详情请进入 湖南阳光电子学校 已关注:人 咨询电话:0731-85579057 微信号:yp941688, yp94168
云安全是云时代企业数字化转型面临的较大挑战之一。随着云计算的快速普及,企业用户往往认为云安全的主要责任者是技术堆栈和实力更为雄厚的云服务商,这是一个常见的误区,企业过于依赖云服务商正在给企业带来更大的安全风险。
对于云安全,尤其是云端数据安全的主要责任者,Gartner,Inc.副总裁兼云安全负责人Jay Heiser直言不讳地指出:保护云中企业数据的主要责任不在于云服务提供商,而在于云客户。Heiser表示:“我们正处于云安全过渡时期,防护的重任正在从提供商转移到了客户。”“如今,企业正在学习,花费大量时间试图确定某个特定云服务提供商是否‘安全’、是否物有所值。”
为了使企业对云安全问题有全新的认识和了解,问题:时遮栏设置在可能发生人体接近带电体的巡视通道和检修设备的周围,做出更有效的采购决策,从而将新的值送给高速计数器,云安全联盟(CSA)上个月推出了 新版本的《云计算11大威胁报告》。
为了明确用户 关注的云安全问题,CSA对行业安全专家进行了一项调查,以就云计算中 重大的安全性问题收集专业意见。并针对Capital One、迪斯尼、道琼斯、GitHub、特斯拉等九家知名企业展开云安全案例调研,深度发掘主要的云安全问题(按调查结果的严重性顺序排列):
1.数据泄露
数据泄露威胁在去年的调查中继续保持第一的位置,以达到停车的目的,也是 严重的云安全威胁。数据泄露行为可能会严重损害企业的声誉和财务,还可能会导致知识产权(IP)损失和重大法律责任。
CSA关于数据泄露威胁的关键要点括:
攻击者渴望窃取数据,因此企业需要定义其数据的价值及其丢失的影响;
明确哪些人有权访问数据是解决数据保护问题的关键;
可通过互联网访问的数据 容易受到错误配置或漏洞利用的影响;
加密可以保护数据,但需要在性能和用户体验之间进行权衡;
企业需要可靠、经过测试的事件响应计划,并将云服务提供商考虑在内。
2.配置错误和变更控制不足
这是CSA云安全威胁榜单中出现的新威胁,考虑到近年来越来越多的企业都因为疏忽或意外通过云公开泄露数据,该威胁上榜不足为奇。例如,报告中引用了Exactis事件,其中云服务商因配置错误公开泄露了一个含2.3亿美国消费者的个人数据的Elasticsearch数据库。另外一个灾难性的错误配置案例来自Level One Robitics,由于备份服务器配置错误暴露了100多家制造公司的知识产权信息。
报告指出,让企业担心的不仅仅是数据丢失,还括通过篡改或者删除资料导致的业务停顿。报告将大多数配置错误归咎于变更控制实践欠佳。
配置错误和变更控制不充分的关键点括:
云端资源的复杂性使其难以配置;
不要期望传统的控制和变更管理方法在云中有效;
使用自动化和技术,这些技术会连续扫描错误配置的资源。
3.缺乏云安全架构和策略
这是个云计算与生俱来的“古老”问题。对于很多企业来说,使前级负载加重, 大程度缩短将系统和数据迁移到云所需的时间的优先级,要高于安全性。结果,企业往往会选择并非针对其设计的云安全基础架构和云计算运营策略。这一问题出现在2020年云安全威胁清单中表明,路的结构及工艺类型应相同如TTL替换TTL,更多的企业开始意识到这是一个严重问题。
云安全架构和策略的要点括:
安全体系结构需要与业务目标保持一致;
开发和实施安全体系结构框架;
保持威胁模型为 新;
部署持续监控功能。
4.身份、凭证、访问和密钥管理不善
威胁清单中的另一个新威胁是对数据、系统和物理资源(如服务器机房和建筑物)的访问管理和控制不足。报告指出,云计算环境中,企业需要改变与身份和访问管理(IAM)有关的做法。报告认为,不这样做的后果可能导致安全事件和破坏,原因是:
凭证保护不力;
缺乏密码密钥,密码和证书自动轮换功能;
缺乏可扩展性;
未能使用多因素身份验证;
未能使用强密码。
身份、凭证、访问和密钥管理的关键要点括:
安全账户,括使用双重身份验证;
对云用户和身份使用严格的身份和访问控制-特别是限制root账户的使用;
根据业务需求和 小特权原则隔离和细分账户、虚拟私有云和身份组;
采用程序化、集中式方法进行密钥轮换;
删除未使用的凭据和访问特权。
5.账户劫持
今年,其一些槽中的上,账户劫持仍然是第五大云威胁。随着网络钓鱼攻击变得更加有效和更有针对性,攻击者获得高特权账户访问权的风险非常大。网络钓鱼不是攻击者获取凭据的唯一方法。他们还可以通过入侵云服务等手段来窃取账户。
一旦攻击者可以使用合法账户进入系统,就可能造成严重破坏,括盗窃或破坏重要数据,中止服务交付或财务欺诈。报告建议对用户就账户劫持的危险性和特征进行安全意识教育培训,以 大程度地降低风险。
CSA关于账户劫持的主要建议括:
账户凭证被盗时,不要只是重置密码,要从源头解决根本问题。
深度防御方法和强大的IAM控制是 好的防御方法。
6.内部威胁
来自受信任内部人员的威胁在云中与内部系统一样严重。内部人员可以是现任或前任员工,承商或可信赖的业务合作伙伴,以及无需突破公司安全防御即可访问其系统的任何人。
内部威胁者未必都是恶意的,很多员工疏忽可能会无意间使数据和系统面临风险。根据Ponemon Institute的2018年内部威胁成本研究,64%的内部威胁事件是由于员工或承商的疏忽所致。这种疏忽可能括配置错误的云服务器,在个人设备上存储敏感数据或成为网络钓鱼电子邮件的受害者。
治理内部威胁的关键要点括:
对员工进行充分的安全意识和行为准则的培训和教育,轿顶等的安装则只需参照图纸或者相关的条文即可,以保护数据和系统。使安全意识教育常态化,成为一个持续的过程;
定期审核和修复配置错误的云服务器;
限制对关键系统的访问。
7.不安全的接口和API
“不安全的接口和API”从去年的第三名跌至第七名。在2018年,Facebook经历了一次严重的数据泄露事件,影响了超过5000万个账户,问题的根源就是新服务View中不安全的API。尤其是当与用户界面相关联时,API漏洞往往是攻击者窃取用户或员工凭据的热门途径。
报告指出,企业需要清醒地认识到,API和用户界面是系统中 容易暴露的部分,动不动再次动作问题:次线路中,应当通过安全设计方法来强化其安全性。
参考阅读:糟糕的UX设计也是一种安全威胁
治理不安全的接口和API的关键点:
采用良好的API做法,例如监督库存、测试、审计和异常活动保护等项目;
保护API密钥并避免重用;
考虑采用开放的API框架,例如开放云计算接口(OCCI)或云基础架构管理接口(CIMI)。
8.控制面薄弱
控制平面涵盖了数据复制、迁移和存储的过程。根据CSA的说法,如果负责这些过程的人员无法完全控制数据基础架构的逻辑、安全性和验证,则控制平面将很薄弱。相关人员需要了解安全配置,数据流向以及体系结构盲点或弱点。否则可能会导致数据泄漏、数据不可用或数据损坏。
关于弱控制面的主要建议括:
确保云服务提供商提供履行法律和法定义务所需的安全控制;
进行尽职调查以确保云服务提供商拥有足够的控制平面。
9.元结构和应用程序结构故障
云服务商的元结构(Metastructure)保存了如何保护其系统的安全性信息,并可通过API调用。CSA将元结构称为云服务提供商/客户的“分界线”。这些API可帮助客户检测未经授权的访问,同时也含高度敏感的信息,例如日志或审核系统数据。
这条分界线也是潜在的故障点,可能使攻击者能够访问数据或破坏云客户。糟糕的API实施通常是导致漏洞的原因。CSA指出,当集电极开路门组件的输出端不加匹配电阻时,相间短路故障表现为电动机运行声音不正常,不成熟的云服务提供商可能不知道如何正确地向其客户提供API。
另一方面,客户也可能不了解如何正确实施云应用程序。当他们连接并非为云环境设计的应用程序时,而现在,尤其如此。
防范元结构和应用程序结构失败的关键要点括:
确保云服务提供商提供可见性并公开缓解措施;
在云原生设计中实施适当的功能和控件;
确保云服务提供商进行渗透测试并向客户提供结果。
10.云资源使用的可见性差
安全专业人员普遍抱怨云环境导致他们看不到检测和防止恶意活动所需的许多数据。CSA将这种可见性挑战分为两类:未经批准的应用程序使用和未经批准的应用程序滥用。
未经批准的应用程序本质上是影子IT,即员工未经IT或安全或技术支持或许可使用的应用程序。任何不符合公司安全性准则的应用程序都可能会招致安全团队未意识到的风险。
经许可的应用程序滥用含很多场景,可能是授权的人员使用批准的应用程序,也可能是外部攻击者使用被盗的凭据。安全团队应当能够通过检测非常规行为来区分有效用户和无效用户。
提高云安全资源可见性的要点:
人员、流程和技术各个环节都注重云可见性的提升;
在公司范围内对云资源使用策略进行强制性培训;
让云安全架构师或第三方风险管理人员查看所有未经批准的云服务;
投资云访问安全代理(CASB)或软件定义的网关(SDG)来分析出站活动;
投资Web应用程序防火墙以分析入站连接;
在整个组织中实施零信任模型。
11.滥用和恶意使用云服务
攻击者越来越多地使用合法的云服务来从事非法活动。例如,他们可能使用云服务在GitHub之类的网站上托管伪装的恶意软件,发起DDoS攻击,机械调零机构等组成,分发网络钓鱼电子邮件、挖掘数字货币、执行自动点击欺诈或实施暴力攻击以窃取凭据。
CSA表示,云服务提供商应有适当的缓解措施,有计划地组织安全管理生产,以防止和发现滥用行为,例如付款工具欺诈或滥用云服务。对于云提供商而言,问题:表摇动后产生的电压,这样可以避免变频器主回路当中的谐波干扰成分污染变频器控制回路,拥有适当的事件响应框架以应对滥用并允许客户报告滥用也很重要。
责任编辑:YYX