企业不再坐视不管,不知道是否应该冒险将应用程序和数据迁移到云上。他们正在这么做,但安全仍然是一个严重的问题。
将云计算中的风险最小化的第一步是识别最严重的安全威胁。
在上周的RSA大会上,CSA(云安全联盟)列出了2016年企业面临的12大云计算威胁“危险的12个”。CSA发布这份报告是为了帮助云计算客户和提供商集中精力进行防御。
CSA警告说,云计算的共享、按需的性质可能会带来新的安全漏洞,这些漏洞可能会抹去转换到云技术所带来的任何好处。正如前面CSA报告中所指出的,云服务本质上允许用户绕过组织范围的安全策略,并在影子IT项目服务中建立自己的帐户。新的控制措施必须到位。
CSA负责研究的执行副总裁J.R. Santos说:“2016年发布的头号威胁反映了糟糕的云计算决策在管理层中的影响。”
威胁1:数据泄露
云计算环境面临着许多传统的企业网络同样的威胁,但由于云存储服务器上的数据的数量繁多,供应商成为有吸引力的目标。潜在的损害的严重程度趋向于依赖于暴露的数据的敏感性。暴露的个人财务信息往往会在头条新闻,但涉及到的健康信息,商业秘密和知识产权漏洞可能更具破坏性。
当数据泄露发生时,公司可能会被罚款,或面临诉讼或刑事指控。违规调查和客户通知可能会增加大量成本。间接影响,如品牌损害和业务损失,可以影响组织多年。
云提供商通常部署安全控制来保护他们的环境,但最终,组织有责任保护自己的数据在云端。CSA建议企业使用多因素认证和加密来防止数据泄露。
威胁2:被破坏的凭证和被破坏的认证
数据泄露和其他攻击的松懈认证,弱口令,并重点贫困或证书管理常常引起。因为他们试图适当的权限分配给用户的工作角色组织经常与身份管理奋斗。更重要的是,他们有时会忘记删除用户访问时,工作职能的变化或用户离开组织。
一次性密码、基于手机的认证和智能卡等多因素认证系统保护了云服务,因为它们使攻击者更难用偷来的密码登录。Anthem事件曝光了8000多万份客户记录,这是用户证书被盗的结果。Anthem未能部署多因素身份验证,所以一旦攻击者获得了凭证,游戏就结束了。
许多开发人员使嵌入证书和密钥的源代码,并让他们在面向公众的信息库,如GitHub上的错误。钥匙需要进行适当保护,安全性很高的公共密钥基础设施是必要的,CSA说。他们还需要定期轮换,使其更难攻击者使用他们已经擅自获得密钥。
计划将身份与云提供商联合的组织需要了解提供商用于保护身份平台的安全措施。将身份集中到单个存储库中是有风险的。组织需要权衡集中化身份的方便性和让存储库成为攻击者的高价值目标的风险。
威胁3:被黑的接口和api
实际上,每个云服务和应用程序现在提供的API。IT团队使用的接口和API来管理和云服务,包括那些提供云供应,管理,协调和监控互动。
加密和活动监视从认证和访问控制 - - 云服务的安全性和可用性取决于API的安全性。与依赖于这些接口的API和建设,为组织可能需要公开更多的服务和证书的第三方风险增加,CSA警告。弱界面和API暴露组织相关的保密性,完整性,可用性和责任追究的安全问题。
api和接口往往是系统中最容易暴露的部分,因为它们通常可以从开放的Internet访问。CSA建议适当控制的“第一道防线和检测。威胁建模应用和系统,包括数据流和架构/设计,成为开发生命周期的重要部分。CSA还建议关注安全性的代码审查和严格的渗透测试。
威胁4:被利用的系统漏洞
系统漏洞,或者在程序利用的bug,是不是新的,但他们已经成为多租户的云计算的出现更大的问题。组织共享接近彼此存储,数据库和其他资源,创造新的攻击面。
幸运的是,对系统漏洞的攻击可以得到缓解“基本的IT流程”的CSA说。最佳做法包括定期漏洞扫描,提示补丁管理,以及快速跟进所报告的系统的威胁。
根据CSA的说法,减轻系统漏洞的成本“与其他IT支出相比相对较小”。“与潜在的损害相比,进行IT程序发现和修复漏洞的花费是很小的。”监管的行业需要尽快修补,最好是作为一个自动化和循环过程的一部分,建议的CSA。处理紧急修补的变更控制过程确保修复活动被适当地记录并由技术团队评审。
5号威胁:帐户劫持
网络钓鱼,欺诈和软件漏洞仍然是成功的,和云服务添加一个新的层面的威胁,因为攻击者可以在活动窃听,操纵交易,并修改数据。攻击者还能够使用云应用程序启动其他攻击。
常见的深度防御保护策略可以控制由入侵引起的损害。组织应该禁止在用户和服务之间共享帐户凭据,并在可用的情况下启用多因素认证方案。应该监视帐户,甚至服务帐户,以便每个事务都可以跟踪到人类所有者。CSA表示,关键是保护账户凭证不被窃取。
威胁6:恶意的内部人士
内部威胁有许多方面:现任或前任雇员、系统管理员、承包商或业务合作伙伴。恶意议程包括从数据盗窃到报复。在云计算的场景中,一个顽固的内部人员可以摧毁整个基础设施或操纵数据。在安全(比如加密)方面完全依赖云服务提供商的系统风险最大。
CSA建议组织机构控制加密过程和密钥,分离职责,尽量减少用户访问权限。有效的日志记录、监视和审核管理员活动也非常重要。
正如CSA指出的那样,人们很容易将执行例行工作的拙劣尝试误解为“恶意的”内部活动。例如,管理员意外地将敏感的客户数据库复制到公共可访问的服务器。在云计算中,适当的培训和管理以防止此类错误变得更加关键,因为潜在的风险更大。
威胁第7号:APT的寄生虫
CSA恰当地将高级持续威胁(APTs)称为“寄生”形式的攻击。APTs侵入系统以建立立足点,然后在很长一段时间内偷偷地窃取数据和知识产权。
APT的通常是通过网络和混合横向移动与正常的交通,所以他们很难察觉。主要的云服务供应商采用先进的技术,以防止APT的渗入他们的基础设施,但客户需要为勤于检测云账户APT妥协,因为他们会在内部部署系统。
常见的入侵方式包括鱼叉式网络钓鱼、直接攻击、预装恶意软件的USB驱动器,以及受损的第三方网络。特别地,CSA建议培训用户识别钓鱼技术。
定期加强宣传方案使用户警觉,不容易被欺骗,让一个APT到网络 - 和IT部门需要随时了解最新的先进攻击。先进的安全控制,流程管理,事件响应计划,以及IT员工培训都导致增加安全预算。组织应权衡的成功APT攻击造成的潜在经济损害这些成本。
威胁第8号:永久性的数据丢失
随着云的成熟,由于提供商错误而导致永久数据丢失的报告已经变得极为罕见。但恶意黑客会永久删除云数据以危害企业,而云数据中心与任何设施一样容易遭受自然灾害。2020欧洲杯预赛
云提供商建议跨多个区域分布数据和应用程序,以增加保护。充分的数据备份措施是必不可少的,同时还要遵守业务连续性和灾难恢复方面的最佳实践。对于云环境,日常数据备份和异地存储仍然很重要。
防止数据丢失的负担是不是所有的云服务提供商。如果客户的数据进行加密上传到云之前,则该客户必须小心保护加密密钥。一旦钥匙丢失,所以是数据。
合规性政策通常规定多久组织必须保留审计记录和其他文件。失去这样的数据可能会产生严重后果的监管。新的欧盟数据保护也掌管治疗数据销毁和个人数据,需要适当的通知数据泄露的损坏。知道规则,以避免越来越麻烦。
威胁9:不够勤奋
拥抱云没有充分了解环境及其相关的风险可能会遇到一个组织“的商业,金融,技术,法律和合规风险无数,” CSA的警告。尽职调查适用该组织是否正在试图迁移到云或合并(或工作)与另一家公司在云中。例如,未能审查合同的组织可能没有意识到数据丢失或破坏的情况下,供应商的责任。
运营和架构问题出现,如果作为应用程序部署到特定的云公司的开发团队缺乏与云技术的熟悉程度。该CSA提醒他们组织必须执行广泛的尽职调查,以了解他们承担的风险,当他们订阅到每个云服务。
威胁第10:云服务滥用
云服务可以被用来支持邪恶的活动,比如使用云计算资源破解加密密钥以发动攻击。其他例子包括发起DDoS攻击、发送垃圾邮件和钓鱼邮件以及托管恶意内容。
供应商需要认识到滥用的类型 - 如审议流量识别DDoS攻击 - 并提供工具,为客户监控其云环境的健康。客户应该确保供应商提供举报虐待的机制。尽管客户可能不是恶意的行为直接猎物,云服务滥用仍然可以导致服务可用性问题和数据丢失。
威胁11:DoS攻击
DoS攻击已经存在多年了,但由于云计算的出现,它们再次受到关注,因为它们经常影响可用性。系统可能会慢到爬行,或者简单地超时。“经历一次拒绝服务攻击就像被困在高峰时段的交通拥堵中;只有一种方法可以到达你的目的地,而你除了坐着等待什么也做不了。”
DoS攻击消耗大量的处理能力,账单客户最终可能要付出的。虽然大容量DDoS攻击是非常普遍的,企业应该意识到的不对称,应用级的DoS攻击,其目标Web服务器和数据库漏洞。
CSA表示,云服务提供商在处理DoS攻击方面往往比客户做得更好。关键是在攻击发生之前制定计划来减轻攻击,这样管理员就可以在需要时访问这些资源。
没有威胁。12:共享技术,共享的危险
共享技术中的漏洞对云计算构成了重大威胁。云服务提供商共享基础设施、平台和应用程序,如果在这些层中任何一层出现漏洞,都会影响到所有人。该报告称:“一个漏洞或错误配置就可能导致整个云服务提供商的损失。”
如果一个完整的组件(例如,一个虚拟机监控程序、一个共享平台组件或一个应用程序)受到破坏,就会将整个环境暴露于潜在的破坏和破坏之中。CSA建议了一个深入防御策略,包括对所有主机、基于主机和基于网络的入侵检测系统进行多因素认证,应用最少特权、网络分割和共享资源打补丁的概念。
这篇文章,“前12大云安全威胁”最初是由信息世界 。