調(diào)研機(jī)構(gòu) Gartner公司副總裁兼云計(jì)算安全負(fù)責(zé)人Jay Heiser說(shuō):“公共云的應(yīng)用正在快速增長(zhǎng),因此不可避免地會(huì)導(dǎo)致出現(xiàn)更多的潛在風(fēng)險(xiǎn)敏感內(nèi)容。”
與許多人認(rèn)為的相反,保護(hù)云端中的企業(yè)數(shù)據(jù)的主要責(zé)任不在于云計(jì)算服務(wù)提供商,而在于云客戶。Heiser說(shuō):“我們正處在一個(gè)云計(jì)算安全過(guò)渡期,重點(diǎn)正從供應(yīng)商轉(zhuǎn)向客戶。很多企業(yè)花費(fèi)大量時(shí)間來(lái)確定某個(gè)特定的云服務(wù)提供商是否安全,但幾乎沒(méi)有什么結(jié)果,因?yàn)樵谟谄渥陨怼?rdquo;
為了讓企業(yè)了解云安全問(wèn)題,以便他們能夠就云采用策略做出明智的決策,云計(jì)算安全聯(lián)盟(CSA)發(fā)布了最新版本的“云計(jì)算的12大威脅:行業(yè)見(jiàn)解報(bào)告。”
這個(gè)報(bào)告反映了云計(jì)算安全聯(lián)盟安全專(zhuān)家當(dāng)前就云計(jì)算中最重要的安全問(wèn)題達(dá)成的共識(shí)。這份報(bào)告指出,盡管云端存在許多安全問(wèn)題,但企業(yè)主要關(guān)注的是云計(jì)算的共享和按需特性。為了確定人們最關(guān)心的問(wèn)題,云計(jì)算安全聯(lián)盟對(duì)行業(yè)專(zhuān)家進(jìn)行了調(diào)查,就云計(jì)算中最嚴(yán)重的安全問(wèn)題匯總編寫(xiě)了一些專(zhuān)業(yè)的意見(jiàn)和建議。以下是人們面臨的12個(gè)最重要的云安全問(wèn)題(按照調(diào)查結(jié)果的嚴(yán)重程度排列):
1.數(shù)據(jù)泄露
云計(jì)算安全聯(lián)盟表示,數(shù)據(jù)泄露是具有針對(duì)性攻擊的主要目標(biāo),也可能是人為錯(cuò)誤、應(yīng)用程序漏洞或安全措施不佳的結(jié)果。它可能涉及任何不適合公開(kāi)發(fā)布的信息,包括個(gè)人健康信息、財(cái)務(wù)信息、個(gè)人可識(shí)別信息、商業(yè)秘密和知識(shí)產(chǎn)權(quán)。由于不同的原因,組織基于云端的數(shù)據(jù)可能對(duì)某些組織具有更大的價(jià)值。數(shù)據(jù)泄露的風(fēng)險(xiǎn)并不是云計(jì)算獨(dú)有的情況,但它始終是云計(jì)算用戶的首要考慮因素。
2.身份、憑證和訪問(wèn)管理不善
云計(jì)算安全聯(lián)盟表示,網(wǎng)絡(luò)犯罪分子偽裝成合法用戶、運(yùn)營(yíng)人員或開(kāi)發(fā)人員可以讀取、修改和刪除數(shù)據(jù),獲取控制平臺(tái)和管理功能,在用戶傳輸數(shù)據(jù)的過(guò)程中進(jìn)行窺探,發(fā)布似乎來(lái)源于合法來(lái)源的惡意軟件。因此,身份不足、憑證或密鑰管理不善可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn),并可能對(duì)組織或最終用戶造成災(zāi)難性的損害。
3.不安全的接口和應(yīng)用程序編程接口(API)
云計(jì)算提供商提供了一組客戶使用的軟件用戶界面(UI)或API來(lái)管理和與云服務(wù)交互。云計(jì)算安全聯(lián)盟稱,其配置、管理和監(jiān)控都是通過(guò)這些接口來(lái)執(zhí)行的,通常情況下,云服務(wù)的安全性和可用性取決于API的安全性。他們需要進(jìn)行設(shè)計(jì)以防止意外和惡意的企圖。
4.系統(tǒng)漏洞
系統(tǒng)漏洞是攻擊者可以用來(lái)侵入系統(tǒng)竊取數(shù)據(jù)、控制系統(tǒng)或破壞服務(wù)操作的程序中可利用的漏洞。云計(jì)算安全聯(lián)盟表示,操作系統(tǒng)組件中的漏洞使得所有服務(wù)和數(shù)據(jù)的安全性都面臨重大風(fēng)險(xiǎn)。隨著云端出現(xiàn)多租戶,來(lái)自不同組織的系統(tǒng)彼此靠近,并且允許訪問(wèn)共享內(nèi)存和資源,從而創(chuàng)建新的攻擊面。
5.賬戶劫持
云計(jì)算安全聯(lián)盟指出,賬戶或服務(wù)劫持并不是什么新鮮事物,但云服務(wù)為這一景觀增添了新的威脅。如果攻擊者獲得對(duì)用戶憑證的訪問(wèn)權(quán)限,他們可以竊聽(tīng)活動(dòng)和交易,操縱數(shù)據(jù),返回偽造的信息并將客戶重定向到非法的站點(diǎn)。賬戶或服務(wù)實(shí)例可能成為攻擊者的新基礎(chǔ)。由于憑證被盜,攻擊者經(jīng)常可以訪問(wèn)云計(jì)算服務(wù)的關(guān)鍵區(qū)域,從而危及這些服務(wù)的機(jī)密性、完整性、可用性。
6.懷有惡意的內(nèi)部人士
云計(jì)算安全聯(lián)盟表示,雖然有些威脅的嚴(yán)重程度是有爭(zhēng)議的,但內(nèi)部威脅是一個(gè)真正的威脅。懷有惡意的內(nèi)部人員(如系統(tǒng)管理員)可以訪問(wèn)潛在的敏感信息,可以更多地訪問(wèn)更重要的系統(tǒng),并最終訪問(wèn)數(shù)據(jù)。僅依靠云服務(wù)提供商提供安全措施的系統(tǒng)將面臨更大的風(fēng)險(xiǎn)。
7.高級(jí)持續(xù)性威脅(APT)
高級(jí)持續(xù)性威脅(APT)是一種寄生的網(wǎng)絡(luò)攻擊形式,它滲透到目標(biāo)公司IT基礎(chǔ)設(shè)施建立立足點(diǎn)的系統(tǒng),從中竊取數(shù)據(jù)。高級(jí)持續(xù)性威脅(APT)在很長(zhǎng)一段時(shí)間內(nèi)逐步達(dá)到目標(biāo),經(jīng)常能夠適應(yīng)抵御它們的安全措施。一旦部署到位,高級(jí)持續(xù)性威脅(APT)可以通過(guò)數(shù)據(jù)中心網(wǎng)絡(luò)橫向移動(dòng),并與正常的網(wǎng)絡(luò)流量融合,達(dá)到他們的目的。
8.數(shù)據(jù)丟失
云計(jì)算安全聯(lián)盟表示,存儲(chǔ)在云端的數(shù)據(jù)可能因惡意攻擊以外的原因而丟失。云計(jì)算服務(wù)提供商遭遇意外刪除、火災(zāi)或地震等物理災(zāi)難可能導(dǎo)致客戶數(shù)據(jù)的永久丟失,云計(jì)算提供商或客戶應(yīng)當(dāng)采取適當(dāng)?shù)拇胧﹣?lái)備份數(shù)據(jù),遵循業(yè)務(wù)連續(xù)性的最佳實(shí)踐,實(shí)現(xiàn)災(zāi)難恢復(fù)。
9.盡職調(diào)查不足
云計(jì)算安全聯(lián)盟表示,企業(yè)當(dāng)高管制定業(yè)務(wù)戰(zhàn)略時(shí),必須對(duì)云計(jì)算技術(shù)和服務(wù)提供商進(jìn)行考量。在評(píng)估云計(jì)算技術(shù)和提供商時(shí),制定一個(gè)良好的路線圖和盡職調(diào)查清單對(duì)于獲得最大的成功至關(guān)重要。而急于采用云計(jì)算技術(shù)并選擇提供商沒(méi)有執(zhí)行盡職調(diào)查的組織將面臨諸多風(fēng)險(xiǎn)。
10.濫用和惡意使用云服務(wù)
云計(jì)算安全聯(lián)盟指出,安全性差的云服務(wù)部署,免費(fèi)的云服務(wù)試用,以及通過(guò)支付工具欺詐進(jìn)行的欺詐性賬戶登錄將云計(jì)算模式暴露在惡意攻擊之下。攻擊者可能會(huì)利用云計(jì)算資源來(lái)定位用戶、組織或其他云計(jì)算提供商。濫用云端資源的例子包括啟動(dòng)分布式拒絕服務(wù)攻擊、垃圾郵件和網(wǎng)絡(luò)釣魚(yú)攻擊。
11.拒絕服務(wù)(DoS)
拒絕服務(wù)(DoS)攻擊旨在防止服務(wù)的用戶訪問(wèn)其數(shù)據(jù)或應(yīng)用程序??梢酝ㄟ^(guò)強(qiáng)制目標(biāo)云服務(wù)消耗過(guò)多的有限系統(tǒng)資源,如處理器能力,內(nèi)存,磁盤(pán)空間或網(wǎng)絡(luò)帶寬,攻擊者可能會(huì)導(dǎo)致系統(tǒng)速度下降,并使所有合法的用戶無(wú)法訪問(wèn)服務(wù)。
12.共享的技術(shù)漏洞
云計(jì)算安全聯(lián)盟指出,云計(jì)算服務(wù)提供商通過(guò)共享基礎(chǔ)架構(gòu),平臺(tái)或應(yīng)用程序來(lái)擴(kuò)展其服務(wù)。云技術(shù)將“即服務(wù)”產(chǎn)品劃分為多個(gè)產(chǎn)品,而不會(huì)大幅改變現(xiàn)成的硬件/軟件(有時(shí)以犧牲安全性為代價(jià))。構(gòu)成支持云教育處服務(wù)部署的底層組件可能并未設(shè)計(jì)成為多租戶架構(gòu)或多客戶應(yīng)用程序提供強(qiáng)大的隔離屬性。這可能會(huì)導(dǎo)致共享的技術(shù)漏洞,可能在所有交付模式中被攻擊者利用。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)