越來越多的數據和應用程序正在轉向雲端,這將帶來獨特的信息安全挑戰。以下是使用雲服務時,面臨的最嚴重的12個風險。要說明的是這12個風險提示可是國際雲安全聯盟(CSA)在經過細緻的調查後得出的結論。
其目的就是要弄清楚雲安全的主要責任方到底是雲服務提供商而是使用雲的用戶。另外,也是要讓企業對雲安全有個明確的應對策略。
數據洩露
CSA的調查顯示,數據洩露可能是黑客的攻擊結果,但也可能是人為操作錯誤、應用程序漏洞或安全措施配置不當的結果。洩露的數據都是比較隱私的數據,包括個人健康信息、財務信息、個人身份信息、商業秘密和知識產權。雖然數據洩露的風險並不是雲計算獨有的,但它始終是雲端客戶的首要考慮因素。
身份信息、登錄憑證和訪問管理的保護不到位
冒充合法用戶、操作人員或開發人員的黑客可以讀取、修改和刪除用戶的數據,進而對雲端的管理功能進行修改。CSA的調查顯示,對雲端數據進行攻擊的惡意軟件的來源都是合法的。因此可以斷定,身份信息、登錄憑證或密鑰管理的保護不到位,是造成數據未經授權被訪問的根本原因。
不安全的接口和應用程序編程接口(api)
用戶會通過雲服務商提供的用戶界面(ui)或客戶端來管理雲服務,CSA的調查顯示,對雲端進行攻擊的所有配置、管理和監控都是通過這些接口進行的,一般雲服務的安全性和可用性都依賴於api的安全性。
系統漏洞
系統漏洞是攻擊雲端的另一個途徑,攻擊者可以利用這些漏洞潛入系統竊取數據、控制系統或中斷服務操作。CSA的調查顯示,操作系統組件中的漏洞會將所有云端服務和數據的安全性置於重大風險之中。特別是對於公共雲端平臺來說,一個空間可能有多個臨時用戶,如果系統存在漏洞,那攻擊面將會非常廣。
賬戶劫持
CSA的調查顯示,帳號或服務劫持也是黑客攻擊雲端的手段之一。如果黑客獲得了用戶的憑證,他們就可以監控用戶的活動,篡改數據,返回虛假信息,並將客戶重定向到非法站點。使用竊取的憑證,黑客通常可以訪問雲計算服務的關鍵區域,從而竊取機密信息,進而破壞該區域功能的完整性和可用性。
內鬼
日防夜防,家賊難防,CSA的調查顯示,雖然大部分威脅都是外部人員所為,但也不排除公司內部有人在盜取數據,從而謀取暴利。近年來,類似事件屢見不鮮,由於像系統管理員這樣的內部人員可以訪問敏感信息,所以把安全完全交由雲服務提供商顯然是不明智的。
APT攻擊
APT是一種長期潛伏針對特定目標的網絡攻擊形式,它會提前滲透到目標公司IT基礎設施,然後伺機竊取數據,APT在很長一段時間內都是處於潛伏的狀態,所以一般的安全防禦措施很難檢測到它的存在。
數據丟失
CSA的調查顯示,存儲在雲中的數據可能會發生不明原因(並非黑客攻擊)的丟失,比如雲服務提供商的設備損壞、技術故障或火災、地震等物理災難可能導致客戶數據的永久丟失,除非提供商採取適當的措施對數據進行了備份。
盡職調查不足
CSA的調查顯示,當雲提供商的高管在制定業務戰略時,必須對雲技術進行必要的實地調查,已評估風險係數。
惡意使用雲服務
CSA的調查顯示,目前許多雲服務都在努力推銷自己的產品,所以我們可以使用很多免費的雲服務。但其實有的雲服務的安全配置根本就不到位,只是為了做個噱頭吸引客戶。有的雲服務還要讓用戶在登錄時,輸入用戶的個人支付賬號並和其它社交賬號聯繫起來。毫無疑問,這是利用雲服務騙取用戶信息的一個手段,即使雲服務提供商是無意的,那也是其不負責任在先。濫用雲端資源的例子包括啟動分佈式拒絕服務攻擊,垃圾郵件和網絡釣魚攻擊。
APT攻擊
APT是一種長期潛伏針對特定目標的網絡攻擊形式,它會提前滲透到目標公司IT基礎設施,然後伺機竊取數據,APT在很長一段時間內都是處於潛伏的狀態,所以一般的安全防禦措施很難檢測到它的存在。
數據丟失
CSA的調查顯示,存儲在雲中的數據可能會發生不明原因(並非黑客攻擊)的丟失,比如雲服務提供商的設備損壞、技術故障或火災、地震等物理災難可能導致客戶數據的永久丟失,除非提供商採取適當的措施對數據進行了備份。
盡職調查不足
CSA的調查顯示,當雲提供商的高管在制定業務戰略時,必須對雲技術進行必要的實地調查,已評估風險係數。
惡意使用雲服務
CSA的調查顯示,目前許多雲服務都在努力推銷自己的產品,所以我們可以使用很多免費的雲服務。但其實有的雲服務的安全配置根本就不到位,只是為了做個噱頭吸引客戶。有的雲服務還要讓用戶在登錄時,輸入用戶的個人支付賬號並和其它社交賬號聯繫起來。毫無疑問,這是利用雲服務騙取用戶信息的一個手段,即使雲服務提供商是無意的,那也是其不負責任在先。濫用雲端資源的例子包括啟動分佈式拒絕服務攻擊,垃圾郵件和網絡釣魚攻擊。
拒絕服務(DoS)
DoS攻擊旨在阻止用戶訪問其存儲的數據或應用程序,通過強制目標雲服務佔用過多的有限系統資源,如處理器能力,內存,磁盤空間或網絡帶寬,攻擊者可能會導致系統速度下降,並使所有合法的服務用戶無法訪問雲服務。
共享技術漏洞
CSA的調查顯示,雲服務提供商通過共享基礎架構,平臺或應用程序來擴展其服務。單位了節省成本,雲服務提供商是不會大幅增加現成的硬件或軟件的,所以只能以犧牲安全為代價了。支持雲服務的底層組件可能在最初設計時,並未想到為多用戶進行架構,這可能會導致共享中的技術漏洞。
如何優先對待雲安全合規?
很顯然,遷移到雲端在安全方面有諸多優點。遷移到雲端時,儘量不要拘泥於傳統IT的安全視角。畢竟,新的工作方法需要新的安全方法。下面是針對雲調整安全做法和優先事項時需要考慮的三個方面:
- 及早確定問題。雲安全類似解決複雜問題;最好的辦法就是,清楚地確定自己的目標。詳細列出你在安全和合規方面的優先事項和麵臨的挑戰,在此基礎上開展下一步。
- 訪問控制必不可少。大家在談論雲安全問題時經常忘了一點:所存儲數據的位置遠不如誰訪問數據來得重要。制定授權和訪問控制措施(包括實施最低權限原則),才是管理風險、限制洩密事件幾率的最好方法。
- 重視安全漏洞測試。安全漏洞測試是雲安全管理方面的一個重要輔助手段。你的系統接受的測試越嚴格,你就越有能力設計和實施積極主動的安全控制措施。
- 利用這些想法作為起點,你就能更有效地管理風險,並且能夠享受雲帶來的好處,而不危及你的寶貴資產。
閱讀更多 網絡安全焦點 的文章
