝擊:

  • Kong API 閘道組態設定錯誤:我們的一份研究指出了駭客如何利用 Kong API 閘道的組態設定錯誤來非法存取 API 與機敏資料。這類組態設定錯誤常見的情況包括:缺乏認證機制以及存取控管不足,使得駭客能夠操弄 API 流量並從中擷取寶貴資訊。
  • Apache APISIX 攻擊:另一份針對 Apache APISIX 的研究也指出駭客如何利用預設和錯誤的組態設定來滲透系統。像這樣的漏洞通常是因為系統管理員未變更預設的設定,或者未妥善保護 API 閘道而導致嚴重的資安事件。

組態設定錯誤與傳統漏洞的差別

組態設定錯誤通常比傳統漏洞更為普遍,因為更容易發生。光一個組態設定錯誤就可能讓整個應用程式或資料暴露在外,反觀傳統的漏洞則通常需要透過精密的攻擊技巧。根據 ESG 的報告,幾乎所有的企業在過去一年中都曾經發生雲端資安事件,其中許多都跟組態設定錯誤有關。Telus 的 2023 年「雲端資安現況」(State of Cloud Security) 報告也證實了這點,並指出 74% 的企業機構至少都曾經發生過一次組態設定錯誤所導致的重大資安事件。

儘管不是絕對,但相較於攻擊傳統的漏洞,攻擊組態設定錯誤所需的技術能力較低。例如,一個組態設定錯誤的 Amazon S3 儲存貯體,任何人只要能拿到網址就能存取。反觀要攻擊一個緩衝區溢位漏洞,則需要對相關軟體與環境非常熟悉。

此外,Telus 的報告也指出,有將近 50% 的雲端資安事件都源自於可預防的組態設定錯誤,例如:未變更預設設定,或是授予使用者或服務過多權限。這些問題通常是因為疏失或不了解某些組態設定的資安意義所致。同一份研究也指出有 95% 的企業機構表示經常遇到這類組態設定錯誤。

該報告還指出,在所有雲端資安事件的發生原因當中,零時差漏洞攻擊是排行最低的原因,但卻通常獲得最多關注。反而組態設定錯誤還更為常見,並且對雲端和容器環境帶來的威脅更大。

圖 4:企業將組態設定錯誤列為資料外洩的首要問題。
(資料來源:2023 年趨勢科技雲端資安報告)

組態設定錯誤與傳統的漏洞兩者都可能帶來嚴重衝擊,但組態設定錯誤的衝擊範圍更廣。已經有多起知名案例證明,組態設定錯誤的雲端儲存服務可能導致大規模的資料外洩,影響數百萬使用者。傳統的漏洞也許會讓駭客深入系統,但他們通常需要更多額外步驟才能造成同樣的衝擊。

組態設定錯誤:真實世界的衝擊與範例

2019 年的 Captial One 事件就是組態設定導致嚴重資安事件的最知名範例。該事件是由於某個網站應用程式防火牆的組態設定錯誤所導致,駭客因此取得了超過 1 億筆儲存在 Amazon S3 當中的客戶資料。此次事件不僅外洩了敏感的個人資訊,也突顯出雲端環境迫切需要適當的組態設定管理。

在另一起案例中,Tesla 一個缺乏密碼保護的 Kubernetes 主控台不小心暴露在外,使得駭客利用 Tesla 的雲端資源來開挖虛擬加密貨幣。這次事件突顯出保護系統管理介面並確保容器環境存取控管的重要性。

趨勢科技也曾撰文探討過駭客利用 Docker API 組態設定錯誤來散播挖礦惡意程式與殭屍網路的案例。這些組態設定錯誤讓駭客進入了 Docker 容器並使用容器中的資源來從事惡意活動。

多年來,組態設定錯誤一直是雲端的首要威脅。例如,趨勢科技一份 2020 年所做的研究即發現組態設定錯誤是雲端資安的最大威脅。另一份「雲端資安聯盟」(Cloud Security Alliance,簡稱 CSA) 的 2022 年報告也強調組態設定錯誤一直無法根除是雲端資安事件的首要原因。2023 年,Telus 的報告將組態設定錯誤列為雲端環境最嚴重的風險。

組態設定錯誤有可能帶來重大財物損失,其直接的成本包括:違反法規的罰款,以及事件回應與矯正作業的成本。除此之外,損失客戶信任、品牌形象,以及潛在的商機損失也可能帶來間接的成本。

根據 Telus 報告的估計,一起組態設定錯誤所引發的雲端資安事件,其平均成本大約是 386 萬美元。IBM 的 2023 年報告中也指出,美國一起資料外洩事件的平均成本大約是 944 萬美元,其中包含了營收損失以及稽核與矯正費用。在 2018 與 2019 年,雲端組態設定錯誤所造成的資安事件大約為企業帶來了將近 5 兆美元的損失。

組態設定錯誤也可能衍生違反法規的後果,監理機關對於雲端資安實務的監督越來越嚴格。例如「通用資料保護法」(General Data Protection Regulation,簡稱 GDPR)、「加州消費者隱私權法案」(California Consumer Privacy Act,簡稱 CCPA) 以及「健康保險可攜性與責任法案」(Health Insurance Portability and Accountability Act,簡稱 HIPAA) 都對資料的保護與隱私權制定了嚴格的規範,而且違反這些法規將導致巨額的罰款。

以 Capital One 的案例為例,該公司被罰了8 千萬美元,並且還同意額外支付 1,900 萬美元的和解金。根據 ESG 報告,將近 31% 的企業機構表示曾因為雲端資安事件而違反法規。另一份調查也指出,有 50% 的資安與 DevOps 人員表示其雲端環境因組態設定錯誤、違反法規以及不安全的 API 所造成的停機時間變長。

解決雲端與容器組態設定錯誤的問題:資安最佳實務與方法

自動化與持續監控

手動設定組態很容易發生人為錯誤,自動化可確保所有環境都套用一致的資安政策與組態設定。此外,也可採用一些方法透過程式的方式定義資安設定,這有助於將設定一致地強制套用到開發、測試及營運環境。還有一些工具可用來自動矯正組態設定的偏移 (也就是 IT 環境長期下來因為手動變更或更新而偏離預期狀態的情況),確保基礎架構隨時符合資安政策。此外,自動化的資安測試也有助於提早在開發階段偵測組態設定錯誤。

自動化與持續監控能提供立即、一致、可擴充的方式來管理組態設定並防範風險。這也難怪資料隱私權與雲端式資安解決方案會成為企業優先投資的重點。隨著雲端及 AI 技術的不斷普及,Gartner 預測這類投資將在 2024 年增加 24% 以上。

資安意識與教育訓練

資安意識與教育訓練是維持雲端與容器環境安全不可或缺的一環,重視定期教育訓練,並且將資安最佳實務原則融入日常營運當中,企業就能大幅減少組態設定錯誤的發生,並且改善資安事件的回應速度,確保其團隊擁有充分的能力來應付不斷演變的資安挑戰。事實上,SANS Institute 的一份調查指出,那些會定期舉辦資安意識訓練的企業最多可減少  70% 的資安事件。

Telus 的報告指出,僅有 37% 的受訪企業擁有專責的雲端網路資安人員。而 ISC2 也強調,35% 的企業都認為雲端運算的安全是人才極度缺乏的領域。在我們針對歐盟地區網路資安人員所做的「2023 年雲端資安調查」中,受訪者提到了一些關鍵的技能,例如:了解各種雲端資安相關的法規遵循要求,以及涵蓋各種雲端環境的資安管理。所以,訓練有素的團隊,應該可以解決一部分的問題。

實施 DevSecOps

將資安整合至 DevOps 流程,也就是所謂的「DevSecOps」,將確保資安能融入開發流程的每一階段。

DevSecOps 的作法有助於整合快速開發方法與嚴密的資安。根據 GitLab 的「2024 年全球 DevSecOps 報告」(Global DevSecOps Report),受訪的開發團隊有 54% 已建置了整合式 DevSecOps 平台,大幅提升了開發人員的生產力以及營運的效率。不僅如此,導入 DevSecOps 方法的企業 (例如在 CI/CD 流程當中執行自動化資安檢查與持續監控),有四倍的機率可在一天之內執行多次部署,充分展現出這套方法所帶來的效率。

根據一份 Gartner 的 Peer Community 調查表示,已導入 DevSecOps 的企業有 66% 減少了資安事件的發生,另有 58% 改善了法規遵循的評鑑分數。

雲端與容器資安的未來樣貌

隨著企業持續移轉至雲端並採用容器,人工智慧 (AI) 與機器學習 (ML) 將不再是選配,而是資安的核心要素。這些技術能強化組態設定錯誤的偵測,發掘一些可能帶來資安風險的行為與異常情況。此外,AI 與 ML 還能自動矯正發現到的問題,減少維持組態設定安全的時間和人力。例如,DevSecOps 工具已經加入了 AI 和 ML 來將整個開發生命週期的組態設定錯誤與漏洞掃描自動化。

另一方面,企業在導入 AI 與 ML 時也必須小心謹慎 ,因為它們也可能帶來新的挑戰、複雜性,並暴露於資安風險。企業首先應建立治理框架來確保 AI 和 ML 工具都能安全地整合至雲端環境並受到妥善管理。

還有一個正在崛起的趨勢就是使用強化式雲端資安狀況管理 (CSPM) 工具來應付日益複雜而眾多的要求,並矯正雲端系統與基礎架構 (如 IaaS、SaaS、PaaS) 的組態設定錯誤。例如,CSPM 工具可整合多重雲端環境的可視性,同時也能自動強制執行資安政策。雖然這對使用多家雲端服務廠商的企業特別有用,但如果建置不當,也有可能成為一把雙面刃。

此外,許多企業現在也都在導入零信任架構來防範組態設定錯誤的風險。根據 Gartner 指出,在他們訪問的全球領導人當中,有 63% 表示他們已經在業務營運全面或部分導入了零信任策略。

零信任模型是假設沒有使用者或裝置天生就值得信任,因此每一次的存取請求,無論來自何方,都必須當成來自開放網路一樣進行驗證。這套模型需要嚴格的身分驗證與持續的監控,所以駭客將更難利用組態設定錯誤來入侵。

儘管零信任方法被視為一種業界最佳實務原則,但企業仍應小心判斷自己該建置的範圍,並評估其成效。例如,同一份 Gartner 調查指出,35% 的企業表示他們都曾遇到嚴重影響其建置的失敗情況。更糟糕的是,根據預測,到了 2026 年,75% 的企業都會將未受管理、老舊以及網宇實體系統 (cyber-physical system) 排除在零信任策略之外,因為這些系統大多負責企業內的某些特殊關鍵作業。然而這些系統卻經常出現組態設定錯誤及漏洞的問題。為了解決這樣的挑戰,最重要的就是要採用全方位又具備適應能力的資安解決方案來彌補這些缺口,並確保企業的雲端及 IT 環境能安全地與那些無法被零信任原則所直接管理的系統共存。

今日的組態設定錯誤將成為明日的重大漏洞

隨著企業將營運移轉至雲端,甚至進一步透過軟體服務 (SaaS) 的方式邁向雲端原生應用程式,組態設定錯誤的將成為與傳統漏洞一樣嚴重、甚至更為嚴重的問題。

2020 年,趨勢科技正確預測了組態設定錯誤將成為未來的資安挑戰。當然,漏洞絕對不會在舞台上消失,有時候甚至會與組態設定錯誤聯手,但後者肯定也將扮演要角。要解決資安問題,雲端系統管理員必須隨時具備資安意識,而資安團隊也必須適應那些無法淘汰老舊資安技術的平台。

昨日與今日的組態設定錯誤,有可能變成企業明日潛伏且代價昂貴的嚴重漏洞。企業必須優先建立嚴格的組態設定管理實務、持續監控,並且將資安自動化來有效防範這些風險。定期的資安訓練以及採用 DevSecOps 方法同樣也應成為任何雲端策略的一環。最後,導入有效的零信任原則以及 AI 與 ML 來主動偵測及矯正威脅,同樣也可進一步改善資安狀況。

原文出處:Today’s Cloud and Container Misconfigurations Are Tomorrow’s Critical Vulnerabilities