可能破坏企业运营环境的几个云计算安全情况
发布时间:2021-11-28 18:03:57 所属栏目:云计算 来源:互联网
导读:云平台是一种多租户环境,可以在分布在全球各地的客户之间共享基础设施和资源。云计算提供商必须努力维护其共享基础设施的完整性。与此同时,云计算是一个自助服务平台,每个客户都必须仔细定义其每个工作负载和资源的具体控制。 ●威胁是指组织必须防范的
|
云平台是一种多租户环境,可以在分布在全球各地的客户之间共享基础设施和资源。云计算提供商必须努力维护其共享基础设施的完整性。与此同时,云计算是一个自助服务平台,每个客户都必须仔细定义其每个工作负载和资源的具体控制。 ●威胁是指组织必须防范的实际发生的事情,例如拒绝服务(DoS)攻击、人为错误或自然灾害。 ●漏洞是指组织安全态势中的疏忽、漏洞、弱点或其他缺陷。这可能包括配置不当的防火墙、未修补的操作系统或未加密的数据。 ●风险是需要仔细评估的组织脆弱性的潜在威胁。例如,有人将未加密的数据存储在公共云中,人为错误可能会导致数据被访问或更改。这可能被认为是必须防范的重大业务风险。 当用户了解公共云漏洞时,他们可以识别潜在的安全漏洞和常见错误。IT团队需要识别并解决各种类型的危险,以防止其系统被利用。以下是六个最常见的云计算的安全问题: 1.配置错误 用户自己负责配置,因此企业的IT团队需要优先掌握各种设置和选项。云计算资源受到一系列配置设置的保护,这些设置详细说明了哪些用户可以访问应用程序和数据。配置错误和疏忽可能会泄露数据,并允许误用或更改该数据。 IT团队可以通过多种方式减少配置错误: ●除非特权对于特定的业务或应用程序任务是必需的,否则采用并执行最低特权或零信任的策略来阻止对所有云计算资源和服务的访问。 ●采用云计算服务策略以确保默认情况下资源为私有。 ●创建并使用清晰的业务策略和准则,概述云计算资源和服务所需设置的配置。 2.访问控制不良 未经授权的用户利用不良的访问控制绕过薄弱或缺乏的身份验证或授权方法。 例如,恶意行为者利用弱密码来猜测凭据。强大的访问控制可实现其他要求,例如最小密码长度、大小写混合、标点符号或符号以及频繁更改密码。 访问控制的安全性可以通过几种常见的策略来增强。 ●强制使用强密码,并要求定期重置。 ●使用多因素身份验证技术。 ●要求用户定期重新认证。 ●采用最低特权或零信任的策略。 ●避免使用第三方访问控制,而对云平台中的服务和资源采用基于云计算的访问控制。 3.影子IT 任何人都可以创建公共云帐户,然后可以使用其帐户来提供服务以及迁移工作负载和数据。但是那些不精通安全标准的人常常会误解安全选项——留下可利用的云漏洞。在许多情况下,这种“影子IT”部署甚至可能永远不会识别或报告漏洞。这使得企业在损失发生很久之后才有机会缓解问题。 当今的企业对影子IT的容忍度更高,但实施标准配置和实践至关重要。业务用户、部门和其他实体必须遵守业务的既定标准,以消除漏洞并保持整个组织的安全。 4.不安全的API 不相关的软件产品使用API??进行通信和互操作,而无需了解彼此代码的内部工作原理。API通常需要敏感的业务数据,并授予对这些数据的访问权。许多API被公开以帮助加速采用,使外部开发人员和业务合作伙伴能够访问企业的服务和数据。 ●强身份验证 ●数据加密 ●活动监控和记录 ●访问控制 开发和实现API的企业应将API视为敏感代码,并应该进行全面的安全审查,包括渗透测试。云计算和其他外部API应该受到同样的审查。避免使用不符合既定安全准则的外部API。 (编辑:源码门户网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
