如今,云计算正在不断改变组织使用、存储和共享数据、应用程序以及工作负载的方式。但是与此同时,它也引发了一系列新的安全威胁和挑战。随着越来越多的数据进入云端,尤其是进入公共云服务,这些资源自然而然地就沦为了网络犯罪分子的目标。
公共云的利用率正在快速增长,因此不可避免地将会导致更多的敏感内容置于潜在风险威胁之中。但是,与许多人认为的刚好相反,保护云端中的企业数据的主要责任不在于云服务提供商,而在于云客户本身。我们正处在一个云安全过渡期,重点正从供应商转向客户。
很多企业开始认识到,花费大量时间来判断某个特定的云服务提供商是否“安全”,几乎得不到任何结果,因为主要责任在于使用者自身。
为了让企业了解云安全问题,以便他们能够就云采用策略做出明智的决策,云安全联盟(CSA)近日发布了最新版本的《12大顶级云安全威胁:行业见解报告》。
这一报告反映了云计算安全联盟(CSA)安全专家当前就云计算中最重要的安全问题所达成的共识。云计算安全联盟表示,尽管目前云中存在许多安全问题,但这份报告的重点聚焦在12个涉及云计算的共享和按需特性方面的威胁。
为了确定用户最关心的问题,云计算安全联盟对行业专家进行了一次调查,就云计算中最严重的安全问题编写了一些专业意见及建议。以下是12个最严重的云安全问题的具体内容(按照调查结果的严重程度排序):
1. 数据泄露
云计算安全联盟表示,数据泄露可能是有针对性攻击的主要目标,也可能是人为错误、应用程序漏洞或安全措施不佳所导致的后果。这可能涉及任何非公开发布的信息,其中包括个人健康信息、财务信息、个人身份信息(PII)、商业机密以及知识产权等。由于不同的原因,组织基于云端的数据可能会对不同的组织具有更大的价值。数据泄露的风险并不是云计算所独有的,但它始终是云计算用户需要首要考虑的因素。
2. 身份、凭证和访问管理不足
云计算安全联盟表示,恶意行为者会通过伪装成合法用户、运营人员或开发人员来读取、修改和删除数据;获取控制平台和管理功能;在传输数据的过程中进行窥探,或释放看似来源于合法来源的恶意软件。因此,身份认证不足、凭证或密钥管理不善都可能会导致未经授权的数据访问行为发生,由此可能对组织或最终用户造成灾难性的损害。
3. 不安全的接口和应用程序编程接口(API)
云计算安全联盟表示,云服务提供商会公开一组客户使用的软件用户界面(UI)或API来管理和与云服务进行交互。其配置、管理和监控都是通过这些接口来实现执行的,一般来说,云服务的安全性和可用性也都取决于API的安全性。它们需要被设计用来防止意外和恶意的绕过安全协议的企图。
4. 系统漏洞
系统漏洞是系统程序中存在的可用漏洞,利用这些漏洞,攻击者能够渗透进系统,并窃取数据、控制系统或中断服务操作。云计算安全联盟表示,操作系统组件中存在的漏洞,使得所有服务和数据的安全性都面临了重大的安全风险。随着云端多租户形式的出现,来自不同组织的系统开始呈现彼此靠近的局面,且允许在同一平台/云端的用户都能够访问共享内存和资源,这也导致了新的攻击面的出现,扩大了安全风险。
5. 账户劫持
云计算安全联盟指出,账户或服务劫持并不是什么新鲜事物,但云服务为这一景观增添了新的威胁。如果攻击者获得了对用户凭证的访问权限,他们就能够窃听用户的活动和交易行为,操纵数据,返回伪造的信息并将客户重定向到非法的钓鱼站点中。账户或服务实例可能成为攻击者的新基础。由于凭证被盗,攻击者经常可以访问云计算服务的关键区域,从而危及这些服务的机密性、完整性以及可用性。
6. 恶意的内部人员
云计算安全联盟表示,虽然内部人员造成的威胁程度是存在争议的,但不可否认的是,内部威胁确实是一种实实在在的威胁。一名怀有恶意企图的内部人员(如系统管理员),他们能够访问潜在的敏感信息,并且可以越来越多地访问更重要的系统,并最终访问到机密数据。仅仅依靠云服务提供商提供安全措施的系统势必将面临更大的安全风险。
7. 高级持续性威胁(APT)
高级持续性威胁(APT)是一种寄生式的网络攻击形式,它通过渗透到目标公司的IT基础设施来建立立足点的系统,并从中窃取数据。高级持续性威胁(APT)通常能够适应抵御它们的安全措施,并在目标系统中“潜伏”很长一段时间。一旦准备就绪(如收集到足够的信息),高级持续性威胁(APT)就可以通过数据中心网络横向移动,并与正常的网络流量相融合,以实现他们的最终目标。
8. 数据丢失
云计算安全联盟表示,存储在云中的数据可能会因恶意攻击以外的原因而丢失。云计算服务提供商的意外删除行为、火灾或地震等物理灾难都可能会导致客户数据的永久性丢失,除非云服务提供商或云计算用户采取了适当的措施来备份数据,遵循业务连续性的最佳实践,否则将无法实现灾难恢复。
9. 尽职调查不足
云计算安全联盟表示,当企业高管制定业务战略时,必须充分考虑到云计算技术和服务提供商。在评估云技术和服务提供商时,制定一个良好的路线图和尽职调查清单对于获得最大的成功机会可谓至关重要。而在没有执行尽职调查的情况下,就急于采用云计算技术并选择提供商的组织势必将面临诸多安全风险。
10. 滥用和恶意使用云服务
云计算安全联盟指出,云服务部署不充分,免费的云服务试用以及通过支付工具欺诈进行的欺诈性账户登录,将使云计算模式暴露于恶意攻击之下。恶意行为者可能会利用云计算资源来定位用户、组织或其他云服务提供商。其中滥用云端资源的例子包括启动分布式拒绝服务攻击(DDoS)、垃圾邮件和网络钓鱼攻击等。
11. 拒绝服务(DoS)
拒绝服务(DoS)攻击旨在防止服务的用户访问其数据或应用程序。拒绝服务(DoS)攻击可以通过强制目标云服务消耗过多的有限系统资源(如处理器能力,内存,磁盘空间或网络带宽),来帮助攻击者降低系统的运行速度,并使所有合法的用户无法访问服务。
12. 共享的技术漏洞
云计算安全联盟指出,云计算服务提供商通过共享基础架构、平台或应用程序来扩展其服务。云技术将“即服务”(as-a-service)产品划分为多个产品,而不会大幅改变现成的硬件/软件(有时以牺牲安全性为代价)。构成支持云计算服务部署的底层组件,可能并未设计成为“多租户”架构或多客户应用程序提供强大的隔离性能。这可能会导致共享技术漏洞的出现,并可能在所有交付模式中被恶意攻击者滥用。
完整报告: