云安全主要受到了哪里的威脅

如今，越來(lái)越多的企業(yè)正在將數(shù)據(jù)和應(yīng)用程序遷移到云中，這帶來(lái)了獨(dú)特的信息安全挑戰(zhàn)。而企業(yè)在使用云計(jì)算服務(wù)時(shí)將面臨11個(gè)主要的云安全威脅。

云計(jì)算繼續(xù)改變企業(yè)使用、存儲(chǔ)和共享數(shù)據(jù)、應(yīng)用程序、工作負(fù)載的方式。它還帶來(lái)了許多新的安全威脅和挑戰(zhàn)。隨著大量數(shù)據(jù)進(jìn)入云計(jì)算（尤其是公共云服務(wù)），這些資源自然成為不良行為者的目標(biāo)。

調(diào)研機(jī)構(gòu)Gartner公司副總裁兼云安全負(fù)責(zé)人Jay Heiser表示，“公共云應(yīng)用正在迅速增長(zhǎng)，因此不可避免地導(dǎo)致敏感信息面臨更多的潛在風(fēng)險(xiǎn)?！?/p>

與許多人的想法相反，保護(hù)企業(yè)在云中數(shù)據(jù)的主要責(zé)任不在于服務(wù)提供商，而在于客戶本身。Heiser表示，“我們正處于一個(gè)云安全過(guò)渡期，在這個(gè)過(guò)渡期內(nèi)，人們的注意力正從提供商轉(zhuǎn)向客戶。很多企業(yè)正在認(rèn)識(shí)到，花大量時(shí)間試圖弄清楚某個(gè)云計(jì)算服務(wù)提供商是否‘安全’實(shí)際上沒有回報(bào)?！?/p>

為了使組織對(duì)云安全問(wèn)題有最新的了解，以便他們可以就云采用策略做出有根據(jù)的決策，云安全聯(lián)盟（CSA）發(fā)布了其最新版本的《云計(jì)算的11個(gè)最大威脅報(bào)告》。

該報(bào)告反映了云安全聯(lián)盟（CSA）社區(qū)中的安全專家之間當(dāng)前就云中最重要的安全問(wèn)題達(dá)成的共識(shí)。云安全聯(lián)盟（CSA）表示，盡管云中存在許多安全問(wèn)題，但這個(gè)列表主要關(guān)注11個(gè)與云計(jì)算的共享、按需特性相關(guān)的問(wèn)題。

去年的調(diào)查報(bào)告中列出的幾項(xiàng)威脅排名今年有所下降，其中包括拒絕服務(wù)、共享技術(shù)漏洞、云計(jì)算服務(wù)提供商數(shù)據(jù)丟失和系統(tǒng)漏洞。報(bào)告指出，“調(diào)查表明，由云計(jì)算服務(wù)提供商負(fù)責(zé)的傳統(tǒng)安全問(wèn)題似乎不那么令人擔(dān)憂。相反，我們看到更多的是需要解決位于技術(shù)堆棧更高層的安全問(wèn)題，是高級(jí)管理層決策的結(jié)果。”

為了確定人們更為關(guān)注的問(wèn)題，云安全聯(lián)盟（CSA）對(duì)行業(yè)專家進(jìn)行了一項(xiàng)調(diào)查，以就云計(jì)算中最大的安全性問(wèn)題收集專業(yè)意見。以下是主要的云安全性問(wèn)題（按調(diào)查結(jié)果的嚴(yán)重性順序依次排列）：

1.數(shù)據(jù)泄露

數(shù)據(jù)泄露的威脅在去年的調(diào)查中仍然保持其首要的位置。不難理解其原因，因?yàn)閿?shù)據(jù)泄露可能會(huì)嚴(yán)重?fù)p害企業(yè)的聲譽(yù)和財(cái)務(wù)。它們可能會(huì)導(dǎo)致知識(shí)產(chǎn)權(quán)（IP）損失和重大法律責(zé)任。

云安全聯(lián)盟（CSA）關(guān)于數(shù)據(jù)泄露威脅的關(guān)鍵要點(diǎn)包括：

攻擊者需要獲取數(shù)據(jù)，因此企業(yè)需要定義其數(shù)據(jù)的價(jià)值及其丟失的影響。

誰(shuí)有權(quán)訪問(wèn)數(shù)據(jù)是解決保護(hù)數(shù)據(jù)的關(guān)鍵問(wèn)題。

通過(guò)全球互聯(lián)網(wǎng)可訪問(wèn)的數(shù)據(jù)最容易受到錯(cuò)誤配置或利用。

加密可以保護(hù)數(shù)據(jù)，但需要在性能和用戶體驗(yàn)之間進(jìn)行權(quán)衡。

企業(yè)需要考慮云服務(wù)提供商經(jīng)過(guò)測(cè)試的可靠事件響應(yīng)計(jì)劃。

2.配置錯(cuò)誤和變更控制不足

配置錯(cuò)誤和變更控制不足是對(duì)云安全聯(lián)盟（CSA）列表的新威脅，考慮到許多企業(yè)意外地通過(guò)云計(jì)算泄露數(shù)據(jù)的例子，這不足為奇。例如，云安全聯(lián)盟（CSA）引用了Exactis事件，云計(jì)算提供商因配置錯(cuò)誤開放了ElasTIcsearch數(shù)據(jù)庫(kù)，其中包含2.3億名美國(guó)消費(fèi)者的個(gè)人數(shù)據(jù)，可供公眾訪問(wèn)。由于備份服務(wù)器配置不正確，其威脅與數(shù)據(jù)泄露一樣嚴(yán)重， Level One RoboTIcs公司泄露了100多家制造公司的IP。

云安全聯(lián)盟（CSA）表示，這不僅僅是企業(yè)必須關(guān)注的數(shù)據(jù)丟失，還有為了破壞業(yè)務(wù)而刪除或修改資源。報(bào)告將大部分錯(cuò)誤配置歸咎于糟糕的變更控制實(shí)踐。

云安全聯(lián)盟（CSA）關(guān)于配置錯(cuò)誤和變更控制不力的關(guān)鍵要點(diǎn)包括：

基于云計(jì)算的資源的復(fù)雜性使其難以配置。

不要期望傳統(tǒng)的控制和變更管理方法在云中有效。

使用自動(dòng)化和技術(shù)，這些技術(shù)會(huì)持續(xù)掃描錯(cuò)誤配置的資源。

3.缺乏云安全架構(gòu)和策略

這個(gè)問(wèn)題從云計(jì)算出現(xiàn)時(shí)就一直存在，但今年已成為云安全聯(lián)盟（CSA）的新問(wèn)題。將系統(tǒng)和數(shù)據(jù)遷移到云中所需的時(shí)間最小化的愿望通常優(yōu)先于安全性。因此，該公司可以使用非針對(duì)其設(shè)計(jì)的安全性基礎(chǔ)設(shè)施和策略在云中運(yùn)營(yíng)。這出現(xiàn)在2019年的清單上的事實(shí)表明，更多的企業(yè)意識(shí)到這是一個(gè)值得關(guān)注的問(wèn)題。

云安全聯(lián)盟（CSA）關(guān)于缺乏云安全架構(gòu)和策略的關(guān)鍵要點(diǎn)包括：

安全體系結(jié)構(gòu)需要與業(yè)務(wù)目標(biāo)保持一致。

開發(fā)和實(shí)施安全體系結(jié)構(gòu)框架。

保持威脅模型為最新版本。

部署連續(xù)監(jiān)視功能。

4.身份、憑證、訪問(wèn)和密鑰管理不力

列表中的另一個(gè)新威脅是對(duì)數(shù)據(jù)、系統(tǒng)和物理資源（如服務(wù)器機(jī)房和建筑物）的訪問(wèn)管理和控制不力。該報(bào)告指出，云計(jì)算要求企業(yè)改變與身份和訪問(wèn)管理（IAM）有關(guān)的做法。沒有這樣做的后果可能導(dǎo)致安全事件和破壞，其原因是：

憑據(jù)保護(hù)不足

缺乏自動(dòng)輪換密碼密鑰、密碼和證書的功能

缺乏可擴(kuò)展性

無(wú)法使用多因素身份驗(yàn)證

無(wú)法使用強(qiáng)密碼

云安全聯(lián)盟（CSA）關(guān)于身份、證書、訪問(wèn)和密鑰管理不足的關(guān)鍵要點(diǎn)包括：

安全帳戶，包括使用雙因素身份驗(yàn)證

限制使用root帳戶

根據(jù)業(yè)務(wù)需求和最低特權(quán)原則，隔離和細(xì)分帳戶、虛擬私有云和身份組

采用程序化、集中式方法進(jìn)行密鑰輪換。

刪除未使用的憑據(jù)和訪問(wèn)權(quán)限。

5.帳戶劫持

帳戶劫持仍然是今年第五大云威脅。隨著網(wǎng)絡(luò)釣魚嘗試變得更加有效和更具針對(duì)性，攻擊者獲得高權(quán)限帳戶訪問(wèn)權(quán)的風(fēng)險(xiǎn)非常大。網(wǎng)絡(luò)釣魚并不是攻擊者獲取憑據(jù)的唯一方法。他們還可以通過(guò)其他方式竊取賬戶。

一旦攻擊者可以使用合法帳戶進(jìn)入系統(tǒng)，他們就可能造成大量破壞，其中包括盜竊或破壞重要數(shù)據(jù)、中止服務(wù)交付或財(cái)務(wù)欺詐。云安全聯(lián)盟（CSA）建議對(duì)用戶進(jìn)行帳戶劫持的危險(xiǎn)和跡象的培訓(xùn)和教育，以最大程度地降低風(fēng)險(xiǎn)。

云安全聯(lián)盟（CSA）關(guān)于帳戶劫持的關(guān)鍵要點(diǎn)包括：

帳戶憑據(jù)被盜后，不僅要重置密碼。需要從根本原因入手解決問(wèn)題。

深度防御方法和強(qiáng)大的身份識(shí)別與訪問(wèn)管理（IAM）控制是最好的防御方法。

6.內(nèi)部威脅

來(lái)自受信任內(nèi)部人員的威脅在云中與內(nèi)部部署系統(tǒng)一樣嚴(yán)重。組織內(nèi)部人員可以是現(xiàn)任或前任員工、承包商或可信賴的業(yè)務(wù)合作伙伴，這些是無(wú)需突破公司防御即可訪問(wèn)其系統(tǒng)的任何人。

內(nèi)部人士造成的損害并不一定懷有惡意，他們可能會(huì)無(wú)意間使數(shù)據(jù)和系統(tǒng)面臨風(fēng)險(xiǎn)。云安全聯(lián)盟（CSA）引用了波洛蒙研究所的2018年內(nèi)部威脅成本研究報(bào)告，該報(bào)告指出，報(bào)告的所有內(nèi)部事件中有64%是由于員工或承包商的疏忽所致。這種疏忽可能包括配置錯(cuò)誤的云計(jì)算服務(wù)器，在個(gè)人設(shè)備上存儲(chǔ)敏感數(shù)據(jù)，或成為網(wǎng)絡(luò)釣魚電子郵件的受害者。

云安全聯(lián)盟（CSA）關(guān)于內(nèi)部威脅的關(guān)鍵要點(diǎn)包括：

對(duì)員工進(jìn)行有關(guān)正確做法的培訓(xùn)和教育，以保護(hù)數(shù)據(jù)和系統(tǒng)。使教育成為一個(gè)持續(xù)的過(guò)程。

定期審核和修復(fù)配置錯(cuò)誤的云計(jì)算服務(wù)器。

限制對(duì)關(guān)鍵系統(tǒng)的訪問(wèn)。

7.不安全的接口和API

不安全的接口和API從去年的第三名跌至第七名。2018年發(fā)生了眾所周知的Facebook數(shù)據(jù)泄露事件，影響了全秋5000多萬(wàn)個(gè)帳戶，這是其查看方式功能中引入的漏洞的結(jié)果。尤其是當(dāng)與用戶界面相關(guān)聯(lián)時(shí)，API漏洞可以為攻擊者提供竊取用戶或員工憑據(jù)的清晰途徑。

云安全聯(lián)盟（CSA）報(bào)告指出，企業(yè)需要了解API和用戶界面是系統(tǒng)中最容易暴露的部分，并且鼓勵(lì)通過(guò)設(shè)計(jì)方法來(lái)構(gòu)建它們來(lái)保證安全性。

云安全聯(lián)盟（CSA）關(guān)于不安全的接口和API的關(guān)鍵要點(diǎn)包括：

采取良好的API做法，例如監(jiān)督庫(kù)存、測(cè)試、審計(jì)和異?；顒?dòng)保護(hù)等項(xiàng)目。

保護(hù)API密鑰并避免重用。

考慮開放的API框架，例如開放云計(jì)算接口（OCCI）或云基礎(chǔ)設(shè)施管理接口（CIMI）。

8.控制平臺(tái)薄弱

控制平臺(tái)涵蓋了數(shù)據(jù)復(fù)制、遷移和存儲(chǔ)的過(guò)程。根據(jù)云安全聯(lián)盟（CSA）的說(shuō)法，如果負(fù)責(zé)這些過(guò)程的人員無(wú)法完全控制數(shù)據(jù)基礎(chǔ)設(shè)施的邏輯、安全性和驗(yàn)證，則控制平臺(tái)將很薄弱。管理人員需要了解安全配置、數(shù)據(jù)流向以及架構(gòu)盲點(diǎn)或弱點(diǎn)。否則可能會(huì)導(dǎo)致數(shù)據(jù)泄漏、數(shù)據(jù)不可用或數(shù)據(jù)損壞。

云安全聯(lián)盟（CSA）關(guān)于控制平臺(tái)薄弱的關(guān)鍵要點(diǎn)括：

確保云計(jì)算服務(wù)提供商提供了履行法律和法定義務(wù)所需的安全控制。

進(jìn)行盡職調(diào)查，以確保云計(jì)算服務(wù)提供商擁有足夠的控制平臺(tái)。

9.元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)故障

云計(jì)算服務(wù)提供商的元結(jié)構(gòu)保存有關(guān)如何保護(hù)其系統(tǒng)的安全信息，并通過(guò)API調(diào)用公開該信息。云安全聯(lián)盟（CSA）將元結(jié)構(gòu)稱為云服務(wù)提供商/客戶的“分界線”。API幫助客戶檢測(cè)未經(jīng)授權(quán)的訪問(wèn)，但還包含高度敏感的信息，例如日志或?qū)徍讼到y(tǒng)數(shù)據(jù)。

這條“分界線”也是潛在的故障點(diǎn)，可能使攻擊者能夠訪問(wèn)數(shù)據(jù)或破壞云客戶。API實(shí)施不佳通常是導(dǎo)致漏洞的原因。云安全聯(lián)盟（CSA）指出，例如，不成熟的云計(jì)算服務(wù)提供商可能不知道如何正確地向其客戶提供API。

另一方面，客戶可能不了解如何正確實(shí)施云計(jì)算應(yīng)用程序。當(dāng)他們連接非為云環(huán)境設(shè)計(jì)的應(yīng)用程序時(shí)，尤其如此。

云安全聯(lián)盟（CSA）關(guān)于元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)失敗的關(guān)鍵要點(diǎn)包括：

確保云計(jì)算服務(wù)提供商提供可見性，并公開緩解措施。

在云原生設(shè)計(jì)中實(shí)施適當(dāng)?shù)墓δ芎涂丶?/p>

確保云計(jì)算服務(wù)提供商進(jìn)行滲透測(cè)試并向客戶提供發(fā)現(xiàn)結(jié)果。

10.云計(jì)算使用情況有限的可見性

安全專業(yè)人員普遍抱怨云計(jì)算環(huán)境使他們對(duì)檢測(cè)和防止惡意活動(dòng)所需的許多數(shù)據(jù)視而不見。云安全聯(lián)盟（CSA）將這種有限的使用可見性挑戰(zhàn)分為兩類：未經(jīng)批準(zhǔn)的應(yīng)用程序使用和未經(jīng)批準(zhǔn)的應(yīng)用程序?yàn)E用。

許可的應(yīng)用程序?yàn)E用可能是使用許可的應(yīng)用程序的授權(quán)人員或使用被盜憑據(jù)的外部威脅參與者。云安全聯(lián)盟（CSA）報(bào)告稱，安全團(tuán)隊(duì)需要能夠通過(guò)檢測(cè)異常行為來(lái)區(qū)分有效用戶和無(wú)效用戶。

云安全聯(lián)盟（CSA）關(guān)于有限的云使用可見性的關(guān)鍵要點(diǎn)包括：

從上到下開發(fā)與人員、流程和技術(shù)相關(guān)的云計(jì)算可見性工作。

在組織范圍內(nèi)進(jìn)行強(qiáng)制性培訓(xùn)，了解可接受的云使用政策和執(zhí)行情況。

讓云安全架構(gòu)師或第三方風(fēng)險(xiǎn)管理人員查看所有未經(jīng)批準(zhǔn)的云服務(wù)。

投資云訪問(wèn)安全代理（CASB）或軟件定義的網(wǎng)關(guān)（SDG），以分析出站活動(dòng)。

投資Web應(yīng)用程序防火墻以分析入站連接。

在整個(gè)組織中實(shí)施零信任模型。

11.濫用和惡意使用云計(jì)算服務(wù)

攻擊者越來(lái)越多地使用合法的云計(jì)算服務(wù)來(lái)支持其活動(dòng)。例如，他們可能使用云計(jì)算服務(wù)在GitHub等站點(diǎn)上托管偽裝的惡意軟件，發(fā)起DDoS攻擊，分發(fā)網(wǎng)絡(luò)釣魚電子郵件，挖掘數(shù)字貨幣，執(zhí)行自動(dòng)點(diǎn)擊欺詐或進(jìn)行暴力攻擊以竊取憑據(jù)。

云安全聯(lián)盟（CSA）表示，云計(jì)算服務(wù)提供商應(yīng)有適當(dāng)?shù)木徑獯胧?，以防止和發(fā)現(xiàn)濫用行為，例如付款工具欺詐或?yàn)E用云計(jì)算服務(wù)。對(duì)于云計(jì)算提供商來(lái)說(shuō)，建立事件響應(yīng)框架以應(yīng)對(duì)濫用并允許客戶報(bào)告濫用也很重要。

云安全聯(lián)盟（CSA）關(guān)于濫用和濫用云服務(wù)的關(guān)鍵要點(diǎn)包括：

監(jiān)控員工的云計(jì)算使用情況是否受到濫用。

使用云計(jì)算數(shù)據(jù)丟失防護(hù)（DLP）解決方案來(lái)監(jiān)視和阻止數(shù)據(jù)泄露。

來(lái)源： 企業(yè)網(wǎng)D1Net