云安全威胁有各种形状和大小,所以我们要求八位专家参与他们看到的云安全的威胁。答案是五花八门的,但是在所有情况下,我们的云安全小组成员认为这些威胁是可以解决的。
1。应用程序层拒绝服务攻击
拉克什国王,产品营销总监和策略,Arbor Networks
最大的安全威胁云是应用程序层分布式拒绝服务(DDoS)攻击。这些攻击威胁云基础设施本身的可用性。如果一个云服务甚至不是可用,所有其他的安全措施,从保护确保合规,是没有任何价值的。
黑客发现和积极利用云防御的弱点,利用廉价、方便的工具来启动应用程序层的攻击。他们已经成功的主要原因是企业数据中心和云计算运营商不充分的准备抵御它们。2020欧洲杯预赛
现有的解决方案,如防火墙和入侵防御是分层防御策略的基本要素,但他们是为了解决安全问题,从根本上不同于专门的DDoS攻击。
随着DDoS攻击变得更普遍,2020欧洲杯预赛运营商和云服务提供商必须找到新的方法来识别和减轻进化DDoS攻击。供应商必须授权数据中心运营商快速处理高带宽2020欧洲杯预赛自动攻击和有针对性的应用程序层DDoS攻击和简单的方式。这节省了公司主要运营费用,客户流失,收入损失,和品牌的伤害。
2。损失的机密数据
由赫尔默,围护系统的首席技术官
保密内容是顶级云安全的威胁和对信息安全的领导人。
各种规模的公司和所有行业,特别是医疗和金融行业,已经采取措施来保护保密的内容从披露遗留数据中心由于高昂的成本,从违反处罚结果,声誉的损失。2020欧洲杯预赛
然而,在云中,许多组织不知道,内容不能被监视,控制,和保护一样容易,因为缺乏可见性、与其他云客户共享系统,和潜在的恶意的内部人员在云提供商。
为维护内容云环境带来不同的障碍。在信息(IaaS)环境中,客户在云中创建公司基础设施的能力。加密、访问控制和监测可以减少威胁的内容披露。然而,现代内容安全监控和过滤解决方案可能难以或者不可能部署由于建筑或其他限制在这个云环境。
平台即服务(PaaS)环境中,客户可以快速向上新的网页,数据库和电子邮件服务器,但会发现他们甚至更少的方法监测或比一个IaaS环境保护的内容。
客户机密内容供应商在SaaS环境中最大的仁慈。除了少数例外,没有办法为客户,以确保安全的内容在一个SaaS提供者——SaaS提供者必须完全信任和值得信赖的(和受强大的合同),以维持安全代表客户。
3所示。管理复杂性和风险
首席架构师,由约翰·帝伦Axway云服务
在云中最大的威胁——当然大,成熟的企业管理复杂性和风险。
组织管理本地部署传统方式时,他们倾向于分解的基本组件(网络、防火墙、存储结构、计算服务器、灾难恢复),并确定每一块周围的类型和级别的风险(包括单独和整个基础设施的一部分。这种方法分析基础设施产生大量的透明一般,尤其是和风险管理。
但是当你去云,元素通常能够分析复杂性和风险由别人,现在正在建造和管理潜在的透明度,可以阻碍你的总体战略和风险管理的复杂性。
所以,企业必须“更上一层楼”,云提供商时希望使用云计算服务。和一个关键的问题是:你能给我什么透明度(包括预测服务水平协议),这样我可以利用到现有的风险管理指令?
云提供商面临的挑战是平衡提供云服务的魔力——应该提供一个干净,简单,容易使用接口,能够整合企业现有的织物。包括提供一定程度的技术交底(透明度),使企业管理的复杂性和风险的权力混合云基础设施。
4所示。停机时间由于云中断
由彼得·格洛克,云服务主管,橙色的业务服务
像一个调谐交响乐团,人多力量大,集体力量被用来创造机会的作曲家和推动你的听众进入你的音乐厅。但有时只是其中的一个球员有点走调,或当你的角部分迟到是一个很好的表现,整个管弦乐队可以来一个完整的戛然而止。
也是如此的云计算。在云中您可以利用最好的设计,利用完美的操作和利用一些受益很多的力量。然而,就像一个专业乐团,云服务的好处可以崩溃的你如果不正确的设计、操作和维护。
云是在一个平台的吸引力似乎提供无限的计算资源。然而,同样的控制,管理你的企业基础设施也在管理别人的同时,所有在同一网络。这种走钢丝表演可以创建一个场景,甚至一个小故障或违反可能引发的一系列后果。然后云提供商的挑战是他们是否能保持在一个复杂而庞大的网络。网络上,用户越多,越难解决,大云停电,影响所有的基础架构的可能性绑在它。甚至一个成功的事件反应可能会涉及到关闭的大部分网络,影响你即使你的基础设施不是源或主要问题的受害者。
最近的头条新闻表明这是真的商业服务提供者经历了深远的云中断,摧毁了网站和客户和供应商都造成的收入损失。然而,如果你选择明智,云仍然是一个有力的商业计划。
我们看到客户采用混合方法,混合与私人公共云服务,并限制对共享平台的依赖。此外,我们发现,大多数业务操作在云中不是关键任务,因此,即使一个事件发生在客户端有有限的损失。这是大型企业中尤其明显。中小型规模的企业依赖于公共云的资源通常是最伤害在停机。
操作风险从云服务可以减轻通过良好的流程管理和服务水平协议(SLA)保证正常运行时间和提供解决方案的停机时间。
5。员工“个人云”
公司的共同创始人兼首席技术官Simon Crosby, Bromium
当我和cio谈论云计算的使用,他们的重点是构建一个私有云——一个企业、虚拟化和自动化it作为服务能力,可以帮助他们更容易应对不断变化的业务需求,并实现更高的效率和可用性。为什么要构建一个私有云?答案是一致的:公共云服务被视为一个安全风险。
但是没有任何重大的技术壁垒,构建一个公共云服务,远比任何企业私有云安全。很容易,例如,实现一个系统中,所有的数据都是加密的静止,解密形式和可用的应用程序使用它,使用的企业所有者提供的密钥数据(而不是云提供者)。
但是观念仍然——由日益增长的流成功攻击公司和政府的报告。风险是真实的,深感担忧,但在绝大多数的情况下,涉及到从妥协妥协的企业私有云企业个人电脑。
重申:企业通过员工更容易受到攻击和使用安全性较差、企业客户比直接攻击其数据中心。2020欧洲杯预赛的RSA攻击RSA令牌被盗的种子,开始与一名员工受感染微软Excel电子表格。第一次来自中国的攻击在gmail使用有毒的URL和Internet Explorer 6。所以,云计算最大的安全威胁来自员工的“个人云”——他们的个人和企业利益的合并在一个设备的整体操作系统无法分离和独立的不同域的信任。
6。缺乏可见性
保罗·亨利,安全专家和法医Lumension分析师
云安全的最大威胁是缺乏可见性、责任问题敞开了大门。
许多传统安全提供者加入转向虚拟化和需要多年为他们提供解决方案,可以在虚拟机之间数据的无缝流动没有身体接触网络接口。在虚拟化,这造成了一个严重的缺乏可见性和控制,进一步恶化了漏洞或缺陷在邻居的多租户云环境的负债负责一个常数。
鉴于云是建立在更便宜的承诺,我们现在必须考虑到这个环境我们创造不接受责任的供应商。云服务提供商提供其“,”不承担任何风险,有些人甚至为所有人提供一个排斥liability-leaving solution-less任何人面对云安全问题。
有趣的关于云环境,因为这些责任问题,云提供商将不得不研究所安全服务水平协议(SLA)。而在过去我们已经习惯于接受来自软件供应商的缺陷和漏洞,为了使成本保持在较低水平在云环境中,提供者必须击退任何安全相关问题避免接受任何潜在的法律责任。
7所示。治理和运营安全的变化
由乔·伦纳德安全实践经理要塞
云安全的两个主要问题是治理和运营安全的变化。
组织必须评估他们现有的治理对云安全模型和剩余风险和了解需要实现补偿控制。治理关注的领域包括风险管理、法律和合规、生命周期管理和可移植性。
操作安全问题包括业务连续性、灾难恢复、事件响应、加密、漏洞评估、身份访问管理和虚拟化。
云多租户环境安全控制开发通用服务提供这可能或可能不会为每个组织提供足够的安全。组织需要评估他们的漏洞和实施威胁的预防政策和技术;否则,对违反将变得更加规则的例外。
云起着至关重要的作用,帮助组织利用效率、灵活性和易于操作。公司必须投资于人所必需的技术技能评估他们准备实施不同的云架构,帮助移动数据的公共/私有云并理解与变化相关的安全风险与云架构有关。
由于组织和文化执行云策略的复杂性,企业选择“任务”业务的某些方面,因为熟练的资源短缺。公司理解的组织影响云谁能获得这些技能,正确的安全策略,建立更紧密的与业务部门的关系将是最能减轻与云安全相关的两大风险。
8。方便地访问云资源
托马出纳员,安全研究人员和传教士
当涉及到云安全的头号威胁被网络罪犯云权力的滥用。
今天,有一个门槛低,这使得它很容易被黑客发射安全攻击云计算资源。
对于一些公司来说,云的性质允许任何人使用有效的信用卡注册和使用云服务。垃圾邮件、恶意代码作者和其他犯罪分子可以利用这些平台,发起拒绝服务攻击主机僵尸网络指挥和控制服务器,执行密码和密钥破解和其他恶意软件感染合法租户在云系统。
此外,今天的攻击者可以创建大规模的分布式DoS攻击,甚至没有任何僵尸。他们所要做的是购买或获取几个服务器和打击一些服务了几分钟。
这也允许罪犯建立“彩虹表”,这是预先计算散列用于脱机密码破解——除了CAPCHA打破和解密经常参与。黑客可以利用这种技术来快速改变位置和保持他们的业务。
一些云服务甚至提供试用版,授权访问时间短,允许罪犯是完全匿名的。
而云是深刻地改变了企业利用技术为业务,重要的是要注意的机会可以创造——在积极和消极两个方面。有时你必须像一个罪犯为了阻止一个威胁您的业务。