權威發布:云安全最大威脅及解決辦法
原創【51CTO.com獨家翻譯】云安全聯盟(Cloud Security Alliance,CSA)發布了第一份云計算安全風險簡明報告,有意與CSA發布的更冗長的“關鍵區域安全指南”(下載地址:http://cloudsecurityalliance.org/csaguide.pdf)成對出現,對于報告中列出的最大威脅,CSA將長達76頁的安全指南濃縮為7個最常見,危害程度最大的威脅,根據這些威脅的描述,CSA也提出了一些策略,盡可能減少損失。用戶也應該檢查云服務供應商是否有每項威脅對應的解決方案。
CSA是一個由來自不同科技公司的安全專家和研究人員組成的組織。
| 圖1 云安全威脅一直就沒有停止過 |
威脅名單:
威脅1:濫用和惡意使用云計算
威脅2:不安全的接口和API
威脅3:不懷好意的內部人員
威脅4:基礎設施共享問題威脅5:數據丟失或泄漏
威脅6:帳戶或服務劫持
威脅7:未知的風險
威脅1:濫用和惡意使用云計算
網絡犯罪開始傾向于竊取銀行卡密碼和信用卡卡號,惡意軟件如Zeus和InfoStealing木馬將會在云中變得更強大,垃圾郵件發送者和惡意代碼作者可以利用云服務中的匿名注冊和云服務模式進行網絡犯罪。
解決辦法:嚴格設計首次注冊和驗證過程,實施信用卡欺詐行為監控和協調,監控公共黑名單,查看你自己的網絡是否被列為垃圾郵件和惡意軟件來源而被阻止。
威脅2:不安全的接口和API
不安全的API通常是想回收舊代碼提高開發速度的結果,質量和安全都得不到保障,API上的第三方插件也可能引入更多的復雜性和更多的風險。
解決辦法:了解API關聯的依賴鏈,除加密傳輸外,確保實施強大的訪問控制。
威脅3:不懷好意的內部人員
這是一個眾所周知的威脅,當一個人滲透到組織中,從組織內部發起攻擊時,危害程度更大,如果公司使用了云服務,威脅將會進一步放大,隨著云服務的不斷壯大,留給服務供應商做后臺檢查的時間的越來越少。
解決辦法:放慢腳步,做更徹底的檢查,由HR在合同上明確雇員的法律責任,在違反安全規定造成安全事故時有權送交司法機關。
威脅4:基礎設施共享問題
IaaS供應商使用共享的,非隔離的基礎設施,當一個攻擊者得逞時,全部服務器都向攻擊者敞開了大門,即使使用了hypervisor,有些客戶機操作系統也能夠獲得基礎平臺不受控制的訪問權。
解決辦法:開發一個強大的分區和防御策略,IaaS供應商必須監控環境是否有未經授權的修改和活動。
威脅5:數據丟失或泄漏
云中不斷增長的數據交互放大了數據丟失的風險,因為沒有適當的安全控制和數據監控,很難監控和控制所發生的事情,這增加了錯放上下文記錄,丟失編碼鍵和意外刪除數據的可能。
解決辦法:有一個定義良好,組織得當的密鑰生成、存儲、管理和銷毀策略。
威脅6:帳戶或服務劫持
許多常見的攻擊方法仍然可以從攻擊者獲得可重用的憑據,在云環境中,如果攻擊者能夠獲得你的憑據,他們可以看到你的活動,處理的數據,并給云服務供應商客戶端導致問題。
解決辦法:禁止用戶和服務之間憑據共享,利用強大的雙因子認證技術,主動檢查是否有未經授權的活動。
威脅7:未知的風險
未知的安全漏洞是云中真正的危險,軟件版本、安全實踐、代碼更新、漏洞研究和入侵企圖都是消除安全風險的重要因素。了解這個領域需要做更多的工作和調查,做好這方面的工作就成功了一半。
解決辦法:認清你的安全現狀,為客戶提供最大程度的透明性,讓他們知道如何配置系統或及時為托管的軟件打上補丁。
【51CTO.COM 獨家翻譯,轉載請注明出處及作者!】
【編輯推薦】
