十二大云安全威胁
No.1:数据泄露
云环境面对的威胁中有很多都与传统企业网络面对的威胁相同,但由于有大量数据存储在云服务器上,云提供商便成为了黑客很喜欢下手的目标。万一受到攻击,潜在损害的严重性,取决于所泄露数据的敏感性。个人财务信息泄露事件或许会登上新闻头条,但涉及健康信息、商业机密和知识产权的数据泄露,却有可能是更具毁灭性的打击。
威胁 No.2:凭证被盗和身份验证如同虚设
数据泄露和其他攻击通常都是身份验证不严格、弱密码横行、密钥或凭证管理松散的结果。公司企业在试图根据用户角色分配恰当权限的时候,通常都会陷入身份管理的泥潭。更糟糕的是,他们有时候还会在工作职能改变或用户离职时忘了撤销相关用户的权限。
威胁 No.4:系统漏洞利用
系统漏洞,或者程序中可供利用的漏洞,真不是什么新鲜事物。但是,随着云计算中多租户的出现,这些漏洞的问题就大了。公司企业共享内存、数据库和其他资源,催生出了新的攻击方式。
幸运的是,针对系统漏洞的攻击,用“基本的IT过程”就可以缓解。最佳实践包括:定期漏洞扫描、及时补丁管理和紧跟系统威胁报告。
CSA报告表明:修复系统漏洞的花费与其他IT支出相比要少一些。部署IT过程来发现和修复漏洞的开销,比漏洞遭受攻击的潜在损害要小。管制产业(如国防、航天航空业)需要尽可能快地打补丁,最好是作为自动化过程和循环作业的一部分来实施。变更处理紧急修复的控制流程,要确保该修复活动被恰当地记录下来,并由技术团队进行审核。
威胁 No.5:账户劫持
网络钓鱼、诈骗、软件漏洞利用,依然是很成功的攻击方式。而云服务的出现,又为此类威胁增加了新的维度。因为攻击者可以利用云服务窃听用户活动、操纵交易、修改数据。利用云应用发起其他攻击也不无可能。
常见的深度防护保护策略能够控制数据泄露引发的破坏。公司企业应禁止在用户和服务间共享账户凭证,还应在可用的地方启用多因子身份验证方案。用户账户,甚至是服务账户,都应该受到监管,以便每一笔交易都能被追踪到某个实际的人身上。关键就在于,要避免账户凭证被盗。
威胁 No.6:恶意内部人士
内部人员威胁拥有很多张面具:现员工或前雇员、系统管理员、承包商、商业合作伙伴……恶意行为可以从单纯的数据偷盗,到报复公司。在云环境下,恶意满满的内部人员可以破坏掉整个基础设施,或者操作篡改数据。安全性完全依赖于云服务提供商的系统,比如加密系统,是风险最大的。
CSA建议:公司企业自己控制加密过程和密钥,分离职责,最小化用户权限。管理员活动的有效日志记录、监测和审计也是非常重要。
不过,话又说回来,一些拙劣的日常操作也很容易被误解为“恶意”内部人员行为。典型的例子就是,管理员不小心把敏感客户数据库拷贝到了可公开访问的服务器上。鉴于潜在的暴露风险更大,云环境下,合适的培训和管理对于防止此类低级错误就显得更为重要了。
威胁 No.7:APT(高级持续性威胁)寄生虫
CSA把高级持续性威胁(APT)比作“寄生”形式的攻击真是太形象了。APT渗透进系统,建立起桥头堡,然后,在相当长一段时间内,源源不断地,悄悄地偷走数据和知识产权。跟寄生虫没什么差别。
威胁 No.8:永久的数据丢失
随着云服务的成熟,由于提供商失误导致的永久数据丢失已经极少见了。但恶意黑客已经会用永久删除云端数据来危害公司企业了,而且云数据中心跟其他任何设施一样对自然灾害无能为力。
威胁 No.9:调查不足
一家公司,若在没有完全理解云环境及其相关风险的情况下,就投入云服务的怀抱,那等在它前方的,比然是无数的商业、金融、技术、法律和合规风险。公司是否迁移到云环境,是否与另一家公司在云端合作,都需要进行尽职调查。没能仔细审查合同的公司,可能就不会注意到提供商在数据丢失或泄露时的责任条款。
在将App部署到特定云时,如果公司开发团队缺乏对云技术的了解,运营和架构问题也会冒头。CSA提醒公司企业:每订阅任何一个云服务,都必须进行全面细致的尽职调查,弄清他们承担的风险。
威胁 No.10:云服务滥用
云服务可能被用于支持违法活动,比如利用云计算资源破解密钥、发起分布式拒绝服务(DDoS)攻击、发送垃圾邮件和钓鱼邮件、托管恶意内容等。
提供商要能识别出滥用类型,例如通过检查流量来识别出DDoS攻击,还要为客户提供监测他们云环境健康的工具。客户要确保提供商拥有滥用报告机制。尽管客户可能不是恶意活动的直接猎物,云服务滥用依然可能造成服务可用性问题和数据丢失问题。
威胁 No.11:拒绝服务(DoS)攻击
DoS攻击以及有很多年的历史了,但由于云计算,这种攻击方式枯木逢春了——因为它们通常会影响到可用性,系统响应会被大幅拖慢甚至直接超时,能给攻击者带来很好的攻击效果。遭受拒绝服务攻击,就像经历上下班交通拥堵;只有一条到达目的地的路,但你除了坐等,毫无办法。
DoS攻击消耗大量的处理能力,最终都要由客户买单。尽管高流量的DDoS攻击如今更为常见,公司企业仍然要留意非对称的、应用级的DoS攻击,保护好自己的Web服务器和数据库。
在处理DoS攻击上,云服务提供商一般都比客户更有经验,准备更充分。个中关键,就在于攻击发生前就要有缓解计划,这样管理员们才能在需要的时候可以访问到这些资源。
威胁 No.12:共享技术,共享危险
共享技术中的漏洞给云计算带来了相当大的威胁。云服务提供商共享基础设施、平台和应用,一旦其中任何一个层级出现漏洞,每个人都会受到影响。一个漏洞或错误配置,就能导致整个提供商的云环境遭到破坏。
若一个内部组件被攻破,就比如说一个管理程序、一个共享平台组件,或者一个应用吧,整个环境都会面临潜在的宕机或数据泄露风险。CSA建议采用深度防御策略,包括在所有托管主机上应用多因子身份验证,启用基于主机和基于网络的入侵检测系统,应用最小特权、网络分段概念,实行共享资源补丁策略等等。