加入收藏 | 设为首页 | 会员中心 | 我要投稿 源码门户网 (https://www.92codes.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 安全 > 正文

云环境面临的十二项安全问题

发布时间:2018-05-16 01:34:57 所属栏目:安全 来源:站长网
导读:副标题#e# 云环境下的安全问题值得仔细梳理,供大家参考参考CSA在RSA发布的云安全面临的十二大威胁。 企业对于云计算并未袖手旁观,他们考虑是否冒着风险将应用和数据进行上云迁移。在这个过程中,安全问题依然是一个重要的考量。首先要做的是评估云环境面
副标题[/!--empirenews.page--]

云环境下的安全问题值得仔细梳理,供大家参考参考CSA在RSA发布的云安全面临的十二大威胁。

云安全

企业对于云计算并未袖手旁观,他们考虑是否冒着风险将应用和数据进行上云迁移。在这个过程中,安全问题依然是一个重要的考量。首先要做的是评估云环境面临的风险,评估面临的风险优先级。

CSA(云安全联盟)警告道:“云服务的共享、按需所取的特性带来了新的安全问题,足以抵消云计算带来的任何红利”。如CSA之前的几项报告所示,云服务的的特质容许用户绕过组织已有安全策略去通过影子IT服务建立自己的账户,必须采取妥当的控制措施。CSA的执行副总裁J.R. Santos谈到:“云计算12大威胁的发布反映了此前在管理层面缺少相关考量”。

一、数据泄露

云环境同传统企业网络一样面临着同样的众多安全威胁,但由于云服务存储着更大量的数据,云服务提供商越来成为了更重要目标。所面临威胁的严重性来源于所保护的数据资产如果发生泄露产生的危害性,虽然对于涉及泄露个人财务信息的事件更吸引世人眼球,但是发生在健康信息、商业机密和知识产权领域的安全事件后果更严重。

当发生数据泄露事件后,公司可能面临罚款、法律诉讼或者背后衍生的黑产交易,商业违约调查和对客户的通知要花费巨大的成本。另外代理的间接影响包括未来数年内的品牌信誉损失和丢失商业机会。

不同的云服务环境均采用部署不同的安全控制策略来保护,但是最终客户有责任保护自己的云上数据。CSA建议客户使用多种认证手段和加密措施以防止数据泄露事件的发生。

二、使用证书和认证体系

数据泄露等安全事件的攻击的源头经常是简单身份认证体系、弱口令和简单的密钥或证书系统。云上客户经常根据内部人员的角色身份认证系统应用不同的权限,但是需要关注的是:人员工作内容变更或者离开部门时经常忘记移除相应的用户权限。

多因素认证系统例如一次性密码、手机短信验证码、智能卡可以使攻击者更难以通过所窃取的口令登录系统达到保护云服务的效果。开发人员经常会犯在源代码中嵌入口令认证信息或者密钥,然后在无意间发布在类似于GitHub这样的公开源代码平台发布。认证口令需要被妥善保管且需采用具备符合安全性的公钥基础设施。定期更改口令策略以让攻击者难以有效利用从公开渠道获取的口令。

对于规划使用云服务商提供认证平台的客户,需要了解服务商采用何种措施来保护认证平台。统一集成认证方式其存在一定风险。客户需要权衡采用此种方式的便利性和这将使得资产成为攻击者的高价值目标之间的关系。

三、外部接口和API攻击

几乎每个云服务及应用均提供API服务。IT团队使用接口和API去管理和调用包括云资源、管理、服务编排和镜像等云服务。这些云服务的安全和可用性依赖于API的安全性。CSA警告第三方服务依赖于或者调用这些接口服务时,客户一旦引入更多的服务或者认证时,面向的风险也随之增加。 由于API和接口大都对外部互联网开放,几乎是暴露是系统暴露在最外围的部分。CSA建议视此视为“防御和监测的第一道前线”进行充足的安全控制和防范。此外对应用程序和系统进行威胁建模、数据流分析和架构设计也应成为应用开发生命周期的重要一环。同时CSA也建议展开代码review和严格的安全渗透测试。

四、存在弱点的系统漏洞

系统漏洞或程序中的安全缺陷问题由来已久,但是随着云计算引入的多租户模式后果越来越严重。不同租户间的内存共享、数据库以及其他的邻近资源产生了新的攻击面。CSA认为值得庆幸的是系统漏洞层面的攻击可以通过传统的IT运维环节来缓解,目前的最佳实践包括常规的漏洞扫描、尽快的漏洞修复和快速应对所报告反馈的漏洞和威胁。

根据CSA报告,降低系统漏洞风险的花费经常“相比于传统的IT成本少得多”。相比于所面临的破坏后果,让IT去处理风险和修复漏洞所或者的支持援助还是过少。CSA建议传统行业需要尽可能的将漏洞快速修复的工作通过固化至自动化工作流程或者通过持续闭环实现。技术团队应记录和回顾在应急处理修复漏洞时的各项变更实施过程。

五、账户劫持

网络钓鱼、欺诈和软件存在的漏洞在云环境仍然有效,使用云服务因攻击者可以窃取活动、操作业务和修改数据从而增加攻击面。攻击者也可使用云服务发起其他对外的攻击。

CAS认为现有的深度防御保护策略存在被此种方式绕过的缺口。租户应当阻止共用用户和服务之间的账户信息并启用多因素认证模式。为实现业务可被监测至个人用户粒度。个人账户、服务账户均应当被监测。当然一切的关键在于保护账户认证信息不被窃取。

六、内部恶意行为

内部威胁来源于存在多处:在职或者离职员工、系统管理员、外包人员、商业伙伴。恶意行为包括从数据窃取到报复行为。在云环境中,内部人员可以摧毁整个IT基础设施或进行数据的操作。依赖于单独的云服务提供的安全系统,例如加密服务仍然处在极大的风险中。

CSA建议租户合理控制加密程序和口令,区分使用者责任、利用最小权限原则。同时启动日志记录、监测、审计管理员活动也很重要。

CSA进一步解释道,很容易将工作人员日常工作中的误操作视为“恶意行为”,举例来说有可能管理员有临时拷贝包含敏感内容的用户数据库至可公开访问的服务器行为。此举会泄露更大的攻击面,需要通过适当的内部训练和管理制度来避免这样的错误对云环境造成更严重的后果。

七、APT寄生虫

CSA形象的比喻高级可持续攻击(APT)为“寄生”形式的攻击,攻击行为潜藏入系统占领一处“据点”,缓慢地、长时间小批量窃取数据和其他知识产权的内容。

由于APT攻击通常在网络边界发生,且夹杂在正常的流量中难以识别。主流云服务商虽提供先进技术来防止APT攻击渗透其基础设施,但是顾客也需在其自己的内网系统中一样,尽力检测云环境存在的APT攻击。

常见的突破点包括鱼叉式攻击、直接漏洞攻击、USB驱动预装病毒以及通过第三方网络的跳板。CSA建议训练雇员识别钓鱼攻击。

常见的IT安全意识培训让员工保持警惕以减少将APT攻击带人内部网络之中,同时IT部门需要持续关注最新的先进攻击手段。

八、数据永久丢失

(编辑:源码门户网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

热点阅读