Gartner最新報告顯示,2017年全球公有云市場規(guī)模將達到2602億美元���,較去年增長18.5%����,預(yù)計到2020年全球公有云市場規(guī)模將達到4114億美元���,2018-2020年年復(fù)合增速將達到16.5%�����。
企業(yè)將數(shù)據(jù)移入云端已經(jīng)是大勢所趨��,但新技術(shù)的產(chǎn)生�,也帶來了新的安全問題,尤其在現(xiàn)在這個公共云的利用率快速增長的時代�。
下面小編整理出了需要當心的12個云環(huán)境下的重要安全威脅。
1. 數(shù)據(jù)漏洞
云環(huán)境面臨著許多和傳統(tǒng)企業(yè)網(wǎng)絡(luò)相同的安全威脅�,但由于極大量的數(shù)據(jù)被儲存在云服務(wù)器上,供應(yīng)商成為了一個很吸引人的目標���。
云供應(yīng)商通常會部署安全控件來保護其環(huán)境��,但最終還是需要企業(yè)自己來負責保護云中的數(shù)據(jù)����。
2. 憑證 & 證書
數(shù)據(jù)漏洞和其他攻擊通常來源于不嚴格的認證���、較弱的口令和密鑰或者證書管理�。
企業(yè)應(yīng)當權(quán)衡集中身份的便利性和使儲存地點變成攻擊者的首要目標的風險性�����。
建議:采用多種形式的認證��,例如:一次性密碼�、手機認證和智能卡保護。
3. 界面 & API的入侵
IT團隊使用界面和API來管理和與云服務(wù)互動,這些服務(wù)包括云的供應(yīng)��、管理��、編制和監(jiān)管�����。
API和界面是系統(tǒng)中最暴露在外的一部分����,因為它們通常可以通過開放的互聯(lián)網(wǎng)進入�����。CSA也建議進行安全方面的編碼檢查和嚴格的進入檢測����。
建議:運用API安全成分��,例如:認證����、進入控制和活動監(jiān)管。
4. 已開發(fā)的系統(tǒng)的脆弱性
企業(yè)和其他企業(yè)之間共享記憶、數(shù)據(jù)庫和其他一些資源�����,形成了新的攻擊對象�����。幸運的是���,對系統(tǒng)脆弱性的攻擊可以通過使用“基本IT過程”來減輕�。
盡快添加補丁——進行緊急補丁的變化控制過程保證了補救措施可以被正確記錄���,并被技術(shù)團隊復(fù)查���。
容易被攻擊的目標:可開發(fā)的bug和系統(tǒng)脆弱性。
5. 賬戶劫持
釣魚網(wǎng)站����、詐騙和軟件開發(fā)仍舊在肆虐,云服務(wù)又使威脅上升了新的層次���,因為攻擊者可以竊聽活動����,操控業(yè)務(wù)以及篡改數(shù)據(jù)。
賬戶�,甚至是服務(wù)賬戶,應(yīng)該被監(jiān)管��,這樣每一筆交易都可以追蹤到一個所有者���。關(guān)鍵點在于保護賬戶認證不被竊取���。
有效的攻擊載體:釣魚網(wǎng)站、詐騙��、軟件開發(fā)��。
6. 居心叵測的內(nèi)部人員
內(nèi)部人員的威脅來自諸多方面:現(xiàn)任或前員工���、系統(tǒng)管理者���、承包商或者是商業(yè)伙伴。惡意的來源十分廣泛��,包括竊取數(shù)據(jù)和報復(fù)��。
單一的依靠云服務(wù)供應(yīng)商來保證安全的系統(tǒng)�,例如加密,是最為危險的��。有效的日志�����、監(jiān)管和審查管理者的活動十分重要��。
企業(yè)必須最小化暴露在外的訪問:加密過程和密鑰�����、最小化訪問���。
7. APT寄生蟲
CSA稱高級持續(xù)威脅(Advanced Persistent Threats)是一種“寄生性”的攻擊���。APT通過滲透系統(tǒng)來建立立足點,然后在很長的一段時間內(nèi)悄悄地竊取數(shù)據(jù)和知識產(chǎn)權(quán)����。
IT部門必須及時了解最新的高級攻擊。此外�����,經(jīng)常地強化通知程序來警示用戶,可以減少被APT的迷惑使之進入��。
進入的常見方式:魚叉式網(wǎng)絡(luò)釣魚��、直接攻擊��、USB驅(qū)動����。
8. 永久性的數(shù)據(jù)丟失
關(guān)于供應(yīng)商出錯導(dǎo)致的永久性數(shù)據(jù)丟失的報告已經(jīng)鮮少出現(xiàn)。但居心叵測的黑客仍會采用永久刪除云數(shù)據(jù)的方式來傷害企業(yè)和云數(shù)據(jù)中心����。
遵循政策中通常規(guī)定了企業(yè)必須保留多久的審計記錄及其他文件。丟失這些數(shù)據(jù)會導(dǎo)致嚴重的監(jiān)管后果�。
建議云供應(yīng)商分散數(shù)據(jù)和應(yīng)用程序來加強保護:每日備份、線下儲存����。
9. 積極性不足
在沒有完全了解環(huán)境就使用云的企業(yè)會遭遇無數(shù)的商業(yè)、金融�、技術(shù)、法律和遵守上的危機���。
當部署應(yīng)用程序到一個特定的云上時�,如果一個公司的發(fā)展團隊缺少對云技術(shù)的熟悉了解�����,就會出現(xiàn)行動上和建筑上的問題�����。企業(yè)必須表現(xiàn)出廣泛而適當?shù)姆e極性來了解他們云服務(wù)的風險��。
面對以下幾點必須拿出適當?shù)姆e極性:云的遷移���、融合與外包�����。
10. 云服務(wù)的濫用
云服務(wù)可能被強占用來支持不道德的行為����,例如利用云計算資源來破解加密密鑰從而發(fā)起攻擊����。
客戶應(yīng)當確保供應(yīng)商提供了報告濫用的機制���。雖然客戶不一定是惡意行為的直接對象,但云服務(wù)的濫用仍會導(dǎo)致服務(wù)可用性和數(shù)據(jù)丟失的問題�。
濫用行為例子包括:分布式拒絕服務(wù)(DDoS)攻擊、垃圾郵件��、包含惡意內(nèi)容�。
11. 磁盤操作系統(tǒng)(DOS)攻擊
DOS攻擊已經(jīng)存在數(shù)年,但因為他們經(jīng)常影響可用性�,通過云計算DOS攻擊才得以迅猛發(fā)展。系統(tǒng)可能會行進緩慢或者超時�����。
CSA稱���,云供應(yīng)商比客戶更容易處理DOS攻擊��。關(guān)鍵在于在攻擊出現(xiàn)開始計劃如何削弱攻擊�����,這樣����,管理員可以在需要資源的時候有權(quán)限進入。
DOS的攻擊原因多種多樣:敲詐勒索����、騷擾。
12. 共享技術(shù)��、共享危機
共享技術(shù)的脆弱性為云計算帶來了很大的威脅��。云服務(wù)供應(yīng)商共享基礎(chǔ)設(shè)施���、平臺以及應(yīng)用程序,如果脆弱性出現(xiàn)在任何一層內(nèi)���,就會影響所有���。
如果一個整體的部分被損壞——例如管理程序、共享的平臺部分或者應(yīng)用程序——就會將整個環(huán)境暴露在潛在的威脅和漏洞下����。
CSA推薦深層保護策略:多因素認證、侵入檢測系統(tǒng)�、網(wǎng)絡(luò)分割和更新資源。
