CSA報告:數據破壞成云安全頭號威脅
今年,在舊金山舉行的2013年RSA大會上,供應商們所展示的各種各樣的產品和服務,使得加強IT控制、以及云計算所帶來秩序混亂,再一次成為媒體鎂光燈的焦點。但是,其實,企業最為重要的第一步應該是要準確地確定云計算最大的相關威脅在何處。
為此,CSA(云安全聯盟)已經確定了“2013年云計算的九大威脅”。該報告反映了CSA所調查的業內專家們的共識,側重于涉及到的共享的具體威脅,以及云計算按需部署的本質。
在這份云安全的九大威脅的名單上的頭號威脅便是數據破壞。為了說明這種威脅的潛在規模,CSA指出,去年11月的一篇研究論文即描述了虛擬機如何使用側信道的定時信息提取在同一服務器上的其他虛擬機的私鑰。一個惡意黑客不一定需要竭盡全力,就可以輕易獲取。如果多租戶云服務數據庫設計不當,一個客戶端應用程序的一個單一的缺陷就可能使得攻擊者竊取的不僅是客戶端的數據,還包括每一個客戶的數據。
根據該報告,應對數據丟失和數據泄漏這一威脅的所面臨的挑戰的措施包括:您可以加密您的數據,以減輕可能會加劇的影響,但如果您失去了您的加密密鑰,您將失去您的數據。然而,如果您選擇保持脫機備份您的數據,以減少數據丟失,也會增加您數據泄露的風險。
根據CSA的報告稱,第二大威脅是在云計算環境中的數據丟失。惡意的黑客可能會刪除目標的數據泄憤。但是,您也可能會因為云服務供應商的一個不小心或災難,如火災、洪水或地震而失去您的數據。雪上加霜的狀況是,加密您的數據以抵御盜竊,但如果您失去了您的加密密鑰,可能會適得其反。
該報告指出,數據丟失不僅會影響客戶關系。如果您企業所在地的法律規定特定的數據存儲(如HIPAA法案),您還可能因此必須接受聯邦調查局的調查。
云計算安全的第大的風險是賬戶或業務流量被劫持。根據CSA的報告稱,如果攻擊者能夠訪問您的憑據,他或她就可以竊聽您的活動和交易,操縱數據,返回虛假信息,并把您的客戶端重定向到非法網站。“您的帳戶或服務在這種情況下,可能會成為攻擊者的新基地。他們可以利用您的名聲發動后續的攻擊”。CSA指出,作為一個例子,亞馬遜在2010年所遭受的XSS攻擊,便讓攻擊者劫持到了網站的憑據。
抵御這種威脅的關鍵是保護憑據,防止被盜。“企業應該禁止用戶和服務之間的共享帳戶憑據,在可能的情況下,他們應該利用強大的雙因素認證技術。”根據CSA的報告顯示。
列表上的第四大威脅是不安全的接口和API。IT管理員依靠接口進行云配置、管理、協調和監控。API是一般云服務的安全性和可用性的組成部分。從那里,企業和第三方都建立在這些接口上,注入附加服務。“這就引入了新的分層API的復雜性,也增加了風險,因為企業可能會被要求放棄他們的憑據交給第三方組織”,該報告指出。
CSA建議企業通過使用、管理、協調業務流程以及云服務的監測了解相關的安全隱患問題。弱界面和API可能會暴露企業的保密性、完整性、可用性和問責制等安全問題。
拒絕服務被列為第五大云計算安全威脅。DOS成為互聯網的威脅已多年,但它在云計算時代,當企業依賴于一個或多個服務全天候24小時的可用性時,變得越來越有麻煩。DOS中斷會消耗服務供應商和客戶的成本,客戶的計費是以計算周期和磁盤空間為基礎的。雖然攻擊者可能無法完全成功淘汰服務,但他或她“仍可能導致其消耗更多的處理時間,使得運行變得太昂貴。”報告說。
列表上的第六大威脅是惡意的內部人員,他們可以是一個現任或前任雇員、承包商或生意伙伴。這些人具有訪問網絡、系統的權限,或惡意攻擊數據。在云環境設計不當的情況下,內部的惡意人員可以造成更大的破壞。從SaaS到IaaS再到PaaS,內部惡意的訪問危害關鍵系統和最終數據。在這種情況下,云服務提供商負責的安全風險是很大的。“即使是加密的部署,如果客戶密鑰僅適用于數據的使用時間,系統仍然容易受到內部人員的惡意攻擊。”根據CSA的報告稱。
第七名是云的濫用,如攻擊者使用云服務來破解很難在一臺標準的計算機上破解的加密密鑰。另一個例子是惡意黑客使用云服務器發動DDoS攻擊,傳播惡意軟件,或共享盜版軟件。云供應商的挑戰在于如何定義什么是云的濫用,并確定最佳工藝流程。
列表上的第八大威脅是對于云計算沒有足夠的盡職調查;即,企業在沒有充分理解的云環境和相關的風險的情況下部署了云服務。例如,部署了云計算可能就供應商的合同問題產生超過責任和透明度。更重要的是,如果對于某一個問題的操作,由于云計算技術的應用會導致企業的開發團隊不是很熟悉。CSA的基本建議是企業必須確保他們有足夠的資源,并在部署云計算之前進行深入的細致的調查。
最后一點但并非最不重要的,CSA提出共享技術漏洞是云計算的第九大安全威脅。云服務供應商共享基礎設施、平臺和應用程序提供可伸縮的服務方式。“基礎設施(如CPU高速緩存、GPU圖形處理器等)底層組件,并不是設計用于提供給強大的隔離特性為多租戶架構(IaaS)、重新部署平臺(PaaS)的,或者多客戶應用程序(SaaS)的共享漏洞的威脅存在于所有的交付模式。”根據該報告稱。
如果一個整體的組成部分被破壞了,比如,一個管理系統、一個共享的平臺組件或應用程序——它會暴露整個環境的一個潛在的妥協和違約。CSA推薦采用防御性的、深入的戰略,包括計算、存儲、網絡、應用程序和用戶安全執法,以及監測。
