文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

可能破坏企业运营环境的6个云计算安全问题

2024-12-03 10:25

关注

[[383336]]

有些企业认为云计算可以自动保护其工作负载和数据免受攻击、盗窃和其他不当行为侵害,这是一种错误的想法。因为即使在云平台中,安全漏洞和潜在的网络攻击也是不可避免的。

云平台是一种多租户环境,可以在分布在全球各地的客户之间共享基础设施和资源。云计算提供商必须努力维护其共享基础设施的完整性。与此同时,云计算是一个自助服务平台,每个客户都必须仔细定义其每个工作负载和资源的具体控制。

在深入研究这些云安全挑战以及如何防范安全风险之前,企业必须了解三种主要危险类型之间的差异:威胁、漏洞、风险。这些术语通常可以互换使用,但是对于IT安全专业人员来说它们具有不同的含义。

当用户了解公共云漏洞时,他们可以识别潜在的安全漏洞和常见错误。IT团队需要识别并解决各种类型的危险,以防止其系统被利用。以下是六个最常见的云计算的安全问题:

1.配置错误

用户自己负责配置,因此企业的IT团队需要优先掌握各种设置和选项。云计算资源受到一系列配置设置的保护,这些设置详细说明了哪些用户可以访问应用程序和数据。配置错误和疏忽可能会泄露数据,并允许误用或更改该数据。

每个云计算提供商都使用不同的配置选项和参数。用户有责任学习和理解承载其工作负载的平台如何应用这些设置。

IT团队可以通过多种方式减少配置错误:

2.访问控制不良

未经授权的用户利用不良的访问控制绕过薄弱或缺乏的身份验证或授权方法。

例如,恶意行为者利用弱密码来猜测凭据。强大的访问控制可实现其他要求,例如最小密码长度、大小写混合、标点符号或符号以及频繁更改密码。

访问控制的安全性可以通过几种常见的策略来增强。

3.影子IT

任何人都可以创建公共云帐户,然后可以使用其帐户来提供服务以及迁移工作负载和数据。但是那些不精通安全标准的人常常会误解安全选项——留下可利用的云漏洞。在许多情况下,这种“影子IT”部署甚至可能永远不会识别或报告漏洞。这使得企业在损失发生很久之后才有机会缓解问题。

当今的企业对影子IT的容忍度更高,但实施标准配置和实践至关重要。业务用户、部门和其他实体必须遵守业务的既定标准,以消除漏洞并保持整个组织的安全。

4.不安全的API

不相关的软件产品使用API​​进行通信和互操作,而无需了解彼此代码的内部工作原理。API通常需要敏感的业务数据,并授予对这些数据的访问权。许多API被公开以帮助加速采用,使外部开发人员和业务合作伙伴能够访问企业的服务和数据。

但是有时会在没有足够的身份验证和授权的情况下实现API。它们完全向公众开放,因此任何具有互联网连接的人都可以访问并可能危害数据。因此,不安全的API迅速成为黑客和其他恶意行为者的主要攻击向量。

无论是使用云计算提供商的API还是创建部署在云中的业务API,使用以下内容开发和使用API​​都是很重要的:

开发和实现API的企业应将API视为敏感代码,并应该进行全面的安全审查,包括渗透测试。云计算和其他外部API应该受到同样的审查。避免使用不符合既定安全准则的外部API。

5.违规

在云计算服务的应用中,云计算提供商负责云平台的安全性,而客户负责其数据的安全性。

在这种共享责任模型中,云计算提供商维护基础设施的完整性和操作,并控制客户资源和数据的分离。客户负责配置应用程序和数据安全,例如访问控制。

当威胁成功利用漏洞并在没有适当的商业目的的情况下访问数据时,企业应对该破坏和任何后续后果承担全部责任。考虑以下常见的例子:

违规行为通常会对企业造成处罚。例如,违反监管义务的行为可能导致处罚和罚款。涉及为客户或客户存储的数据的违规行为可能会导致违反合同的行为,从而导致耗时的诉讼和成本高昂的补救措施。

确保配置正确,并遵循本文概述的其他预防措施,以减轻任何监管或法律风险。

6.中断

云计算基础设施非常庞大,但确实会发生故障——通常会导致影响广泛的云中断。这种中断是由硬件问题和配置疏忽造成的,正是影响传统数据中心的问题。

云平台也可能受到分布式拒绝服务和其他旨在损害云计算资源和服务可用性的恶意机制的攻击。如果网络攻击者可以使公共云资源或云计算服务不可用,它将影响使用这些资源和服务的云计算用户。云计算提供商擅长应对网络攻击,当特定业务工作负载受到网络攻击时,企业的支持团队可以提供帮助。

尽管企业和其他公共云用户无法防止云计算中断和攻击,需要考虑此类中断对云计算工作负载和数据源的影响,并将此类事件作为灾难恢复策略的一部分进行规划。

鉴于公共云的广泛性质,通常可以通过跨云区域或区域实施的高可用性架构解决灾难恢复。不过这并不是自动的,企业必须仔细设计它们并定期进行测试,以确保业务不会受到任何影响。

 

来源:企业网D1Net内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯