云安全的11個(gè)網(wǎng)絡(luò)挑戰(zhàn)和解決措施
2021-02-26 17:32:45
在將業(yè)務(wù)轉(zhuǎn)移到云之前,組織需要了解他們可能面臨的云安全挑戰(zhàn)以及如何應(yīng)對這些挑戰(zhàn)��。
所有云計(jì)算平臺的主要承諾����,如提高信息技術(shù)效率、靈活性和可擴(kuò)展性�����,都面臨著一個(gè)重大挑戰(zhàn):安全性�。
許多組織無法定義云計(jì)算服務(wù)提供商(CSP)的責(zé)任在哪里結(jié)束,他們的責(zé)任在哪里開始�����,因此可能會有更多的漏洞。云計(jì)算的可擴(kuò)展性也增加了組織的潛在攻擊面���。使問題進(jìn)一步復(fù)雜化的是���,傳統(tǒng)的安全控制措施已經(jīng)不能滿足云安全的要求。
為了幫助組織了解他們面臨的云計(jì)算挑戰(zhàn)����,CSA在10年前成立了一個(gè)專業(yè)團(tuán)隊(duì)。由行業(yè)專業(yè)人士��、架構(gòu)師�����、開發(fā)人員和組織管理人員組成的研究團(tuán)隊(duì)確定了25種安全威脅的列表�,由安全專家進(jìn)行了分析,對這些安全威脅進(jìn)行了排名�,并將這些安全威脅歸納為11種最常見的云計(jì)算安全挑戰(zhàn):
數(shù)據(jù)泄露;
配置錯(cuò)誤和變更控制不足���;
缺乏云安全架構(gòu)和策略����;
身份、憑證�����、訪問和密鑰管理不足�;8.控制平臺薄弱
作為客戶的責(zé)任和2021年的新責(zé)任,云計(jì)算控制平臺是組織使用的云計(jì)算管理控制臺和界面的集合���。根據(jù)CSA�,它還包括數(shù)據(jù)復(fù)制���、遷移和存儲。如果安全措施不當(dāng)���,受損的控制平面可能會導(dǎo)致數(shù)據(jù)丟失��、監(jiān)管罰款等后果��,以及品牌聲譽(yù)受損����,造成收入損失。
云安全聯(lián)盟的建議如下:
要求云計(jì)算服務(wù)提供商進(jìn)行適當(dāng)?shù)目刂疲?br />
進(jìn)行盡職調(diào)查�����,確定潛在云服務(wù)是否有足夠的控制平臺�。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
建立信息安全政策和程序,并使其便于內(nèi)部人員和外部業(yè)務(wù)關(guān)系審查���;
實(shí)施和應(yīng)用深度防御措施��,及時(shí)檢測和應(yīng)對網(wǎng)絡(luò)攻擊����;
制定策略來標(biāo)記�、處理和保護(hù)數(shù)據(jù)以及包含數(shù)據(jù)的對象。
9.元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)失敗
云安全聯(lián)盟(CSA)定義的元結(jié)構(gòu)是“提供基礎(chǔ)設(shè)施層和其他層之間接口的協(xié)議和機(jī)制”�����,換句話說���,它是連接技術(shù)和實(shí)現(xiàn)管理和配置的粘合劑���。
元結(jié)構(gòu)是云計(jì)算服務(wù)提供商和客戶之間的分界線�。這里有很多安全威脅:比如云安全聯(lián)盟(CSA)指出云計(jì)算服務(wù)提供商(CSP)的API執(zhí)行不力或者客戶使用的云計(jì)算應(yīng)用程序不合適���。這種安全挑戰(zhàn)可能會導(dǎo)致服務(wù)中斷和配置錯(cuò)誤����,以及財(cái)務(wù)和數(shù)據(jù)損失����。
應(yīng)用程序結(jié)構(gòu)被定義為“部署在云中的應(yīng)用程序以及用于構(gòu)建它們的底層應(yīng)用程序服務(wù)”。例如消息隊(duì)列���、手動分析或通知服務(wù)����。
報(bào)告中的新威脅是客戶和云計(jì)算服務(wù)提供商的共同責(zé)任�����。云安全聯(lián)盟的建議如下:
云計(jì)算服務(wù)提供商提供可見性并披露緩解措施�����,以解決其客戶缺乏透明度的問題����;
云計(jì)算服務(wù)提供商(CSP)進(jìn)行滲透測試,并向客戶提供結(jié)果�����;
客戶在云原生設(shè)計(jì)中實(shí)現(xiàn)功能和控制����。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
制定并維護(hù)審計(jì)計(jì)劃,解決業(yè)務(wù)流程中斷問題�����;
實(shí)施加密以保護(hù)存儲��、使用和傳輸中的數(shù)據(jù)�����;
建立存儲和管理身份信息的策略和程序����。
10.云計(jì)算能見度有限
長期以來,云計(jì)算使用情況的可見性一直是組織管理員關(guān)注的問題,但對于本報(bào)告中列出的CSA的云安全挑戰(zhàn)來說�,這是一個(gè)新問題。根據(jù)CSA的說法���,有限的可見性帶來了兩個(gè)關(guān)鍵挑戰(zhàn):未經(jīng)授權(quán)的應(yīng)用程序使用���,也稱為影子IT,是指員工使用信息技術(shù)部門不允許的應(yīng)用程序��。
批準(zhǔn)的應(yīng)用程序?yàn)E用是指未能按預(yù)期使用信息技術(shù)批準(zhǔn)的應(yīng)用程序���。例如���,這包括有權(quán)訪問應(yīng)用程序的用戶,以及使用通過SQL注入或DNS攻擊獲得的被盜憑據(jù)來訪問應(yīng)用程序的未經(jīng)授權(quán)的個(gè)人���。
CSA認(rèn)為�,這種有限的可見性導(dǎo)致缺乏治理��、意識和安全性��,所有這些都可能導(dǎo)致網(wǎng)絡(luò)攻擊�����、數(shù)據(jù)丟失和漏洞�����。
這是今年名單上的新安全威脅��,也是云計(jì)算服務(wù)提供商和客戶的共同責(zé)任����。云安全聯(lián)盟的建議如下:
從上到下提高云計(jì)算的知名度;
對可接受的云使用策略進(jìn)行組織培訓(xùn)����;
所有未經(jīng)批準(zhǔn)的云服務(wù)都需要經(jīng)過云安全架構(gòu)師或第三方風(fēng)險(xiǎn)經(jīng)理的審查和批準(zhǔn)。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
定期進(jìn)行風(fēng)險(xiǎn)評估�����;
讓所有人員了解他們的合規(guī)性���、安全角色和責(zé)任���;
清點(diǎn)、記錄和維護(hù)數(shù)據(jù)流。
11.濫用和惡意使用云計(jì)算服務(wù)
正如云計(jì)算可以給組織帶來許多好處一樣��,它也可能被惡意利用進(jìn)行威脅���。惡意使用合法的SaaS�、部分授權(quán)許可協(xié)議和內(nèi)部授權(quán)許可協(xié)議產(chǎn)品將影響個(gè)人���、云計(jì)算的客戶和云計(jì)算的服務(wù)提供商��。組織傾向于通過以下方式濫用云計(jì)算服務(wù):
分布式拒絕服務(wù)攻擊�����;
釣魚���;
滲透開采;
點(diǎn)擊欺詐�;
暴力襲擊;
托管惡意或盜版內(nèi)容��。
損壞和濫用云計(jì)算服務(wù)可能導(dǎo)致費(fèi)用��,如丟失加密貨幣或攻擊者付款�����;組織在不知情的情況下托管惡意軟件的情況;數(shù)據(jù)丟失等�。
云安全聯(lián)盟(CSA)建議云計(jì)算服務(wù)提供商(CSP)盡最大努力通過事件響應(yīng)框架檢測和減輕此類攻擊��。云計(jì)算服務(wù)提供商(CSP)還應(yīng)提供客戶可以用來監(jiān)控云計(jì)算工作負(fù)載和應(yīng)用程序的工具和控制��。
作為客戶和云計(jì)算服務(wù)提供商的共同責(zé)任���,云安全聯(lián)盟的建議如下:
監(jiān)控員工云計(jì)算���;的使用情況
使用云計(jì)算數(shù)據(jù)丟失預(yù)防技術(shù)。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
采取技術(shù)措施管理移動設(shè)備的風(fēng)險(xiǎn)�;
為組織和用戶擁有的終端(包括工作站、筆記本電腦和移動設(shè)備)定義配額并使用權(quán)限�;
創(chuàng)建并維護(hù)已批準(zhǔn)的應(yīng)用程序列表。
賬戶劫持�;
內(nèi)部威脅;
不安全的接口和APIs
控制平臺薄弱�;
元結(jié)構(gòu)和應(yīng)用結(jié)構(gòu)失效;
云使用的可見性有限�;
濫用和惡意使用云計(jì)算服務(wù)。
此后�����,云安全聯(lián)盟(CSA)每兩年發(fā)布一份調(diào)查報(bào)告。幾天前發(fā)布的一份名為“令人震驚的云計(jì)算的11大威脅”的報(bào)告詳細(xì)解釋了這些威脅����,并確定了誰應(yīng)該負(fù)責(zé),是客戶的責(zé)任�����,還是云計(jì)算服務(wù)提供商(CSP)的責(zé)任�,或者兩者兼有,并提供了幫助組織實(shí)施云計(jì)算安全保護(hù)的步驟�����。
CSA發(fā)布的第五份調(diào)查報(bào)告顯示了一些重大變化��。值得注意的是����,11個(gè)主要安全威脅中有6個(gè)正在出現(xiàn)。此外�,這些威脅并不是云計(jì)算服務(wù)提供商(CSP)的全部責(zé)任,而是與客戶相關(guān)���,或者由云計(jì)算服務(wù)提供商(CSP)和客戶共同承擔(dān)��。
云安全聯(lián)盟(CSA)全球研究副總裁約翰約赫(JohnYeoh)表示:“我們注意到���,最重要的趨勢是�����,組織已經(jīng)加強(qiáng)了對客戶的控制。”他將這些變化歸因于兩件事:要么是組織對云計(jì)算服務(wù)提供商(CSP)的信任顯著增加��,要么是組織希望加強(qiáng)控制���,更好地了解他們可以在云平臺上做什么���,以及如何使用云服務(wù)來滿足其特定的安全需求。
在今年發(fā)布的調(diào)查報(bào)告中�,根據(jù)受訪者進(jìn)行的調(diào)查,以下是11種安全威脅以及針對每種安全威脅的緩解措施:
1.數(shù)據(jù)泄露
根據(jù)CSA的調(diào)查報(bào)告�����,數(shù)據(jù)泄漏仍然是云計(jì)算服務(wù)提供商(CSP)及其客戶的責(zé)任��,并將在2021年繼續(xù)成為最大的云安全威脅。在過去的幾年里�����,許多數(shù)據(jù)泄漏都?xì)w咎于云平臺����,其中最引人注目的事件之一是CapitalOne對云計(jì)算的錯(cuò)誤配置。
數(shù)據(jù)泄露可能會導(dǎo)致一些組織陷入困境����,聲譽(yù)遭受不可逆轉(zhuǎn)的損害,并因監(jiān)管影響�、法律責(zé)任、事件響應(yīng)成本和市值下降而造成財(cái)務(wù)困難����。
云安全聯(lián)盟的建議如下:
確定數(shù)據(jù)的價(jià)值及其損失的影響;
通過加密保護(hù)數(shù)據(jù)��;
制定一個(gè)強(qiáng)大且經(jīng)過良好測試的事故響應(yīng)計(jì)劃����。
CSA的云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
執(zhí)行數(shù)據(jù)輸入和輸出完整性例程;
將最小特權(quán)原則應(yīng)用于訪問控制�����;
建立安全刪除和處理數(shù)據(jù)的政策和程序。
CSA的云控制矩陣是CSA安全指南的支撐文檔����,是第四代文檔,總結(jié)了各種云域及其主要目標(biāo)��。
云控制矩陣(CCM)提供了按控制區(qū)域和控制id分類的需求和控制的詳細(xì)列表��,每個(gè)列表對應(yīng)于其控制規(guī)范��、架構(gòu)依賴�、云交付模型(SaaS��、PaaS和IaaS)以及標(biāo)準(zhǔn)和框架(如PCIDSS�、NIST和FedRAMP)。
2.配置錯(cuò)誤和變更控制不足
如果資產(chǎn)設(shè)置不正確��,它們很容易受到網(wǎng)絡(luò)攻擊�����。比如CapitalOne公司的安全漏洞���,可以追溯到泄露AmazonS3 bucket的Web應(yīng)用防火墻的錯(cuò)誤配置�����。除了不安全的存儲之外���,過大的權(quán)限和使用默認(rèn)憑據(jù)是數(shù)據(jù)漏洞的另外兩個(gè)主要來源��。
與此相關(guān)����,無效的變更控制可能導(dǎo)致云計(jì)算配置錯(cuò)誤�����。在按需實(shí)時(shí)云計(jì)算環(huán)境中�����,變更控制應(yīng)該自動化�,以支持快速變更。
客戶責(zé)任����、錯(cuò)誤配置和變更控制是云安全威脅列表中的新內(nèi)容�����。
云安全聯(lián)盟(CSA)的建議如下:
特別注意通過互聯(lián)網(wǎng)獲取的數(shù)據(jù)�;
定義數(shù)據(jù)的業(yè)務(wù)價(jià)值及其損失的影響�;
創(chuàng)建并維護(hù)一個(gè)強(qiáng)有力的事故響應(yīng)計(jì)劃。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
確保外部合作伙伴遵守內(nèi)部開發(fā)人員使用的變更管理�、發(fā)布和測試程序;
按計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評估���;
承包商�����、第三方用戶和員工的安全意識培訓(xùn)��。3.缺乏云安全架構(gòu)和策略
許多組織在沒有適當(dāng)?shù)捏w系結(jié)構(gòu)和策略的情況下進(jìn)入云。在遷移到云平臺之前��,客戶必須了解他們面臨的威脅�、如何安全地遷移到云平臺以及共同責(zé)任模式的來龍去脈。
這種威脅是列表中的新內(nèi)容���,主要是客戶的責(zé)任��。如果沒有適當(dāng)?shù)囊?guī)劃���,客戶將容易受到網(wǎng)絡(luò)攻擊���,這可能導(dǎo)致財(cái)務(wù)損失、聲譽(yù)損害以及法律和合規(guī)性問題����。
云安全聯(lián)盟的建議如下:
確保安全架構(gòu)符合業(yè)務(wù)目標(biāo)。
開發(fā)和實(shí)施安全架構(gòu)框架�。
實(shí)施持續(xù)的安全監(jiān)控程序。
云控制矩陣(CCM)包括以下內(nèi)容:
確保政策風(fēng)險(xiǎn)評估包括更新政策��,程序�、標(biāo)準(zhǔn)和控制措施,以保持相關(guān)性��;
根據(jù)商定的服務(wù)級別和容量級別預(yù)期���、信息技術(shù)治理和服務(wù)管理政策和程序�����,設(shè)計(jì)�����、開發(fā)和部署業(yè)務(wù)關(guān)鍵/影響客戶的應(yīng)用程序和應(yīng)用編程接口設(shè)計(jì)和配置以及網(wǎng)絡(luò)和系統(tǒng)組件����;
限制和監(jiān)控網(wǎng)絡(luò)環(huán)境和虛擬實(shí)例中可信和不可信連接之間的流量。
4.身份��、憑證����、訪問和密鑰管理不足
大多數(shù)云安全威脅和一般網(wǎng)絡(luò)安全威脅都與身份和訪問管理(IAM)問題相關(guān)聯(lián)。根據(jù)云安全聯(lián)盟(CSA)指南��,這是由于以下原因:
證書保護(hù)不正確����;
缺少自動加密密鑰、密碼和證書輪換����;
IAM可擴(kuò)展性挑戰(zhàn)�;
缺少多因素身份驗(yàn)證;
弱密碼。
對于頂級云安全挑戰(zhàn)列表�,新的標(biāo)準(zhǔn)身份和訪問管理(IAM)挑戰(zhàn)通過使用云計(jì)算得到加強(qiáng)。執(zhí)行庫存����,跟蹤、監(jiān)控和管理大量云計(jì)算帳戶的方法包括設(shè)置和取消配置問題�、僵尸帳戶、過多的管理員帳戶和繞過身份和訪問管理(IAM)控制的用戶���,以及定義角色和權(quán)限的挑戰(zhàn)���。
作為客戶的責(zé)任,云安全聯(lián)盟(CSA)的建議如下:
使用雙因素身份驗(yàn)證�;
對云計(jì)算用戶和身份實(shí)施嚴(yán)格的身份和訪問管理控制;
輪換密鑰�、刪除未使用的憑證和訪問權(quán)限,并采用集中式編程密鑰管理����。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
確定關(guān)鍵經(jīng)理,發(fā)展和維護(hù)政策���;的關(guān)鍵管理
分配�����、記錄和傳達(dá)終止雇傭或程序變更的角色和職責(zé)�;
及時(shí)取消用戶對數(shù)據(jù)和網(wǎng)絡(luò)組件的訪問權(quán)限。
5.賬戶劫持
云計(jì)算賬戶劫持是指對云計(jì)算環(huán)境的運(yùn)營��、管理或維護(hù)至關(guān)重要的云計(jì)算賬戶泄漏����、意外泄漏或其他泄漏。如果這些高度特權(quán)和敏感的賬戶被銷毀�,可能會導(dǎo)致嚴(yán)重的后果。
從網(wǎng)絡(luò)釣魚和填制憑證到薄弱或被盜的憑證到編碼不正確���,賬戶泄漏可能導(dǎo)致數(shù)據(jù)泄漏和服務(wù)中斷�。
作為云計(jì)算服務(wù)提供商(CSP)和客戶的責(zé)任���,CSA的建議如下:
請記住����,帳戶劫持不僅僅是密碼重置���;
使用深度防御����、身份和訪問管理(IAM)控制��。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
建立���、記錄和采用統(tǒng)一的業(yè)務(wù)連續(xù)性計(jì)劃��;
分離的生產(chǎn)和非生產(chǎn)環(huán)境�����;
維護(hù)并定期更新合規(guī)聯(lián)系人�����,為快速與執(zhí)法部門互動做好準(zhǔn)備���。
6.內(nèi)部威脅
與組織網(wǎng)絡(luò)中的員工和其他人相關(guān)的風(fēng)險(xiǎn)不限于云平臺。無論疏忽或意圖如何���,內(nèi)部人員(包括現(xiàn)任和前任員工��、承包商和合作伙伴)都可能導(dǎo)致數(shù)據(jù)丟失�、系統(tǒng)停機(jī)、客戶信心下降和數(shù)據(jù)泄漏�。
組織必須解決客戶責(zé)任、涉及泄露或被盜數(shù)據(jù)的內(nèi)部威脅�����、憑據(jù)問題���、人為錯(cuò)誤和云錯(cuò)誤配置����。
云安全聯(lián)盟的建議如下:
進(jìn)行安全意識培訓(xùn)�;
修復(fù)配置錯(cuò)誤的云計(jì)算服務(wù)器;
限制對關(guān)鍵系統(tǒng)的訪問��。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
在重新定位或轉(zhuǎn)移硬件����、軟件或數(shù)據(jù)之前需要授權(quán);
按計(jì)劃的時(shí)間間隔授權(quán)和重新驗(yàn)證用戶訪問控制�����;
對多租戶應(yīng)用程序、基礎(chǔ)架構(gòu)和其他租戶的網(wǎng)絡(luò)進(jìn)行分區(qū)�。
7.不安全的接口和應(yīng)用編程接口
云計(jì)算服務(wù)提供商(CSP)的用戶界面和應(yīng)用編程接口是云計(jì)算環(huán)境中最開放的部分,客戶通過它們與云計(jì)算服務(wù)進(jìn)行交互�����。任何云計(jì)算服務(wù)的安全都是從良好的保護(hù)開始的���,這是客戶和云計(jì)算服務(wù)提供商的責(zé)任。
云計(jì)算服務(wù)提供商(CSP)必須確保集成了安全性���,客戶必須努力使用云安全聯(lián)盟(CSA)的所謂云計(jì)算“前門”進(jìn)行管理���、監(jiān)控和安全。這個(gè)威脅已經(jīng)從上一份報(bào)告中的第三大威脅降到了第七大威脅��,但仍然非常重要�����。
云安全聯(lián)盟(CSA)的建議如下:
保證API的安全性�����;
避免API密鑰重用���;
使用標(biāo)準(zhǔn)開放的API框架����。
云控制矩陣(CCM)規(guī)范包括以下內(nèi)容:
根據(jù)行業(yè)領(lǐng)先標(biāo)準(zhǔn)設(shè)計(jì)、開發(fā)��、部署和測試原料藥��,并遵守適用法律���、法規(guī)和監(jiān)管義務(wù)�����;
隔離和限制對與組織信息系統(tǒng)交互的審計(jì)工具的訪問�,以防止數(shù)據(jù)泄漏和篡改�;
限制可以覆蓋系統(tǒng)、對象�����、網(wǎng)絡(luò)����、虛擬機(jī)和應(yīng)用程序控制的實(shí)用程序�����。
行業(yè)資訊 
在線計(jì)價(jià) 
微信公眾號
粵公網(wǎng)安備 44030702002479號