安全資訊

龐雜的數據、應用正逐漸向云端遷移，云服務(wù)給予數據使用、存儲、共享的更多可能性。而上云時(shí)代，海量分析與負載背后，也帶來(lái)了一系列新的安全威脅與挑戰。

1、數據泄露

數據泄露威脅繼續保持第一的位置，也是最嚴重的云安全威脅。數據泄露行為可能會(huì )嚴重損害企業(yè)的聲譽(yù)和財務(wù)，還可能會(huì )導致知識產(chǎn)權（IP）損失和重大法律責任。

防治建議

-攻擊者渴望竊取數據，因此企業(yè)需要定義其數據的價(jià)值及其丟失的影響；

-明確哪些人有權訪(fǎng)問(wèn)數據是解決數據保護問(wèn)題的關(guān)鍵；

-可通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)的數據最容易受到錯誤配置或漏洞利用的影響；

-加密可以保護數據，但需要在性能和用戶(hù)體驗之間進(jìn)行權衡；

-企業(yè)需要可靠、經(jīng)過(guò)測試的事件響應計劃，并將云服務(wù)提供商考慮在內。

2、配置錯誤和變更控制不足

這是CSA云安全威脅榜單中出現的新威脅，考慮到近年來(lái)越來(lái)越多的企業(yè)都因為疏忽或意外通過(guò)云公開(kāi)泄露數據，該威脅上榜不足為奇。如Exactis事件，其中云服務(wù)商因配置錯誤公開(kāi)泄露了一個(gè)包含2.3億美國消費者的個(gè)人數據的Elasticsearch數據庫。

防治建議

-云端資源的復雜性使其難以配置；

-不要期望傳統的控制和變更管理方法在云中有效；

-使用自動(dòng)化和技術(shù)，這些技術(shù)會(huì )連續掃描錯誤配置的資源。

3、缺乏云安全架構和策略

這是個(gè)云計算與生俱來(lái)的“古老”問(wèn)題。對于很多企業(yè)來(lái)說(shuō)，最大程度縮短將系統和數據遷移到云所需的時(shí)間的優(yōu)先級，要高于安全性。結果，企業(yè)往往會(huì )選擇并非針對其設計的云安全基礎架構和云計算運營(yíng)策略。這一問(wèn)題出現在2020年云安全威脅清單中表明，更多的企業(yè)開(kāi)始意識到這是一個(gè)嚴重問(wèn)題。

防治建議

-安全體系結構需要與業(yè)務(wù)目標保持一致；

-開(kāi)發(fā)和實(shí)施安全體系結構框架；

-保持威脅模型為最新；

-部署持續監控功能。

4、身份、憑證、訪(fǎng)問(wèn)和密鑰管理不善

威脅清單中的另一個(gè)新威脅是對數據、系統和物理資源（如服務(wù)器機房和建筑物）的訪(fǎng)問(wèn)管理和控制不足。報告指出，云計算環(huán)境中，企業(yè)需要改變與身份和訪(fǎng)問(wèn)管理（IAM）有關(guān)的做法。

防治建議

-安全賬戶(hù)，包括使用雙重身份驗證；

-對云用戶(hù)和身份使用嚴格的身份和訪(fǎng)問(wèn)控制-特別是限制root賬戶(hù)的使用；

-根據業(yè)務(wù)需求和最小特權原則隔離和細分賬戶(hù)、虛擬私有云和身份組；

-采用程序化、集中式方法進(jìn)行密鑰輪換；

-刪除未使用的憑據和訪(fǎng)問(wèn)特權。

5、賬戶(hù)劫持

隨著(zhù)網(wǎng)絡(luò )釣魚(yú)攻擊變得更加有效和更有針對性，攻擊者獲得高特權賬戶(hù)訪(fǎng)問(wèn)權的風(fēng)險非常大。網(wǎng)絡(luò )釣魚(yú)不是攻擊者獲取憑據的唯一方法。他們還可以通過(guò)入侵云服務(wù)等手段來(lái)竊取賬戶(hù)。

一旦攻擊者可以使用合法賬戶(hù)進(jìn)入系統，就可能造成嚴重破壞，包括盜竊或破壞重要數據，中止服務(wù)交付或財務(wù)欺詐。

防治建議

-賬戶(hù)憑證被盜時(shí)，不要只是重置密碼，要從源頭解決根本問(wèn)題；

-深度防御方法和強大的IAM控制是最好的防御方法。

6、內部威脅

內部威脅者未必都是惡意的，很多員工疏忽可能會(huì )無(wú)意間使數據和系統面臨風(fēng)險。根據Ponemon Institute的2018年內部威脅成本研究，64%的內部威脅事件是由于員工或承包商的疏忽所致。這種疏忽可能包括配置錯誤的云服務(wù)器，在個(gè)人設備上存儲敏感數據或成為網(wǎng)絡(luò )釣魚(yú)電子郵件的受害者。

防治建議

-對員工進(jìn)行充分的安全意識和行為準則的培訓和教育，以保護數據和系統。使安全意識教育常態(tài)化，成為一個(gè)持續的過(guò)程；

-定期審核和修復配置錯誤的云服務(wù)器；

-限制對關(guān)鍵系統的訪(fǎng)問(wèn)。

7、不安全的接口和API

Facebook曾經(jīng)歷了一次嚴重的數據泄露事件，超5000萬(wàn)個(gè)賬戶(hù)受到影響，問(wèn)題的根源就是新服務(wù)View中不安全的API。尤其是當與用戶(hù)界面相關(guān)聯(lián)時(shí)，API漏洞往往是攻擊者竊取用戶(hù)或員工憑據的熱門(mén)途徑。

防治建議

-采用良好的API做法，例如監督庫存、測試、審計和異?；顒?dòng)保護等項目；

-保護API密鑰并避免重用；

-考慮采用開(kāi)放的API框架，例如開(kāi)放云計算接口（OCCI）或云基礎架構管理接口（CIMI）。

8、控制面薄弱

控制平面涵蓋了數據復制、遷移和存儲的過(guò)程。若負責人員無(wú)法完全控制數據基礎架構的邏輯、安全性和驗證，則控制平面將很薄弱。相關(guān)人員需要了解安全配置，數據流向以及體系結構盲點(diǎn)或弱點(diǎn)。否則可能會(huì )導致數據泄漏、數據不可用或數據損壞。

防治建議

-確保云服務(wù)提供商提供履行法律和法定義務(wù)所需的安全控制；

-進(jìn)行盡職調查以確保云服務(wù)提供商擁有足夠的控制平面。

9、元結構和應用程序結構故障

云服務(wù)商的元結構（Metastructure）保存了如何保護其系統的安全性信息，并可通過(guò)API調用。這些API可幫助客戶(hù)檢測未經(jīng)授權的訪(fǎng)問(wèn)，同時(shí)也包含高度敏感的信息，例如日志或審核系統數據。元結構也是潛在的故障點(diǎn)，可能使攻擊者能夠訪(fǎng)問(wèn)數據或破壞云客戶(hù)。

防治建議

-確保云服務(wù)提供商提供可見(jiàn)性并公開(kāi)緩解措施；

-在云原生設計中實(shí)施適當的功能和控件；

-確保云服務(wù)提供商進(jìn)行滲透測試并向客戶(hù)提供結果。

10、元資源使用的可見(jiàn)性差

安全專(zhuān)業(yè)人員普遍抱怨云環(huán)境導致他們看不到檢測和防止惡意活動(dòng)所需的許多數據。CSA將這種可見(jiàn)性挑戰分為兩類(lèi)：未經(jīng)批準的應用程序使用和未經(jīng)批準的應用程序濫用。

未經(jīng)批準的應用程序本質(zhì)上是影子IT，即員工未經(jīng)IT或安全或技術(shù)支持或許可使用的應用程序。任何不符合公司安全性準則的應用程序都可能會(huì )招致安全團隊未意識到的風(fēng)險。經(jīng)許可的應用程序濫用包含很多場(chǎng)景，可能是授權的人員使用批準的應用程序，也可能是外部攻擊者使用被盜的憑據。安全團隊應當能夠通過(guò)檢測非常規行為來(lái)區分有效用戶(hù)和無(wú)效用戶(hù)。

防治建議

-人員、流程和技術(shù)各個(gè)環(huán)節都注重云可見(jiàn)性的提升；

-在公司范圍內對云資源使用策略進(jìn)行強制性培訓；

-讓云安全架構師或第三方風(fēng)險管理人員查看所有未經(jīng)批準的云服務(wù)；

-投資云訪(fǎng)問(wèn)安全代理（CASB）或軟件定義的網(wǎng)關(guān)（SDG）來(lái)分析出站活動(dòng)；

-投資Web應用程序防火墻以分析入站連接；

-在整個(gè)組織中實(shí)施零信任模型。

11、濫用和惡意使用云服務(wù)

攻擊者越來(lái)越多地使用合法的云服務(wù)來(lái)從事非法活動(dòng)。如使用云服務(wù)在GitHub之類(lèi)的網(wǎng)站上托管偽裝的惡意軟件，發(fā)起DDoS攻擊，分發(fā)網(wǎng)絡(luò )釣魚(yú)電子郵件、挖掘數字貨幣、執行自動(dòng)點(diǎn)擊欺詐或實(shí)施暴力攻擊以竊取憑據。

防治建議

-監控員工的云服務(wù)濫用情況；

-使用云數據丟失防護（DLP）解決方案來(lái)監視和停止數據泄露。