隨著越來越多的企業(yè)使用云服務(wù)器等云服務(wù)，海量的數(shù)據(jù)跟應(yīng)用程序都遷移到了云上，云安全不得不引起大家的重視。以下的云安全威脅，企業(yè)要多留意，做好防御工作。

1、數(shù)據(jù)泄露

數(shù)據(jù)泄露的威脅在去年的調(diào)查中仍然保持其首要的位置。不難理解其原因，因?yàn)閿?shù)據(jù)泄露可能會(huì)嚴(yán)重?fù)p害企業(yè)的聲譽(yù)和財(cái)務(wù)。它們可能會(huì)導(dǎo)致知識(shí)產(chǎn)權(quán)(IP)損失和重大法律責(zé)任。

云安全聯(lián)盟(CSA)關(guān)于數(shù)據(jù)泄露威脅的關(guān)鍵要點(diǎn)包括：

攻擊者需要獲取數(shù)據(jù)，因此企業(yè)需要定義其數(shù)據(jù)的價(jià)值及其丟失的影響。 誰有權(quán)訪問數(shù)據(jù)是解決保護(hù)數(shù)據(jù)的關(guān)鍵問題。 通過全球互聯(lián)網(wǎng)可訪問的數(shù)據(jù)最容易受到錯(cuò)誤配置或利用。

加密可以保護(hù)數(shù)據(jù)，但需要在性能和用戶體驗(yàn)之間進(jìn)行權(quán)衡。

企業(yè)需要考慮云服務(wù)提供商經(jīng)過測(cè)試的可靠事件響應(yīng)計(jì)劃。

2、配置錯(cuò)誤和變更控制不足

配置錯(cuò)誤和變更控制不足是對(duì)云安全聯(lián)盟(CSA)列表的新威脅，考慮到許多企業(yè)意外地通過云計(jì)算泄露數(shù)據(jù)的例子，這不足為奇。例如，云安全聯(lián)盟(CSA)引用了Exactis事件，云計(jì)算提供商因配置錯(cuò)誤開放了Elasticsearch數(shù)據(jù)庫，其中包含2.3億名美國消費(fèi)者的個(gè)人數(shù)據(jù)，可供公眾訪問。由于備份服務(wù)器配置不正確，其威脅與數(shù)據(jù)泄露一樣嚴(yán)重， Level One Robotics公司泄露了100多家制造公司的IP。

云安全聯(lián)盟(CSA)表示，這不僅僅是企業(yè)必須關(guān)注的數(shù)據(jù)丟失，還有為了破壞業(yè)務(wù)而刪除或修改資源。報(bào)告將大部分錯(cuò)誤配置歸咎于糟糕的變更控制實(shí)踐。

云安全聯(lián)盟(CSA)關(guān)于配置錯(cuò)誤和變更控制不力的關(guān)鍵要點(diǎn)包括：

基于云計(jì)算的資源的復(fù)雜性使其難以配置。

不要期望傳統(tǒng)的控制和變更管理方法在云中有效。

使用自動(dòng)化和技術(shù)，這些技術(shù)會(huì)持續(xù)掃描錯(cuò)誤配置的資源。

3、身份、憑證、訪問和密鑰管理不力

列表中的另一個(gè)新威脅是對(duì)數(shù)據(jù)、系統(tǒng)和物理資源(如服務(wù)器機(jī)房和建筑物)的訪問管理和控制不力。該報(bào)告指出，云計(jì)算要求企業(yè)改變與身份和訪問管理(IAM)有關(guān)的做法。沒有這樣做的后果可能導(dǎo)致安全事件和破壞，其原因是：

憑據(jù)保護(hù)不足 缺乏自動(dòng)輪換密碼密鑰、密碼和證書的功能 缺乏可擴(kuò)展性 無法使用多因素身份驗(yàn)證 無法使用強(qiáng)密碼

云安全聯(lián)盟(CSA)關(guān)于身份、證書、訪問和密鑰管理不足的關(guān)鍵要點(diǎn)包括：

安全帳戶，包括使用雙因素身份驗(yàn)證 限制使用root帳戶

根據(jù)業(yè)務(wù)需求和最低特權(quán)原則，隔離和細(xì)分帳戶、虛擬私有云和身份組 采用程序化、集中式方法進(jìn)行密鑰輪換。

刪除未使用的憑據(jù)和訪問權(quán)限。

4、帳戶劫持

帳戶劫持仍然是今年第五大云威脅。隨著網(wǎng)絡(luò)釣魚嘗試變得更加有效和更具針對(duì)性，攻擊者獲得高權(quán)限帳戶訪問權(quán)的風(fēng)險(xiǎn)非常大。網(wǎng)絡(luò)釣魚并不是攻擊者獲取憑據(jù)的唯一方法。他們還可以通過其他方式竊取賬戶。

一旦攻擊者可以使用合法帳戶進(jìn)入系統(tǒng)，他們就可能造成大量破壞，其中包括盜竊或破壞重要數(shù)據(jù)、中止服務(wù)交付或財(cái)務(wù)欺詐。云安全聯(lián)盟(CSA)建議對(duì)用戶進(jìn)行帳戶劫持的危險(xiǎn)和跡象的培訓(xùn)和教育，以很大程度地降低風(fēng)險(xiǎn)。

云安全聯(lián)盟(CSA)關(guān)于帳戶劫持的關(guān)鍵要點(diǎn)包括：

帳戶憑據(jù)被盜后，不僅要重置密碼。需要從根本原因入手解決問題。

深度防御方法和強(qiáng)大的身份識(shí)別與訪問管理(IAM)控制是很好的防御方法。

5、缺乏云安全架構(gòu)和策略

這個(gè)問題從云計(jì)算出現(xiàn)時(shí)就一直存在，但今年已成為云安全聯(lián)盟(CSA)的新問題。將系統(tǒng)和數(shù)據(jù)遷移到云中所需的時(shí)間最小化的愿望通常優(yōu)先于安全性。因此，該公司可以使用非針對(duì)其設(shè)計(jì)的安全性基礎(chǔ)設(shè)施和策略在云中運(yùn)營。這出現(xiàn)在2019年的清單上的事實(shí)表明，更多的企業(yè)意識(shí)到這是一個(gè)值得關(guān)注的問題。

云安全聯(lián)盟(CSA)關(guān)于缺乏云安全架構(gòu)和策略的關(guān)鍵要點(diǎn)包括：

安全體系結(jié)構(gòu)需要與業(yè)務(wù)目標(biāo)保持一致。

開發(fā)和實(shí)施安全體系結(jié)構(gòu)框架。

保持威脅模型為新的版本。

部署連續(xù)監(jiān)視功能。

6、不安全的接口和API

不安全的接口和API從去年的第三名跌至第七名。2018年發(fā)生了眾所周知的Facebook數(shù)據(jù)泄露事件，影響了全秋5000多萬個(gè)帳戶，這是其查看方式功能中引入的漏洞的結(jié)果。尤其是當(dāng)與用戶界面相關(guān)聯(lián)時(shí)，API漏洞可以為攻擊者提供竊取用戶或員工憑據(jù)的清晰途徑。

云安全聯(lián)盟(CSA)報(bào)告指出，企業(yè)需要了解API和用戶界面是系統(tǒng)中最容易暴露的部分，并且鼓勵(lì)通過設(shè)計(jì)方法來構(gòu)建它們來保證安全性。

云安全聯(lián)盟(CSA)關(guān)于不安全的接口和API的關(guān)鍵要點(diǎn)包括：

采取良好的API做法，例如監(jiān)督庫存、測(cè)試、審計(jì)和異常活動(dòng)保護(hù)等項(xiàng)目。

保護(hù)API密鑰并避免重用。

考慮開放的API框架，例如開放云計(jì)算接口(OCCI)或云基礎(chǔ)設(shè)施管理接口(CIMI)。

7、內(nèi)部威脅

來自受信任內(nèi)部人員的威脅在云中與內(nèi)部部署系統(tǒng)一樣嚴(yán)重。組織內(nèi)部人員可以是現(xiàn)任或前任員工、承包商或可信賴的業(yè)務(wù)合作伙伴，這些是無需突破公司防御即可訪問其系統(tǒng)的任何人。

內(nèi)部人士造成的損害并不一定懷有惡意，他們可能會(huì)無意間使數(shù)據(jù)和系統(tǒng)面臨風(fēng)險(xiǎn)。云安全聯(lián)盟(CSA)引用了波洛蒙研究所的2018年內(nèi)部威脅成本研究報(bào)告，該報(bào)告指出，報(bào)告的所有內(nèi)部事件中有64%是由于員工或承包商的疏忽所致。這種疏忽可能包括配置錯(cuò)誤的云計(jì)算服務(wù)器，在個(gè)人設(shè)備上存儲(chǔ)敏感數(shù)據(jù)，或成為網(wǎng)絡(luò)釣魚電子郵件的受害者。

云安全聯(lián)盟(CSA)關(guān)于內(nèi)部威脅的關(guān)鍵要點(diǎn)包括：

對(duì)員工進(jìn)行有關(guān)正確做法的培訓(xùn)和教育，以保護(hù)數(shù)據(jù)和系統(tǒng)。

使教育成為一個(gè)持續(xù)的過程。 定期審核和修復(fù)配置錯(cuò)誤的云計(jì)算服務(wù)器。

限制對(duì)關(guān)鍵系統(tǒng)的訪問。

8、控制平臺(tái)薄弱

控制平臺(tái)涵蓋了數(shù)據(jù)復(fù)制、遷移和存儲(chǔ)的過程。根據(jù)云安全聯(lián)盟(CSA)的說法，如果負(fù)責(zé)這些過程的人員無法完全控制數(shù)據(jù)基礎(chǔ)設(shè)施的邏輯、安全性和驗(yàn)證，則控制平臺(tái)將很薄弱。管理人員需要了解安全配置、數(shù)據(jù)流向以及架構(gòu)盲點(diǎn)或弱點(diǎn)。否則可能會(huì)導(dǎo)致數(shù)據(jù)泄漏、數(shù)據(jù)不可用或數(shù)據(jù)損壞。

云安全聯(lián)盟(CSA)關(guān)于控制平臺(tái)薄弱的關(guān)鍵要點(diǎn)括：

確保云計(jì)算服務(wù)提供商提供了履行法律和法定義務(wù)所需的安全控制。

進(jìn)行盡職調(diào)查，以確保云計(jì)算服務(wù)提供商擁有足夠的控制平臺(tái)。

9、云計(jì)算使用情況有限的可見性

安全專業(yè)人員普遍抱怨云計(jì)算環(huán)境使他們對(duì)檢測(cè)和防止惡意活動(dòng)所需的許多數(shù)據(jù)視而不見。云安全聯(lián)盟(CSA)將這種有限的使用可見性挑戰(zhàn)分為兩類：未經(jīng)批準(zhǔn)的應(yīng)用程序使用和未經(jīng)批準(zhǔn)的應(yīng)用程序?yàn)E用。

許可的應(yīng)用程序?yàn)E用可能是使用許可的應(yīng)用程序的授權(quán)人員或使用被盜憑據(jù)的外部威脅參與者。云安全聯(lián)盟(CSA)報(bào)告稱，安全團(tuán)隊(duì)需要能夠通過檢測(cè)異常行為來區(qū)分有效用戶和無效用戶。

云安全聯(lián)盟(CSA)關(guān)于有限的云使用可見性的關(guān)鍵要點(diǎn)包括：

從上到下開發(fā)與人員、流程和技術(shù)相關(guān)的云計(jì)算可見性工作。

在組織范圍內(nèi)進(jìn)行強(qiáng)制性培訓(xùn)，了解可接受的云使用政策和執(zhí)行情況。

讓云安全架構(gòu)師或第三方風(fēng)險(xiǎn)管理人員查看所有未經(jīng)批準(zhǔn)的云服務(wù)。

投資云訪問安全代理(CASB)或軟件定義的網(wǎng)關(guān)(SDG)，以分析出站活動(dòng)。

投資Web應(yīng)用程序防火墻以分析入站連接。

在整個(gè)組織中實(shí)施零信任模型。

10、濫用和惡意使用云計(jì)算服務(wù)

攻擊者越來越多地使用合法的云計(jì)算服務(wù)來支持其活動(dòng)。例如，他們可能使用云計(jì)算服務(wù)在GitHub等站點(diǎn)上托管偽裝的惡意軟件，發(fā)起DDoS攻擊，分發(fā)網(wǎng)絡(luò)釣魚電子郵件，挖掘數(shù)字貨幣，執(zhí)行自動(dòng)點(diǎn)擊欺詐或進(jìn)行暴力攻擊以竊取憑據(jù)。

11、元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)故障

云計(jì)算服務(wù)提供商的元結(jié)構(gòu)保存有關(guān)如何保護(hù)其系統(tǒng)的安全信息，并通過API調(diào)用公開該信息。云安全聯(lián)盟(CSA)將元結(jié)構(gòu)稱為云服務(wù)提供商/客戶的“分界線”。API幫助客戶檢測(cè)未經(jīng)授權(quán)的訪問，但還包含高度敏感的信息，例如日志或?qū)徍讼到y(tǒng)數(shù)據(jù)。

這條“分界線”也是潛在的故障點(diǎn)，可能使攻擊者能夠訪問數(shù)據(jù)或破壞云客戶。API實(shí)施不佳通常是導(dǎo)致漏洞的原因。云安全聯(lián)盟(CSA)指出，例如，不成熟的云計(jì)算服務(wù)提供商可能不知道如何正確地向其客戶提供API。

另一方面，客戶可能不了解如何正確實(shí)施云計(jì)算應(yīng)用程序。當(dāng)他們連接非為云環(huán)境設(shè)計(jì)的應(yīng)用程序時(shí)，尤其如此。

云安全聯(lián)盟(CSA)關(guān)于元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)失敗的關(guān)鍵要點(diǎn)包括：

確保云計(jì)算服務(wù)提供商提供可見性，并公開緩解措施。

在云原生設(shè)計(jì)中實(shí)施適當(dāng)?shù)墓δ芎涂丶?/p>

確保云計(jì)算服務(wù)提供商進(jìn)行滲透測(cè)試并向客戶提供發(fā)現(xiàn)結(jié)果。

云服務(wù)器在給我們帶來便捷的服務(wù)使用之外，也生成了新的安全挑戰(zhàn)，我們要保護(hù)好資源不被惡意利用。