久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

在將應(yīng)用和數(shù)據(jù)遷移到云端這件事上，企業(yè)不再裹足不前，但安全問(wèn)題依然需要加以密切關(guān)注。最小化云端安全風(fēng)險(xiǎn)的第一步，就是要認(rèn)清那些頂級(jí)安全威脅。

云計(jì)算的共享特性和按需定制本質(zhì)除了給企業(yè)帶來(lái)效率上提升，也引入了新的安全威脅，有可能使企業(yè)得不償失。之前云安全聯(lián)盟(CSA)的報(bào)告便指出，云服務(wù)天生就能使用戶(hù)繞過(guò)公司范圍內(nèi)的安全策略，建立起自己的影子IT項(xiàng)目服務(wù)賬戶(hù)。新的安全控制策略必須被引入。

下面是云安全聯(lián)盟列出的2016年“十二大云安全威脅”，云服務(wù)客戶(hù)和提供商都可以根據(jù)這份CSA放出的報(bào)告調(diào)整防御策略。

威脅 No.1：數(shù)據(jù)泄露

云環(huán)境面對(duì)的威脅中有很多都與傳統(tǒng)企業(yè)網(wǎng)絡(luò)面對(duì)的威脅相同，但由于有大量數(shù)據(jù)存儲(chǔ)在云服務(wù)器上，云提供商便成為了黑客很喜歡下手的目標(biāo)。萬(wàn)一受到攻擊，潛在損害的嚴(yán)重性，取決于所泄露數(shù)據(jù)的敏感性。個(gè)人財(cái)務(wù)信息泄露事件或許會(huì)登上新聞?lì)^條，但涉及健康信息、商業(yè)機(jī)密和知識(shí)產(chǎn)權(quán)的數(shù)據(jù)泄露，卻有可能是更具毀滅性的打擊。

一旦發(fā)生數(shù)據(jù)泄露，公司企業(yè)或許會(huì)招致罰款，又或者將面臨法律訴訟或刑事指控。數(shù)據(jù)泄露調(diào)查和客戶(hù)通知的花費(fèi)也有可能是天文數(shù)字。其他非直接影響，比如品牌形象下跌和業(yè)務(wù)流失，會(huì)持續(xù)影響公司長(zhǎng)達(dá)數(shù)年時(shí)間。

云服務(wù)提供商通常都會(huì)部署安全控制措施來(lái)保護(hù)云環(huán)境，但最終，保護(hù)自身云端數(shù)據(jù)的責(zé)任，還是要落在使用云服務(wù)的公司自己身上。CSA建議公司企業(yè)采用多因子身份驗(yàn)證和加密措施來(lái)防護(hù)數(shù)據(jù)泄露。

威脅 No.2：憑證被盜和身份驗(yàn)證如同虛設(shè)

數(shù)據(jù)泄露和其他攻擊通常都是身份驗(yàn)證不嚴(yán)格、弱密碼橫行、密鑰或憑證管理松散的結(jié)果。公司企業(yè)在試圖根據(jù)用戶(hù)角色分配恰當(dāng)權(quán)限的時(shí)候，通常都會(huì)陷入身份管理的泥潭。更糟糕的是，他們有時(shí)候還會(huì)在工作職能改變或用戶(hù)離職時(shí)忘了撤銷(xiāo)相關(guān)用戶(hù)的權(quán)限。

多因子身份驗(yàn)證系統(tǒng)，比如一次性密碼、基于手機(jī)的身份驗(yàn)證、智能卡等，可以有效保護(hù)云服務(wù)。因?yàn)橛辛硕嘀仳?yàn)證，攻擊者想要靠盜取的密碼登進(jìn)系統(tǒng)就難得多了。美國(guó)第二大醫(yī)療保險(xiǎn)公司Anthem數(shù)據(jù)泄露事件中，超過(guò)8千萬(wàn)客戶(hù)記錄被盜，就是用戶(hù)憑證被竊的結(jié)果。Anthem沒(méi)有采用多因子身份驗(yàn)證，因此，一旦攻擊者獲得了憑證，進(jìn)出系統(tǒng)如入無(wú)人之境。

將憑證和密鑰嵌入到源代碼里，并留在面向公眾的代碼庫(kù)(如GitHub)中，也是很多開(kāi)發(fā)者常犯的錯(cuò)誤。CSA建議，密鑰應(yīng)當(dāng)妥善保管，防護(hù)良好的公鑰基礎(chǔ)設(shè)施也是必要的。密鑰和憑證還應(yīng)當(dāng)定期更換，讓攻擊者更難以利用竊取的密鑰登錄系統(tǒng)。

計(jì)劃與云提供商聯(lián)合身份管理的公司，需要理解提供商用以防護(hù)身份管理平臺(tái)的安全措施。將所有ID集中存放到單一庫(kù)中是有風(fēng)險(xiǎn)的。要想集中起來(lái)方便管理，就要冒著這個(gè)極高價(jià)值ID庫(kù)被攻擊者盯上的風(fēng)險(xiǎn)。如何取舍，就看公司怎么權(quán)衡了。

威脅 No.3：界面和API被黑

基本上，現(xiàn)在每個(gè)云服務(wù)和云應(yīng)用都提供API(應(yīng)用編程接口)。IT團(tuán)隊(duì)使用界面和API進(jìn)行云服務(wù)管理和互動(dòng)，服務(wù)開(kāi)通、管理、配置和監(jiān)測(cè)都可以借由這些界面和接口完成。

從身份驗(yàn)證和訪問(wèn)控制，到加密和行為監(jiān)測(cè)，云服務(wù)的安全和可用性依賴(lài)于API的安全性。由于公司企業(yè)可能需要開(kāi)放更多的服務(wù)和憑證，建立在這些界面和API基礎(chǔ)之上的第三方應(yīng)用的風(fēng)險(xiǎn)也就增加了。弱界面和有漏洞的API將使企業(yè)面臨很多安全問(wèn)題，機(jī)密性、完整性、可用性和可靠性都會(huì)受到考驗(yàn)。

API和界面通常都可以從公網(wǎng)訪問(wèn)，也就成為了系統(tǒng)最暴露的部分。CSA建議對(duì)API和界面引入足夠的安全控制，比如“第一線防護(hù)和檢測(cè)”。威脅建模應(yīng)用和系統(tǒng)，包括數(shù)據(jù)流和架構(gòu)/設(shè)計(jì)，已成為開(kāi)發(fā)生命周期中的重要部分。專(zhuān)注安全的代碼審查和嚴(yán)格的滲透測(cè)試，也是CSA給出的推薦選項(xiàng)。

威脅 No.4：系統(tǒng)漏洞利用

系統(tǒng)漏洞，或者程序中可供利用的漏洞，真不是什么新鮮事物。但是，隨著云計(jì)算中多租戶(hù)的出現(xiàn)，這些漏洞的問(wèn)題就大了。公司企業(yè)共享內(nèi)存、數(shù)據(jù)庫(kù)和其他資源，催生出了新的攻擊方式。

幸運(yùn)的是，針對(duì)系統(tǒng)漏洞的攻擊，用“基本的IT過(guò)程”就可以緩解。最佳實(shí)踐包括：定期漏洞掃描、及時(shí)補(bǔ)丁管理和緊跟系統(tǒng)威脅報(bào)告。

CSA報(bào)告表明：修復(fù)系統(tǒng)漏洞的花費(fèi)與其他IT支出相比要少一些。部署IT過(guò)程來(lái)發(fā)現(xiàn)和修復(fù)漏洞的開(kāi)銷(xiāo)，比漏洞遭受攻擊的潛在損害要小。管制產(chǎn)業(yè)(如國(guó)防、航天航空業(yè))需要盡可能快地打補(bǔ)丁，最好是作為自動(dòng)化過(guò)程和循環(huán)作業(yè)的一部分來(lái)實(shí)施。變更處理緊急修復(fù)的控制流程，要確保該修復(fù)活動(dòng)被恰當(dāng)?shù)赜涗浵聛?lái)，并由技術(shù)團(tuán)隊(duì)進(jìn)行審核。

威脅 No.5：賬戶(hù)劫持

網(wǎng)絡(luò)釣魚(yú)、詐騙、軟件漏洞利用，依然是很成功的攻擊方式。而云服務(wù)的出現(xiàn)，又為此類(lèi)威脅增加了新的維度。因?yàn)楣粽呖梢岳迷品?wù)竊聽(tīng)用戶(hù)活動(dòng)、操縱交易、修改數(shù)據(jù)。利用云應(yīng)用發(fā)起其他攻擊也不無(wú)可能。

常見(jiàn)的深度防護(hù)保護(hù)策略能夠控制數(shù)據(jù)泄露引發(fā)的破壞。公司企業(yè)應(yīng)禁止在用戶(hù)和服務(wù)間共享賬戶(hù)憑證，還應(yīng)在可用的地方啟用多因子身份驗(yàn)證方案。用戶(hù)賬戶(hù)，甚至是服務(wù)賬戶(hù)，都應(yīng)該受到監(jiān)管，以便每一筆交易都能被追蹤到某個(gè)實(shí)際的人身上。關(guān)鍵就在于，要避免賬戶(hù)憑證被盜。

威脅 No.6：惡意內(nèi)部人士

內(nèi)部人員威脅擁有很多張面具：現(xiàn)員工或前雇員、系統(tǒng)管理員、承包商、商業(yè)合作伙伴……惡意行為可以從單純的數(shù)據(jù)偷盜，到報(bào)復(fù)公司。在云環(huán)境下，惡意滿(mǎn)滿(mǎn)的內(nèi)部人員可以破壞掉整個(gè)基礎(chǔ)設(shè)施，或者操作篡改數(shù)據(jù)。安全性完全依賴(lài)于云服務(wù)提供商的系統(tǒng)，比如加密系統(tǒng)，是風(fēng)險(xiǎn)最大的。

CSA建議：公司企業(yè)自己控制加密過(guò)程和密鑰，分離職責(zé)，最小化用戶(hù)權(quán)限。管理員活動(dòng)的有效日志記錄、監(jiān)測(cè)和審計(jì)也是非常重要。

不過(guò)，話(huà)又說(shuō)回來(lái)，一些拙劣的日常操作也很容易被誤解為“惡意”內(nèi)部人員行為。典型的例子就是，管理員不小心把敏感客戶(hù)數(shù)據(jù)庫(kù)拷貝到了可公開(kāi)訪問(wèn)的服務(wù)器上。鑒于潛在的暴露風(fēng)險(xiǎn)更大，云環(huán)境下，合適的培訓(xùn)和管理對(duì)于防止此類(lèi)低級(jí)錯(cuò)誤就顯得更為重要了。

威脅 No.7：APT（高級(jí)持續(xù)性威脅）寄生蟲(chóng)

CSA把高級(jí)持續(xù)性威脅(APT)比作“寄生”形式的攻擊真是太形象了。APT滲透進(jìn)系統(tǒng)，建立起橋頭堡，然后，在相當(dāng)長(zhǎng)一段時(shí)間內(nèi)，源源不斷地，悄悄地偷走數(shù)據(jù)和知識(shí)產(chǎn)權(quán)。跟寄生蟲(chóng)沒(méi)什么差別。

APT通常在整個(gè)網(wǎng)絡(luò)內(nèi)逡巡，混入正常流量中，因此，他們很難被偵測(cè)到。主要云提供商應(yīng)用高級(jí)技術(shù)阻止APT滲透進(jìn)他們的基礎(chǔ)設(shè)施，但客戶(hù)也必須像在內(nèi)部系統(tǒng)里進(jìn)行的一樣，勤于檢測(cè)云賬戶(hù)中的APT活動(dòng)。

常見(jiàn)的切入點(diǎn)包括：魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)、直接攻擊、U盤(pán)預(yù)載惡意軟件和通過(guò)已經(jīng)被黑的第三方網(wǎng)絡(luò)。CSA強(qiáng)烈建議公司企業(yè)培訓(xùn)用戶(hù)識(shí)別各種網(wǎng)絡(luò)釣魚(yú)技巧。

定期意識(shí)強(qiáng)化培訓(xùn)能使用戶(hù)保持警惕，更不容易被誘使放進(jìn)APT，IT部門(mén)也需要緊跟最新的高級(jí)攻擊方式。不過(guò)，高級(jí)安全控制、過(guò)程管理、事件響應(yīng)計(jì)劃，以及IT員工培訓(xùn)，都會(huì)導(dǎo)致安全預(yù)算的增加。公司企業(yè)必須在這筆支出和遭到APT攻擊可能造成的經(jīng)濟(jì)損失之間進(jìn)行權(quán)衡。

威脅 No.8：永久的數(shù)據(jù)丟失

隨著云服務(wù)的成熟，由于提供商失誤導(dǎo)致的永久數(shù)據(jù)丟失已經(jīng)極少見(jiàn)了。但惡意黑客已經(jīng)會(huì)用永久刪除云端數(shù)據(jù)來(lái)危害公司企業(yè)了，而且云數(shù)據(jù)中心跟其他任何設(shè)施一樣對(duì)自然災(zāi)害無(wú)能為力。

云提供商建議多地分布式部署數(shù)據(jù)和應(yīng)用以增強(qiáng)防護(hù)。足夠的數(shù)據(jù)備份措施，堅(jiān)守業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)最佳實(shí)踐，都是最基本的防永久數(shù)據(jù)丟失的方法。日常數(shù)據(jù)備份和離線存儲(chǔ)在云環(huán)境下依然重要。

預(yù)防數(shù)據(jù)丟失的責(zé)任并非全部壓在云服務(wù)提供商肩頭。如果客戶(hù)在上傳到云端之間先把數(shù)據(jù)加密，那保護(hù)好密鑰的責(zé)任就落在客戶(hù)自己身上了。一旦密鑰丟失，數(shù)據(jù)丟失也就在所難免。

合規(guī)策略通常都會(huì)規(guī)定公司必須保留審計(jì)記錄和其他文件的時(shí)限。此類(lèi)數(shù)據(jù)若丟失，就會(huì)產(chǎn)生嚴(yán)重的監(jiān)管后果。新歐盟數(shù)據(jù)保護(hù)規(guī)定中，數(shù)據(jù)損毀和個(gè)人數(shù)據(jù)損壞也被視為數(shù)據(jù)泄露，需要進(jìn)行恰當(dāng)?shù)耐ㄖ?。最好知曉相關(guān)規(guī)定，以便陷入麻煩之中。

威脅 No.9：調(diào)查不足

一家公司，若在沒(méi)有完全理解云環(huán)境及其相關(guān)風(fēng)險(xiǎn)的情況下，就投入云服務(wù)的懷抱，那等在它前方的，比然是無(wú)數(shù)的商業(yè)、金融、技術(shù)、法律和合規(guī)風(fēng)險(xiǎn)。公司是否遷移到云環(huán)境，是否與另一家公司在云端合作，都需要進(jìn)行盡職調(diào)查。沒(méi)能仔細(xì)審查合同的公司，可能就不會(huì)注意到提供商在數(shù)據(jù)丟失或泄露時(shí)的責(zé)任條款。

在將App部署到特定云時(shí)，如果公司開(kāi)發(fā)團(tuán)隊(duì)缺乏對(duì)云技術(shù)的了解，運(yùn)營(yíng)和架構(gòu)問(wèn)題也會(huì)冒頭。CSA提醒公司企業(yè)：每訂閱任何一個(gè)云服務(wù)，都必須進(jìn)行全面細(xì)致的盡職調(diào)查，弄清他們承擔(dān)的風(fēng)險(xiǎn)。

威脅 No.10：云服務(wù)濫用

云服務(wù)可能被用于支持違法活動(dòng)，比如利用云計(jì)算資源破解密鑰、發(fā)起分布式拒絕服務(wù)(DDoS)攻擊、發(fā)送垃圾郵件和釣魚(yú)郵件、托管惡意內(nèi)容等。

提供商要能識(shí)別出濫用類(lèi)型，例如通過(guò)檢查流量來(lái)識(shí)別出DDoS攻擊，還要為客戶(hù)提供監(jiān)測(cè)他們?cè)骗h(huán)境健康的工具?？蛻?hù)要確保提供商擁有濫用報(bào)告機(jī)制。盡管客戶(hù)可能不是惡意活動(dòng)的直接獵物，云服務(wù)濫用依然可能造成服務(wù)可用性問(wèn)題和數(shù)據(jù)丟失問(wèn)題。

威脅 No.11：拒絕服務(wù)（DoS）攻擊

DoS攻擊以及有很多年的歷史了，但由于云計(jì)算，這種攻擊方式枯木逢春了——因?yàn)樗鼈兺ǔ?huì)影響到可用性，系統(tǒng)響應(yīng)會(huì)被大幅拖慢甚至直接超時(shí)，能給攻擊者帶來(lái)很好的攻擊效果。遭受拒絕服務(wù)攻擊，就像經(jīng)歷上下班交通擁堵;只有一條到達(dá)目的地的路，但你除了坐等，毫無(wú)辦法。

DoS攻擊消耗大量的處理能力，最終都要由客戶(hù)買(mǎi)單。盡管高流量的DDoS攻擊如今更為常見(jiàn)，公司企業(yè)仍然要留意非對(duì)稱(chēng)的、應(yīng)用級(jí)的DoS攻擊，保護(hù)好自己的Web服務(wù)器和數(shù)據(jù)庫(kù)。

在處理DoS攻擊上，云服務(wù)提供商一般都比客戶(hù)更有經(jīng)驗(yàn)，準(zhǔn)備更充分。個(gè)中關(guān)鍵，就在于攻擊發(fā)生前就要有緩解計(jì)劃，這樣管理員們才能在需要的時(shí)候可以訪問(wèn)到這些資源。

威脅 No.12：共享技術(shù)，共享危險(xiǎn)

共享技術(shù)中的漏洞給云計(jì)算帶來(lái)了相當(dāng)大的威脅。云服務(wù)提供商共享基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用，一旦其中任何一個(gè)層級(jí)出現(xiàn)漏洞，每個(gè)人都會(huì)受到影響。一個(gè)漏洞或錯(cuò)誤配置，就能導(dǎo)致整個(gè)提供商的云環(huán)境遭到破壞。

若一個(gè)內(nèi)部組件被攻破，就比如說(shuō)一個(gè)管理程序、一個(gè)共享平臺(tái)組件，或者一個(gè)應(yīng)用吧，整個(gè)環(huán)境都會(huì)面臨潛在的宕機(jī)或數(shù)據(jù)泄露風(fēng)險(xiǎn)。CSA建議采用深度防御策略，包括在所有托管主機(jī)上應(yīng)用多因子身份驗(yàn)證，啟用基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，應(yīng)用最小特權(quán)、網(wǎng)絡(luò)分段概念，實(shí)行共享資源補(bǔ)丁策略等等。