云計算繼續(xù)改變企業(yè)使用、存儲和共享數(shù)據(jù)、應用程序、工作負載的方式。它還帶來了許多新的安全威脅和挑戰(zhàn)。隨著大量數(shù)據(jù)進入云計算(尤其是公共云服務)，這些資源自然成為不良行為者的目標。

 

調(diào)研機構(gòu)Gartner公司副總裁兼云安全負責人Jay Heiser表示，“公共云應用正在迅速增長，因此不可避免地導致敏感信息面臨更多的潛在風險。”

 

與許多人的想法相反，保護企業(yè)在云中數(shù)據(jù)的主要責任不在于服務提供商，而在于客戶本身。Heiser表示，“我們正處于一個云安全過渡期，在這個過渡期內(nèi)，人們的注意力正從提供商轉(zhuǎn)向客戶。很多企業(yè)正在認識到，花大量時間試圖弄清楚某個云計算服務提供商是否‘安全’實際上沒有回報。”

 

為了使組織對云安全問題有最新的了解，以便他們可以就云采用策略做出有根據(jù)的決策，云安全聯(lián)盟(CSA)發(fā)布了其最新版本的《云計算的11個最大威脅報告》。

 

該報告反映了云安全聯(lián)盟(CSA)社區(qū)中的安全專家之間當前就云中最重要的安全問題達成的共識。云安全聯(lián)盟(CSA)表示，盡管云中存在許多安全問題，但這個列表主要關注11個與云計算的共享、按需特性相關的問題。

 

去年的調(diào)查報告中列出的幾項威脅排名今年有所下降，其中包括拒絕服務、共享技術(shù)漏洞、云計算服務提供商數(shù)據(jù)丟失和系統(tǒng)漏洞。報告指出，“調(diào)查表明，由云計算服務提供商負責的傳統(tǒng)安全問題似乎不那么令人擔憂。相反，我們看到更多的是需要解決位于技術(shù)堆棧更高層的安全問題，是高級管理層決策的結(jié)果。”

 

為了確定人們更為關注的問題，云安全聯(lián)盟(CSA)對行業(yè)專家進行了一項調(diào)查，以就云計算中最大的安全性問題收集專業(yè)意見。以下是主要的云安全性問題(按調(diào)查結(jié)果的嚴重性順序依次排列)：

 

1.數(shù)據(jù)泄露

 

數(shù)據(jù)泄露的威脅在去年的調(diào)查中仍然保持其首要的位置。不難理解其原因，因為數(shù)據(jù)泄露可能會嚴重損害企業(yè)的聲譽和財務。它們可能會導致知識產(chǎn)權(quán)(IP)損失和重大法律責任。

 

云安全聯(lián)盟(CSA)關于數(shù)據(jù)泄露威脅的關鍵要點包括：

 

•攻擊者需要獲取數(shù)據(jù)，因此企業(yè)需要定義其數(shù)據(jù)的價值及其丟失的影響。

 

•誰有權(quán)訪問數(shù)據(jù)是解決保護數(shù)據(jù)的關鍵問題。

 

•通過全球互聯(lián)網(wǎng)可訪問的數(shù)據(jù)最容易受到錯誤配置或利用。

 

•加密可以保護數(shù)據(jù)，但需要在性能和用戶體驗之間進行權(quán)衡。

 

•企業(yè)需要考慮云服務提供商經(jīng)過測試的可靠事件響應計劃。

 

2.配置錯誤和變更控制不足

 

配置錯誤和變更控制不足是對云安全聯(lián)盟(CSA)列表的新威脅，考慮到許多企業(yè)意外地通過云計算泄露數(shù)據(jù)的例子，這不足為奇。例如，云安全聯(lián)盟(CSA)引用了Exactis事件，云計算提供商因配置錯誤開放了Elasticsearch數(shù)據(jù)庫，其中包含2.3億名美國消費者的個人數(shù)據(jù)，可供公眾訪問。由于備份服務器配置不正確，其威脅與數(shù)據(jù)泄露一樣嚴重， Level One Robotics公司泄露了100多家制造公司的IP。

 

云安全聯(lián)盟(CSA)表示，這不僅僅是企業(yè)必須關注的數(shù)據(jù)丟失，還有為了破壞業(yè)務而刪除或修改資源。報告將大部分錯誤配置歸咎于糟糕的變更控制實踐。

 

云安全聯(lián)盟(CSA)關于配置錯誤和變更控制不力的關鍵要點包括：

 

•基于云計算的資源的復雜性使其難以配置。

 

•不要期望傳統(tǒng)的控制和變更管理方法在云中有效。

 

•使用自動化和技術(shù)，這些技術(shù)會持續(xù)掃描錯誤配置的資源。

 

3.缺乏云安全架構(gòu)和策略

 

這個問題從云計算出現(xiàn)時就一直存在，但今年已成為云安全聯(lián)盟(CSA)的新問題。將系統(tǒng)和數(shù)據(jù)遷移到云中所需的時間最小化的愿望通常優(yōu)先于安全性。因此，該公司可以使用非針對其設計的安全性基礎設施和策略在云中運營。這出現(xiàn)在2019年的清單上的事實表明，更多的企業(yè)意識到這是一個值得關注的問題。

 

云安全聯(lián)盟(CSA)關于缺乏云安全架構(gòu)和策略的關鍵要點包括：

 

•安全體系結(jié)構(gòu)需要與業(yè)務目標保持一致。

 

•開發(fā)和實施安全體系結(jié)構(gòu)框架。

 

•保持威脅模型為最新版本。

 

•部署連續(xù)監(jiān)視功能。

 

4.身份、憑證、訪問和密鑰管理不力

 

列表中的另一個新威脅是對數(shù)據(jù)、系統(tǒng)和物理資源(如服務器機房和建筑物)的訪問管理和控制不力。該報告指出，云計算要求企業(yè)改變與身份和訪問管理(IAM)有關的做法。沒有這樣做的后果可能導致安全事件和破壞，其原因是：

 

•憑據(jù)保護不足

 

•缺乏自動輪換密碼密鑰、密碼和證書的功能

 

•缺乏可擴展性

 

•無法使用多因素身份驗證

 

•無法使用強密碼

 

云安全聯(lián)盟(CSA)關于身份、證書、訪問和密鑰管理不足的關鍵要點包括：

 

•安全帳戶，包括使用雙因素身份驗證

 

•限制使用root帳戶

 

•根據(jù)業(yè)務需求和最低特權(quán)原則，隔離和細分帳戶、虛擬私有云和身份組

 

•采用程序化、集中式方法進行密鑰輪換。

 

•刪除未使用的憑據(jù)和訪問權(quán)限。

 

5.帳戶劫持

 

帳戶劫持仍然是今年第五大云威脅。隨著網(wǎng)絡釣魚嘗試變得更加有效和更具針對性，攻擊者獲得高權(quán)限帳戶訪問權(quán)的風險非常大。網(wǎng)絡釣魚并不是攻擊者獲取憑據(jù)的唯一方法。他們還可以通過其他方式竊取賬戶。

 

一旦攻擊者可以使用合法帳戶進入系統(tǒng)，他們就可能造成大量破壞，其中包括盜竊或破壞重要數(shù)據(jù)、中止服務交付或財務欺詐。云安全聯(lián)盟(CSA)建議對用戶進行帳戶劫持的危險和跡象的培訓和教育，以最大程度地降低風險。

 

云安全聯(lián)盟(CSA)關于帳戶劫持的關鍵要點包括：

 

•帳戶憑據(jù)被盜后，不僅要重置密碼。需要從根本原因入手解決問題。

 

•深度防御方法和強大的身份識別與訪問管理(IAM)控制是最好的防御方法。

 

6.內(nèi)部威脅

 

來自受信任內(nèi)部人員的威脅在云中與內(nèi)部部署系統(tǒng)一樣嚴重。組織內(nèi)部人員可以是現(xiàn)任或前任員工、承包商或可信賴的業(yè)務合作伙伴，這些是無需突破公司防御即可訪問其系統(tǒng)的任何人。

 

內(nèi)部人士造成的損害并不一定懷有惡意，他們可能會無意間使數(shù)據(jù)和系統(tǒng)面臨風險。云安全聯(lián)盟(CSA)引用了波洛蒙研究所的2018年內(nèi)部威脅成本研究報告，該報告指出，報告的所有內(nèi)部事件中有64%是由于員工或承包商的疏忽所致。這種疏忽可能包括配置錯誤的云計算服務器，在個人設備上存儲敏感數(shù)據(jù)，或成為網(wǎng)絡釣魚電子郵件的受害者。

 

云安全聯(lián)盟(CSA)關于內(nèi)部威脅的關鍵要點包括：

 

•對員工進行有關正確做法的培訓和教育，以保護數(shù)據(jù)和系統(tǒng)。使教育成為一個持續(xù)的過程。

 

•定期審核和修復配置錯誤的云計算服務器。

 

•限制對關鍵系統(tǒng)的訪問。

 

7.不安全的接口和API

 

不安全的接口和API從去年的第三名跌至第七名。2018年發(fā)生了眾所周知的Facebook數(shù)據(jù)泄露事件，影響了全秋5000多萬個帳戶，這是其查看方式功能中引入的漏洞的結(jié)果。尤其是當與用戶界面相關聯(lián)時，API漏洞可以為攻擊者提供竊取用戶或員工憑據(jù)的清晰途徑。

 

云安全聯(lián)盟(CSA)報告指出，企業(yè)需要了解API和用戶界面是系統(tǒng)中最容易暴露的部分，并且鼓勵通過設計方法來構(gòu)建它們來保證安全性。

 

云安全聯(lián)盟(CSA)關于不安全的接口和API的關鍵要點包括：

 

•采取良好的API做法，例如監(jiān)督庫存、測試、審計和異?；顒颖Ｗo等項目。

 

•保護API密鑰并避免重用。

 

•考慮開放的API框架，例如開放云計算接口(OCCI)或云基礎設施管理接口(CIMI)。

 

8.控制平臺薄弱

 

控制平臺涵蓋了數(shù)據(jù)復制、遷移和存儲的過程。根據(jù)云安全聯(lián)盟(CSA)的說法，如果負責這些過程的人員無法完全控制數(shù)據(jù)基礎設施的邏輯、安全性和驗證，則控制平臺將很薄弱。管理人員需要了解安全配置、數(shù)據(jù)流向以及架構(gòu)盲點或弱點。否則可能會導致數(shù)據(jù)泄漏、數(shù)據(jù)不可用或數(shù)據(jù)損壞。

 

云安全聯(lián)盟(CSA)關于控制平臺薄弱的關鍵要點括：

 

•確保云計算服務提供商提供了履行法律和法定義務所需的安全控制。

 

•進行盡職調(diào)查，以確保云計算服務提供商擁有足夠的控制平臺。

 

9.元結(jié)構(gòu)和應用程序結(jié)構(gòu)故障

 

云計算服務提供商的元結(jié)構(gòu)保存有關如何保護其系統(tǒng)的安全信息，并通過API調(diào)用公開該信息。云安全聯(lián)盟(CSA)將元結(jié)構(gòu)稱為云服務提供商/客戶的“分界線”。API幫助客戶檢測未經(jīng)授權(quán)的訪問，但還包含高度敏感的信息，例如日志或?qū)徍讼到y(tǒng)數(shù)據(jù)。

 

這條“分界線”也是潛在的故障點，可能使攻擊者能夠訪問數(shù)據(jù)或破壞云客戶。API實施不佳通常是導致漏洞的原因。云安全聯(lián)盟(CSA)指出，例如，不成熟的云計算服務提供商可能不知道如何正確地向其客戶提供API。

 

另一方面，客戶可能不了解如何正確實施云計算應用程序。當他們連接非為云環(huán)境設計的應用程序時，尤其如此。

 

云安全聯(lián)盟(CSA)關于元結(jié)構(gòu)和應用程序結(jié)構(gòu)失敗的關鍵要點包括：

 

•確保云計算服務提供商提供可見性，并公開緩解措施。

 

•在云原生設計中實施適當?shù)墓δ芎涂丶?/div>