云安全的11個網(wǎng)絡挑戰(zhàn)和解決措施
2021-02-26 17:32:45
在將業(yè)務轉移到云之前����,組織需要了解他們可能面臨的云安全挑戰(zhàn)以及如何應對這些挑戰(zhàn)����。
所有云計算平臺的主要承諾���,如提高信息技術效率�、靈活性和可擴展性�,都面臨著一個重大挑戰(zhàn):安全性。
許多組織無法定義云計算服務提供商(CSP)的責任在哪里結束���,他們的責任在哪里開始���,因此可能會有更多的漏洞。云計算的可擴展性也增加了組織的潛在攻擊面����。使問題進一步復雜化的是,傳統(tǒng)的安全控制措施已經(jīng)不能滿足云安全的要求�。
為了幫助組織了解他們面臨的云計算挑戰(zhàn),CSA在10年前成立了一個專業(yè)團隊��。由行業(yè)專業(yè)人士����、架構師、開發(fā)人員和組織管理人員組成的研究團隊確定了25種安全威脅的列表��,由安全專家進行了分析,對這些安全威脅進行了排名��,并將這些安全威脅歸納為11種最常見的云計算安全挑戰(zhàn):
數(shù)據(jù)泄露�����;
配置錯誤和變更控制不足��;
缺乏云安全架構和策略���;
身份��、憑證、訪問和密鑰管理不足�����;8.控制平臺薄弱
作為客戶的責任和2021年的新責任��,云計算控制平臺是組織使用的云計算管理控制臺和界面的集合����。根據(jù)CSA,它還包括數(shù)據(jù)復制���、遷移和存儲���。如果安全措施不當���,受損的控制平面可能會導致數(shù)據(jù)丟失、監(jiān)管罰款等后果�,以及品牌聲譽受損,造成收入損失�����。
云安全聯(lián)盟的建議如下:
要求云計算服務提供商進行適當?shù)目刂疲?br />
進行盡職調(diào)查���,確定潛在云服務是否有足夠的控制平臺�。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
建立信息安全政策和程序����,并使其便于內(nèi)部人員和外部業(yè)務關系審查;
實施和應用深度防御措施��,及時檢測和應對網(wǎng)絡攻擊�����;
制定策略來標記、處理和保護數(shù)據(jù)以及包含數(shù)據(jù)的對象�����。
9.元結構和應用程序結構失敗
云安全聯(lián)盟(CSA)定義的元結構是“提供基礎設施層和其他層之間接口的協(xié)議和機制”��,換句話說����,它是連接技術和實現(xiàn)管理和配置的粘合劑。
元結構是云計算服務提供商和客戶之間的分界線�����。這里有很多安全威脅:比如云安全聯(lián)盟(CSA)指出云計算服務提供商(CSP)的API執(zhí)行不力或者客戶使用的云計算應用程序不合適�����。這種安全挑戰(zhàn)可能會導致服務中斷和配置錯誤����,以及財務和數(shù)據(jù)損失���。
應用程序結構被定義為“部署在云中的應用程序以及用于構建它們的底層應用程序服務”�。例如消息隊列、手動分析或通知服務���。
報告中的新威脅是客戶和云計算服務提供商的共同責任��。云安全聯(lián)盟的建議如下:
云計算服務提供商提供可見性并披露緩解措施�,以解決其客戶缺乏透明度的問題��;
云計算服務提供商(CSP)進行滲透測試����,并向客戶提供結果;
客戶在云原生設計中實現(xiàn)功能和控制�����。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
制定并維護審計計劃�����,解決業(yè)務流程中斷問題����;
實施加密以保護存儲、使用和傳輸中的數(shù)據(jù);
建立存儲和管理身份信息的策略和程序��。
10.云計算能見度有限
長期以來���,云計算使用情況的可見性一直是組織管理員關注的問題����,但對于本報告中列出的CSA的云安全挑戰(zhàn)來說��,這是一個新問題����。根據(jù)CSA的說法,有限的可見性帶來了兩個關鍵挑戰(zhàn):未經(jīng)授權的應用程序使用�����,也稱為影子IT��,是指員工使用信息技術部門不允許的應用程序��。
批準的應用程序濫用是指未能按預期使用信息技術批準的應用程序��。例如���,這包括有權訪問應用程序的用戶�,以及使用通過SQL注入或DNS攻擊獲得的被盜憑據(jù)來訪問應用程序的未經(jīng)授權的個人����。
CSA認為,這種有限的可見性導致缺乏治理���、意識和安全性�,所有這些都可能導致網(wǎng)絡攻擊�����、數(shù)據(jù)丟失和漏洞����。
這是今年名單上的新安全威脅,也是云計算服務提供商和客戶的共同責任����。云安全聯(lián)盟的建議如下:
從上到下提高云計算的知名度;
對可接受的云使用策略進行組織培訓���;
所有未經(jīng)批準的云服務都需要經(jīng)過云安全架構師或第三方風險經(jīng)理的審查和批準����。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
定期進行風險評估;
讓所有人員了解他們的合規(guī)性���、安全角色和責任���;
清點、記錄和維護數(shù)據(jù)流�。
11.濫用和惡意使用云計算服務
正如云計算可以給組織帶來許多好處一樣,它也可能被惡意利用進行威脅�����。惡意使用合法的SaaS��、部分授權許可協(xié)議和內(nèi)部授權許可協(xié)議產(chǎn)品將影響個人��、云計算的客戶和云計算的服務提供商�����。組織傾向于通過以下方式濫用云計算服務:
分布式拒絕服務攻擊�;
釣魚;
滲透開采�;
點擊欺詐��;
暴力襲擊;
托管惡意或盜版內(nèi)容��。
損壞和濫用云計算服務可能導致費用���,如丟失加密貨幣或攻擊者付款���;組織在不知情的情況下托管惡意軟件的情況;數(shù)據(jù)丟失等����。
云安全聯(lián)盟(CSA)建議云計算服務提供商(CSP)盡最大努力通過事件響應框架檢測和減輕此類攻擊。云計算服務提供商(CSP)還應提供客戶可以用來監(jiān)控云計算工作負載和應用程序的工具和控制��。
作為客戶和云計算服務提供商的共同責任��,云安全聯(lián)盟的建議如下:
監(jiān)控員工云計算�;的使用情況
使用云計算數(shù)據(jù)丟失預防技術。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
采取技術措施管理移動設備的風險���;
為組織和用戶擁有的終端(包括工作站��、筆記本電腦和移動設備)定義配額并使用權限�����;
創(chuàng)建并維護已批準的應用程序列表�����。
賬戶劫持��;
內(nèi)部威脅�;
不安全的接口和APIs
控制平臺薄弱;
元結構和應用結構失效����;
云使用的可見性有限;
濫用和惡意使用云計算服務��。
此后�����,云安全聯(lián)盟(CSA)每兩年發(fā)布一份調(diào)查報告�。幾天前發(fā)布的一份名為“令人震驚的云計算的11大威脅”的報告詳細解釋了這些威脅,并確定了誰應該負責����,是客戶的責任����,還是云計算服務提供商(CSP)的責任�,或者兩者兼有,并提供了幫助組織實施云計算安全保護的步驟���。
CSA發(fā)布的第五份調(diào)查報告顯示了一些重大變化。值得注意的是���,11個主要安全威脅中有6個正在出現(xiàn)�。此外�,這些威脅并不是云計算服務提供商(CSP)的全部責任,而是與客戶相關���,或者由云計算服務提供商(CSP)和客戶共同承擔����。
云安全聯(lián)盟(CSA)全球研究副總裁約翰約赫(JohnYeoh)表示:“我們注意到�����,最重要的趨勢是��,組織已經(jīng)加強了對客戶的控制。”他將這些變化歸因于兩件事:要么是組織對云計算服務提供商(CSP)的信任顯著增加����,要么是組織希望加強控制,更好地了解他們可以在云平臺上做什么��,以及如何使用云服務來滿足其特定的安全需求��。
在今年發(fā)布的調(diào)查報告中����,根據(jù)受訪者進行的調(diào)查,以下是11種安全威脅以及針對每種安全威脅的緩解措施:
1.數(shù)據(jù)泄露
根據(jù)CSA的調(diào)查報告�,數(shù)據(jù)泄漏仍然是云計算服務提供商(CSP)及其客戶的責任,并將在2021年繼續(xù)成為最大的云安全威脅����。在過去的幾年里,許多數(shù)據(jù)泄漏都歸咎于云平臺�,其中最引人注目的事件之一是CapitalOne對云計算的錯誤配置。
數(shù)據(jù)泄露可能會導致一些組織陷入困境��,聲譽遭受不可逆轉的損害��,并因監(jiān)管影響、法律責任����、事件響應成本和市值下降而造成財務困難。
云安全聯(lián)盟的建議如下:
確定數(shù)據(jù)的價值及其損失的影響�����;
通過加密保護數(shù)據(jù)����;
制定一個強大且經(jīng)過良好測試的事故響應計劃����。
CSA的云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
執(zhí)行數(shù)據(jù)輸入和輸出完整性例程;
將最小特權原則應用于訪問控制�����;
建立安全刪除和處理數(shù)據(jù)的政策和程序�����。
CSA的云控制矩陣是CSA安全指南的支撐文檔�,是第四代文檔,總結了各種云域及其主要目標���。
云控制矩陣(CCM)提供了按控制區(qū)域和控制id分類的需求和控制的詳細列表��,每個列表對應于其控制規(guī)范�����、架構依賴���、云交付模型(SaaS�����、PaaS和IaaS)以及標準和框架(如PCIDSS���、NIST和FedRAMP)。
2.配置錯誤和變更控制不足
如果資產(chǎn)設置不正確��,它們很容易受到網(wǎng)絡攻擊�����。比如CapitalOne公司的安全漏洞����,可以追溯到泄露AmazonS3 bucket的Web應用防火墻的錯誤配置�。除了不安全的存儲之外�,過大的權限和使用默認憑據(jù)是數(shù)據(jù)漏洞的另外兩個主要來源。
與此相關�����,無效的變更控制可能導致云計算配置錯誤���。在按需實時云計算環(huán)境中����,變更控制應該自動化�,以支持快速變更���。
客戶責任��、錯誤配置和變更控制是云安全威脅列表中的新內(nèi)容��。
云安全聯(lián)盟(CSA)的建議如下:
特別注意通過互聯(lián)網(wǎng)獲取的數(shù)據(jù)�����;
定義數(shù)據(jù)的業(yè)務價值及其損失的影響���;
創(chuàng)建并維護一個強有力的事故響應計劃���。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
確保外部合作伙伴遵守內(nèi)部開發(fā)人員使用的變更管理、發(fā)布和測試程序�;
按計劃的時間間隔進行風險評估;
承包商�、第三方用戶和員工的安全意識培訓。3.缺乏云安全架構和策略
許多組織在沒有適當?shù)捏w系結構和策略的情況下進入云�����。在遷移到云平臺之前���,客戶必須了解他們面臨的威脅��、如何安全地遷移到云平臺以及共同責任模式的來龍去脈����。
這種威脅是列表中的新內(nèi)容�����,主要是客戶的責任。如果沒有適當?shù)囊?guī)劃�����,客戶將容易受到網(wǎng)絡攻擊����,這可能導致財務損失、聲譽損害以及法律和合規(guī)性問題�。
云安全聯(lián)盟的建議如下:
確保安全架構符合業(yè)務目標。
開發(fā)和實施安全架構框架�����。
實施持續(xù)的安全監(jiān)控程序���。
云控制矩陣(CCM)包括以下內(nèi)容:
確保政策風險評估包括更新政策�,程序�、標準和控制措施�,以保持相關性;
根據(jù)商定的服務級別和容量級別預期��、信息技術治理和服務管理政策和程序�����,設計、開發(fā)和部署業(yè)務關鍵/影響客戶的應用程序和應用編程接口設計和配置以及網(wǎng)絡和系統(tǒng)組件�;
限制和監(jiān)控網(wǎng)絡環(huán)境和虛擬實例中可信和不可信連接之間的流量。
4.身份�、憑證、訪問和密鑰管理不足
大多數(shù)云安全威脅和一般網(wǎng)絡安全威脅都與身份和訪問管理(IAM)問題相關聯(lián)�。根據(jù)云安全聯(lián)盟(CSA)指南,這是由于以下原因:
證書保護不正確�����;
缺少自動加密密鑰����、密碼和證書輪換;
IAM可擴展性挑戰(zhàn)�;
缺少多因素身份驗證;
弱密碼�����。
對于頂級云安全挑戰(zhàn)列表��,新的標準身份和訪問管理(IAM)挑戰(zhàn)通過使用云計算得到加強���。執(zhí)行庫存�,跟蹤、監(jiān)控和管理大量云計算帳戶的方法包括設置和取消配置問題�����、僵尸帳戶����、過多的管理員帳戶和繞過身份和訪問管理(IAM)控制的用戶,以及定義角色和權限的挑戰(zhàn)�。
作為客戶的責任,云安全聯(lián)盟(CSA)的建議如下:
使用雙因素身份驗證��;
對云計算用戶和身份實施嚴格的身份和訪問管理控制��;
輪換密鑰�、刪除未使用的憑證和訪問權限,并采用集中式編程密鑰管理��。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
確定關鍵經(jīng)理�,發(fā)展和維護政策;的關鍵管理
分配���、記錄和傳達終止雇傭或程序變更的角色和職責���;
及時取消用戶對數(shù)據(jù)和網(wǎng)絡組件的訪問權限。
5.賬戶劫持
云計算賬戶劫持是指對云計算環(huán)境的運營��、管理或維護至關重要的云計算賬戶泄漏����、意外泄漏或其他泄漏。如果這些高度特權和敏感的賬戶被銷毀��,可能會導致嚴重的后果��。
從網(wǎng)絡釣魚和填制憑證到薄弱或被盜的憑證到編碼不正確����,賬戶泄漏可能導致數(shù)據(jù)泄漏和服務中斷。
作為云計算服務提供商(CSP)和客戶的責任��,CSA的建議如下:
請記住�����,帳戶劫持不僅僅是密碼重置�����;
使用深度防御、身份和訪問管理(IAM)控制��。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
建立�、記錄和采用統(tǒng)一的業(yè)務連續(xù)性計劃;
分離的生產(chǎn)和非生產(chǎn)環(huán)境��;
維護并定期更新合規(guī)聯(lián)系人�,為快速與執(zhí)法部門互動做好準備。
6.內(nèi)部威脅
與組織網(wǎng)絡中的員工和其他人相關的風險不限于云平臺�。無論疏忽或意圖如何,內(nèi)部人員(包括現(xiàn)任和前任員工���、承包商和合作伙伴)都可能導致數(shù)據(jù)丟失����、系統(tǒng)停機�、客戶信心下降和數(shù)據(jù)泄漏。
組織必須解決客戶責任�����、涉及泄露或被盜數(shù)據(jù)的內(nèi)部威脅�����、憑據(jù)問題、人為錯誤和云錯誤配置��。
云安全聯(lián)盟的建議如下:
進行安全意識培訓�����;
修復配置錯誤的云計算服務器����;
限制對關鍵系統(tǒng)的訪問�。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
在重新定位或轉移硬件、軟件或數(shù)據(jù)之前需要授權�����;
按計劃的時間間隔授權和重新驗證用戶訪問控制�����;
對多租戶應用程序����、基礎架構和其他租戶的網(wǎng)絡進行分區(qū)。
7.不安全的接口和應用編程接口
云計算服務提供商(CSP)的用戶界面和應用編程接口是云計算環(huán)境中最開放的部分,客戶通過它們與云計算服務進行交互��。任何云計算服務的安全都是從良好的保護開始的���,這是客戶和云計算服務提供商的責任�。
云計算服務提供商(CSP)必須確保集成了安全性���,客戶必須努力使用云安全聯(lián)盟(CSA)的所謂云計算“前門”進行管理��、監(jiān)控和安全���。這個威脅已經(jīng)從上一份報告中的第三大威脅降到了第七大威脅,但仍然非常重要��。
云安全聯(lián)盟(CSA)的建議如下:
保證API的安全性���;
避免API密鑰重用���;
使用標準開放的API框架。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
根據(jù)行業(yè)領先標準設計���、開發(fā)��、部署和測試原料藥�����,并遵守適用法律����、法規(guī)和監(jiān)管義務�����;
隔離和限制對與組織信息系統(tǒng)交互的審計工具的訪問��,以防止數(shù)據(jù)泄漏和篡改����;
限制可以覆蓋系統(tǒng)、對象�����、網(wǎng)絡���、虛擬機和應用程序控制的實用程序�。
行業(yè)資訊 
在線計價 
微信公眾號
粵公網(wǎng)安備 44030702002479號