文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

云安全的11个挑战及应对策略

2024-12-03 10:09

关注

所有云计算平台的主要承诺(例如提高IT效率、灵活性和可扩展性)都面临一个重大挑战:安全性。

许多组织无法界定云计算服务提供商(CSP)的职责在何处终止以及他们的职责从何处开始,因此可能存在更多漏洞。云计算的扩展性也增加了组织的潜在攻击面。而使问题进一步复杂化的是,传统的安全控制措施通常无法满足云安全需求。

为了帮助组织了解他们面临的云计算挑战,云安全联盟(CSA)在10年前成立了一个专业团队。这个由行业人士、架构师、开发人员以及组织高管组成的调查团队确定了一个包含25种安全威胁的列表,然后由安全专家进行分析,并对这些安全威胁进行排名,并将这些安全威胁精简到11种最常见的云计算安全挑战:

从那时起,云安全联盟(CSA)每两年发布一份调查报告。而日前发布的一份名为“令人震惊的云计算的11个最大威胁”的报告,其中详细说明了这些威胁以及确定是谁的责任,或者是客户的责任,或者云计算服务提供商(CSP)的责任,还是两者都有责任,并提供了帮助组织实施云计算安全保护的步骤。

云安全联盟(CSA)发布的第五份调查报告显示了一些重大变化。值得注意的是,这11种主要安全威胁中有6种威胁是新出现的。此外,这些威胁并不是云计算服务提供商(CSP)的全部责任,而都与客户有关,或者是云计算服务提供商(CSP)和客户共同承担的责任。

云安全联盟(CSA)全球研究副总裁John Yeoh表示:“我们注意到,最主要的趋势是组织对客户的控制力有所增强。”他将发生的这些变化归因于两件事:或者组织对云计算服务提供商(CSP)信任度显著提高,或者组织希望加强控制并更好地了解他们在云平台中可以做些什么,以及如何使用云服务满足其特定的安全要求。

在今年发布的调查报告中,根据对受访者进行的调查,以下是按严重程度排列的11种安全威胁以及每种安全威胁的缓解措施:

1. 数据泄露

云安全联盟(CSA)的这份调查报告表明,数据泄露仍然是云计算服务提供商(CSP)及其客户的责任,在2021年仍然是最大的云安全威胁。在过去几年中,许多数据泄露都归因于云平台,其中最引人注目的事件之一就是Capital One公司的云计算配置错误。

数据泄露可能会使一些组织陷入困境,声誉遭受不可逆转的损害,并且由于监管影响、法律责任、事件响应成本,以及市场价值下降而造成财务方面的困难。

云安全联盟(CSA)的建议如下:

云安全联盟(CSA)的云控制矩阵(CCM)规范包括以下内容:

云安全联盟(CSA)的云控制矩阵是云安全联盟(CSA)安全指南的支持文件,这份指南是第四代文档,概述了各种云域及其主要目标。

云控制矩阵(CCM)提供了按控制区域和控制ID分类的需求和控制的详细列表,每个列表对应于其控制规范、架构相关性、云交付模型(SaaS、PaaS和IaaS),以及标准和框架(如PCI DSS、NIST和FedRAMP)。

2. 配置错误和变更控制不足

如果资产设置不正确,则很容易受到网络攻击。例如,Capital One公司的安全漏洞可以追溯到泄露Amazon S3存储桶的Web应用程序防火墙配置错误。除了不安全的存储之外,权限过大和使用默认凭据也是出现数据漏洞的另外两个主要来源。

与此相关的是,无效的变更控制可能会导致云计算配置错误。在按需实时云计算环境中,更改控制应该实现自动化以支持快速更改。

客户的责任,错误的配置和变更控制是云安全威胁列表的新增内容。

云安全联盟(CSA)的建议如下:

云控制矩阵(CCM)规范包括以下内容:

3. 缺乏云安全架构和策略

很多组织在没有适当的架构和策略的情况下进入云端。在迁移到云平台之前,客户必须了解他们所面临的威胁,如何安全地迁移到云平台以及共享责任模型的来龙去脉。

这种威胁是清单中的新内容,主要是客户的责任。如果没有适当的计划,客户将很容易受到网络攻击,从而可能导致财务损失,声誉受损以及法律和合规性问题。

云安全联盟(CSA)的建议如下:

云控制矩阵(CCM)包括以下内容:

4. 身份、凭证、访问和密钥管理不足

大多数云安全威胁以及一般的网络安全威胁都可以与身份和访问管理(IAM)问题相关联。根据云安全联盟(CSA)指南,这源于以下原因:

对于顶级云安全挑战列表来说,新的标准身份和访问管理(IAM)挑战由于使用云计算而加剧。执行库存、跟踪、监视和管理所需的大量云计算帐户的方法包括:设置和取消配置问题、僵尸帐户、过多的管理员帐户和绕过身份和访问管理(IAM)控制的用户,以及定义角色和特权所面临的挑战。

作为客户的责任,云安全联盟(CSA)的建议如下:

云控制矩阵(CCM)规范包括以下内容:

5. 帐户劫持

云计算账户劫持是指对云计算环境的运行、管理或维护至关重要的云计算账户的泄露、意外泄露或其他泄露行为。这些高度特权和敏感的帐户如果被遭到破坏,可能会导致严重的后果。

从网络钓鱼和凭证填充到薄弱或被盗凭证,再到不正确的编码,账户泄露可能导致数据泄露和服务中断。

作为云计算服务提供商(CSP)和客户的责任,云安全联盟(CSA)的建议如下:

云控制矩阵(CCM)规范包括以下内容:

6. 内部威胁

与员工和组织网络内其他人员相关的风险不仅限于云平台。无论是疏忽还是有意,内部人员(包括现任和前任员工、承包商和合作伙伴)都可能导致数据丢失、系统停机、客户信心降低和数据泄露。

组织必须解决客户的责任、涉及泄露或被盗数据的内部威胁、凭证问题、人为错误和云错误配置。

云安全联盟(CSA)的建议如下:

云控制矩阵(CCM)规范包括以下内容:

7. 不安全的接口和API

客户通过其与云计算服务进行交互的云计算服务提供商(CSP)的UI和API是云计算环境中最公开的部分。任何云计算服务的安全性都始于对它们的良好保护,这是客户和云计算服务提供商(CSP)的责任。

云计算服务提供商(CSP)必须确保已经集成安全性,客户必须努力使用云安全联盟(CSA)所谓的云计算“前门”来管理、监视和安全。该威胁已从上次报告中的第三大威胁下降到第七,但仍然很重要。

云安全联盟(CSA)的建议如下:

云控制矩阵(CCM)规范包括以下内容:

8. 控制平台薄弱

作为客户的责任和2021年的新职责,云计算控制平台是组织使用的云计算管理控制台和接口的集合。云安全联盟(CSA)表示,它还包括数据复制、迁移和存储。如果安全措施不当,被破坏的控制平面可能会导致数据丢失、监管罚款和其他后果,以及品牌声誉受损,从而导致收入损失。

云安全联盟(CSA)的建议如下:

云控制矩阵(CCM)规范包括以下内容:

9. 元结构和应用程序结构失效

由云安全联盟(CSA)定义的元结构是“提供基础结构层和其他层之间接口的协议和机制”,换句话说,就是将技术联系起来并实现管理和配置的粘合剂。

元结构是云计算服务提供商(CSP)与客户之间的分界线。这里存在许多安全威胁:例如,云安全联盟(CSA)指出云计算服务提供商(CSP)的API实施不佳或客户使用的云计算应用程序不当。此类安全挑战可能导致服务中断和配置错误,并造成财务和数据丢失的后果。

该应用程序结构被定义为“部署在云中的应用程序以及用于构建它们的底层应用程序服务”。例如消息队列、人工分析或通知服务。

报告中的新威胁是客户和云计算服务提供商(CSP)共同的责任。云安全联盟(CSA)的建议如下:

云控制矩阵(CCM)规范包括以下内容:

10. 云计算使用可见性有限

长期以来,云计算使用可见性一直是组织管理员关注的问题,但对于这份报告列出的云安全联盟(CSA)的云安全挑战来说,这是一个新问题。云安全联盟(CSA)认为,可见性有限会带来两个关键挑战:未经批准的应用程序使用,也称为影子IT,是指员工使用IT部门不允许的应用程序。

批准的应用滥用是指未按预期使用经过IT批准的应用。例如,这包括有权使用该应用程序的用户,以及使用通过SQL注入或DNS攻击获得的被盗凭据访问该应用程序的未经授权的个人。

云安全联盟(CSA)表示,这种有限的可见性导致缺乏治理、意识和安全——所有这些都可能导致网络攻击、数据丢失和漏洞。

这是今年新上榜的安全威胁,是云计算服务提供商(CSP)和客户的共同责任。云安全联盟(CSA)的建议如下:

云控制矩阵(CCM)规范包括以下内容:

11. 滥用和恶意使用云计算服务

正如云计算可以为组织带来很多好处一样,它也可以被威胁者恶意利用。恶意使用合法的SaaS、PaaS和IaaS产品会影响个人、云计算客户和云计算服务提供商(CSP)。组织容易通过以下方式滥用云计算服务:

遭到破坏和滥用的云计算服务可能导致费用支出,例如,加密货币的损失或攻击者付款;组织在不知不觉中托管恶意软件的情况;数据丢失等。

云安全联盟(CSA)建议云计算服务提供商(CSP)努力通过事件响应框架来检测和缓解这种攻击。云计算服务提供商(CSP)还应该提供客户可以用来监视云计算工作负载和应用程序的工具和控制。

作为客户和云计算服务提供商(CSP)的共同责任,云安全联盟(CSA)的建议如下:

云控制矩阵(CCM)规范包括以下内容:

 

来源:企业网D1Net内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯