組織將其業(yè)務(wù)遷移到云端之前,需要了解可能面臨的云安全挑戰(zhàn),以及如何應(yīng)對(duì)這些挑戰(zhàn)���。
所有云計(jì)算平臺(tái)的主要承諾(例如提高IT效率、靈活性和可擴(kuò)展性)都面臨一個(gè)重大挑戰(zhàn):安全性。
許多組織無法界定云計(jì)算服務(wù)提供商(CSP)的職責(zé)在何處終止以及他們的職責(zé)從何處開始�,因此可能存在更多漏洞����。云計(jì)算的擴(kuò)展性也增加了組織的潛在攻擊面。而使問題進(jìn)一步復(fù)雜化的是���,傳統(tǒng)的安全控制措施通常無法滿足云安全需求����。
為了幫助組織了解他們面臨的云計(jì)算挑戰(zhàn)�,云安全聯(lián)盟(CSA)在10年前成立了一個(gè)專業(yè)團(tuán)隊(duì)。這個(gè)由行業(yè)人士���、架構(gòu)師����、開發(fā)人員以及組織高管組成的調(diào)查團(tuán)隊(duì)確定了一個(gè)包含25種安全威脅的列表�,然后由安全專家進(jìn)行分析��,并對(duì)這些安全威脅進(jìn)行排名,并將這些安全威脅精簡到11種最常見的云計(jì)算安全挑戰(zhàn):
從那時(shí)起����,云安全聯(lián)盟(CSA)每兩年發(fā)布一份調(diào)查報(bào)告。而日前發(fā)布的一份名為“令人震驚的云計(jì)算的11個(gè)最大威脅”的報(bào)告��,其中詳細(xì)說明了這些威脅以及確定是誰的責(zé)任�����,或者是客戶的責(zé)任����,或者云計(jì)算服務(wù)提供商(CSP)的責(zé)任,還是兩者都有責(zé)任����,并提供了幫助組織實(shí)施云計(jì)算安全保護(hù)的步驟。
云安全聯(lián)盟(CSA)發(fā)布的第五份調(diào)查報(bào)告顯示了一些重大變化���。值得注意的是��,這11種主要安全威脅中有6種威脅是新出現(xiàn)的�。此外,這些威脅并不是云計(jì)算服務(wù)提供商(CSP)的全部責(zé)任�,而都與客戶有關(guān),或者是云計(jì)算服務(wù)提供商(CSP)和客戶共同承擔(dān)的責(zé)任�。
云安全聯(lián)盟(CSA)全球研究副總裁John Yeoh表示:“我們注意到,最主要的趨勢(shì)是組織對(duì)客戶的控制力有所增強(qiáng)��?�!彼麑l(fā)生的這些變化歸因于兩件事:或者組織對(duì)云計(jì)算服務(wù)提供商(CSP)信任度顯著提高��,或者組織希望加強(qiáng)控制并更好地了解他們?cè)谠破脚_(tái)中可以做些什么�����,以及如何使用云服務(wù)滿足其特定的安全要求����。
在今年發(fā)布的調(diào)查報(bào)告中,根據(jù)對(duì)受訪者進(jìn)行的調(diào)查�,以下是按嚴(yán)重程度排列的11種安全威脅以及每種安全威脅的緩解措施:
云安全聯(lián)盟(CSA)的這份調(diào)查報(bào)告表明,數(shù)據(jù)泄露仍然是云計(jì)算服務(wù)提供商(CSP)及其客戶的責(zé)任�����,在2021年仍然是最大的云安全威脅�����。在過去幾年中,許多數(shù)據(jù)泄露都?xì)w因于云平臺(tái)�����,其中最引人注目的事件之一就是Capital One公司的云計(jì)算配置錯(cuò)誤���。
數(shù)據(jù)泄露可能會(huì)使一些組織陷入困境,聲譽(yù)遭受不可逆轉(zhuǎn)的損害����,并且由于監(jiān)管影響、法律責(zé)任�����、事件響應(yīng)成本�,以及市場(chǎng)價(jià)值下降而造成財(cái)務(wù)方面的困難。
云安全聯(lián)盟(CSA)的云控制矩陣是云安全聯(lián)盟(CSA)安全指南的支持文件�,這份指南是第四代文檔,概述了各種云域及其主要目標(biāo)���。
云控制矩陣(CCM)提供了按控制區(qū)域和控制ID分類的需求和控制的詳細(xì)列表�,每個(gè)列表對(duì)應(yīng)于其控制規(guī)范、架構(gòu)相關(guān)性����、云交付模型(SaaS、PaaS和IaaS)�����,以及標(biāo)準(zhǔn)和框架(如PCI DSS���、NIST和FedRAMP)�。
如果資產(chǎn)設(shè)置不正確����,則很容易受到網(wǎng)絡(luò)攻擊。例如�����,Capital One公司的安全漏洞可以追溯到泄露Amazon S3存儲(chǔ)桶的Web應(yīng)用程序防火墻配置錯(cuò)誤�。除了不安全的存儲(chǔ)之外,權(quán)限過大和使用默認(rèn)憑據(jù)也是出現(xiàn)數(shù)據(jù)漏洞的另外兩個(gè)主要來源����。
與此相關(guān)的是�����,無效的變更控制可能會(huì)導(dǎo)致云計(jì)算配置錯(cuò)誤��。在按需實(shí)時(shí)云計(jì)算環(huán)境中���,更改控制應(yīng)該實(shí)現(xiàn)自動(dòng)化以支持快速更改�。
很多組織在沒有適當(dāng)?shù)募軜?gòu)和策略的情況下進(jìn)入云端。在遷移到云平臺(tái)之前����,客戶必須了解他們所面臨的威脅,如何安全地遷移到云平臺(tái)以及共享責(zé)任模型的來龍去脈�����。
這種威脅是清單中的新內(nèi)容�,主要是客戶的責(zé)任。如果沒有適當(dāng)?shù)挠?jì)劃�����,客戶將很容易受到網(wǎng)絡(luò)攻擊,從而可能導(dǎo)致財(cái)務(wù)損失���,聲譽(yù)受損以及法律和合規(guī)性問題��。
根據(jù)商定的服務(wù)級(jí)別和容量級(jí)別預(yù)期�����、IT治理以及服務(wù)管理政策和程序�,設(shè)計(jì)�����、開發(fā)和部署業(yè)務(wù)關(guān)鍵型/影響客戶的應(yīng)用程序和API設(shè)計(jì)和配置以及網(wǎng)絡(luò)和系統(tǒng)組件;
大多數(shù)云安全威脅以及一般的網(wǎng)絡(luò)安全威脅都可以與身份和訪問管理(IAM)問題相關(guān)聯(lián)�。根據(jù)云安全聯(lián)盟(CSA)指南,這源于以下原因:
對(duì)于頂級(jí)云安全挑戰(zhàn)列表來說�,新的標(biāo)準(zhǔn)身份和訪問管理(IAM)挑戰(zhàn)由于使用云計(jì)算而加劇。執(zhí)行庫存���、跟蹤����、監(jiān)視和管理所需的大量云計(jì)算帳戶的方法包括:設(shè)置和取消配置問題��、僵尸帳戶、過多的管理員帳戶和繞過身份和訪問管理(IAM)控制的用戶�,以及定義角色和特權(quán)所面臨的挑戰(zhàn)。
云計(jì)算賬戶劫持是指對(duì)云計(jì)算環(huán)境的運(yùn)行�����、管理或維護(hù)至關(guān)重要的云計(jì)算賬戶的泄露����、意外泄露或其他泄露行為。這些高度特權(quán)和敏感的帳戶如果被遭到破壞�����,可能會(huì)導(dǎo)致嚴(yán)重的后果�。
從網(wǎng)絡(luò)釣魚和憑證填充到薄弱或被盜憑證���,再到不正確的編碼��,賬戶泄露可能導(dǎo)致數(shù)據(jù)泄露和服務(wù)中斷��。
作為云計(jì)算服務(wù)提供商(CSP)和客戶的責(zé)任�����,云安全聯(lián)盟(CSA)的建議如下:
與員工和組織網(wǎng)絡(luò)內(nèi)其他人員相關(guān)的風(fēng)險(xiǎn)不僅限于云平臺(tái)�。無論是疏忽還是有意,內(nèi)部人員(包括現(xiàn)任和前任員工�����、承包商和合作伙伴)都可能導(dǎo)致數(shù)據(jù)丟失���、系統(tǒng)停機(jī)�、客戶信心降低和數(shù)據(jù)泄露���。
4166am金沙信心之選
組織必須解決客戶的責(zé)任�����、涉及泄露或被盜數(shù)據(jù)的內(nèi)部威脅����、憑證問題�、人為錯(cuò)誤和云錯(cuò)誤配置。
客戶通過其與云計(jì)算服務(wù)進(jìn)行交互的云計(jì)算服務(wù)提供商(CSP)的UI和API是云計(jì)算環(huán)境中最公開的部分��。任何云計(jì)算服務(wù)的安全性都始于對(duì)它們的良好保護(hù)�����,這是客戶和云計(jì)算服務(wù)提供商(CSP)的責(zé)任。
云計(jì)算服務(wù)提供商(CSP)必須確保已經(jīng)集成安全性�,客戶必須努力使用云安全聯(lián)盟(CSA)所謂的云計(jì)算“前門”來管理、監(jiān)視和安全�����。該威脅已從上次報(bào)告中的第三大威脅下降到第七����,但仍然很重要。
根據(jù)行業(yè)領(lǐng)先標(biāo)準(zhǔn)設(shè)計(jì)�����、開發(fā)��、部署和測(cè)試API��,并遵守適用的法律�����、法規(guī)和監(jiān)管義務(wù);
作為客戶的責(zé)任和2021年的新職責(zé)�����,云計(jì)算控制平臺(tái)是組織使用的云計(jì)算管理控制臺(tái)和接口的集合�。云安全聯(lián)盟(CSA)表示,它還包括數(shù)據(jù)復(fù)制��、遷移和存儲(chǔ)���。如果安全措施不當(dāng)�,被破壞的控制平面可能會(huì)導(dǎo)致數(shù)據(jù)丟失�����、監(jiān)管罰款和其他后果���,以及品牌聲譽(yù)受損���,從而導(dǎo)致收入損失。
由云安全聯(lián)盟(CSA)定義的元結(jié)構(gòu)是“提供基礎(chǔ)結(jié)構(gòu)層和其他層之間接口的協(xié)議和機(jī)制”��,換句話說����,就是將技術(shù)聯(lián)系起來并實(shí)現(xiàn)管理和配置的粘合劑�。
元結(jié)構(gòu)是云計(jì)算服務(wù)提供商(CSP)與客戶之間的分界線����。這里存在許多安全威脅:例如,云安全聯(lián)盟(CSA)指出云計(jì)算服務(wù)提供商(CSP)的API實(shí)施不佳或客戶使用的云計(jì)算應(yīng)用程序不當(dāng)����。此類安全挑戰(zhàn)可能導(dǎo)致服務(wù)中斷和配置錯(cuò)誤,并造成財(cái)務(wù)和數(shù)據(jù)丟失的后果�。
該應(yīng)用程序結(jié)構(gòu)被定義為“部署在云中的應(yīng)用程序以及用于構(gòu)建它們的底層應(yīng)用程序服務(wù)”。例如消息隊(duì)列���、人工分析或通知服務(wù)��。
報(bào)告中的新威脅是客戶和云計(jì)算服務(wù)提供商(CSP)共同的責(zé)任�����。云安全聯(lián)盟(CSA)的建議如下:
云計(jì)算服務(wù)提供商(CSP)提供可見性���,并公開緩解措施以解決其客戶缺乏透明度的問題;
長期以4166am金沙來,云計(jì)算使用可見性一直是組織管理員關(guān)注的問題����,但對(duì)于這份報(bào)告列出的云安全聯(lián)盟(CSA)的云安全挑戰(zhàn)來說,這是一個(gè)新問題�。云安全聯(lián)盟(CSA)認(rèn)為,可見性有限會(huì)帶來兩個(gè)關(guān)鍵挑戰(zhàn):未經(jīng)批準(zhǔn)的應(yīng)用程序使用�,也稱為影子IT���,是指員工使用IT部門不允許的應(yīng)用程序�。
批準(zhǔn)的應(yīng)用濫用是指未按預(yù)期使用經(jīng)過IT批準(zhǔn)的應(yīng)用���。例如,這包括有權(quán)使用該應(yīng)用程序的用戶�����,以及使用通過SQL注入或DNS攻擊獲得的被盜憑據(jù)訪問該應(yīng)用程序的未經(jīng)授權(quán)的個(gè)人��。
云安全聯(lián)盟(CSA)表示�����,這種有限的可見性導(dǎo)致缺乏治理、意識(shí)和安全——所有這些都可能導(dǎo)致網(wǎng)絡(luò)攻擊�����、數(shù)據(jù)丟失和漏洞。
這是今年新上榜的安全威脅�����,是云計(jì)算服務(wù)提供商(CSP)和客戶的共同責(zé)任����。云安全聯(lián)盟(CSA)的建議如下:
要求所有未經(jīng)批準(zhǔn)的云服務(wù)均由云安全架構(gòu)師或第三方風(fēng)險(xiǎn)管理人員進(jìn)行審核和批準(zhǔn)�。
正如云計(jì)算可以為組織帶來很多好處一樣,它也可以被威脅者惡意利用�。惡意使用合法的SaaS�����、PaaS和IaaS產(chǎn)品會(huì)影響個(gè)人���、云計(jì)算客戶和云計(jì)算服務(wù)提供商(CSP)����。組織容易通過以下方式濫用云計(jì)算服務(wù):
遭到破壞和濫用的云計(jì)算服務(wù)可能導(dǎo)致費(fèi)用支出�����,例如�����,加密貨幣的損失或攻擊者付款;組織在不知不覺中托管惡意軟件的情況;數(shù)據(jù)丟失等。
云安全聯(lián)盟(CSA)建議云計(jì)算服務(wù)提供商(CSP)努力通過事件響應(yīng)框架來檢測(cè)和緩解這種攻擊���。云計(jì)算服務(wù)提供商(CSP)還應(yīng)該提供客戶可以用來監(jiān)視云計(jì)算工作負(fù)載和應(yīng)用程序的工具和控制�。
作為客戶和云計(jì)算服務(wù)提供商(CSP)的共同責(zé)任�,云安全聯(lián)盟(CSA)的建議如下:
為組織和用戶擁有的端點(diǎn)(包括工作站���、筆記本電腦和移動(dòng)設(shè)備)定義配額和使用權(quán)限;
微信便捷交流