随着云计算越来越广泛的应用到各行各业中,其安全问题也随之而来。相较于传统应用,云计算引起的安全事件和风险要高出很多,其原因在于用户及信息资源的高度化集中。不安全的云服务将增加敏感数据泄露、丢失、恶意攻击等风险。你知道吗?在过去的一年间,全球58%的企业承认自己曾遭遇过数据泄露问题。到了2018年,来自云计算的安全威胁恐怕只增不减,而这12个云安全威胁尤其要注意。
都上云了安全吗?2018年留神这些云安全威胁
其实,云端成为网络犯罪分子的目标并不奇怪,因为这里存储着大量的数据,尤其是公有云。对此,相关云安全专家也指出“公有云的应用正在快速增长,因此不可避免地会导致出现更多的潜在风险敏感内容”。为了让大家,特别是企业用户了解云安全,以便采用正确的策略与决策,云计算安全联盟(CSA)发布了最新版的《云计算的12大威胁:行业见解报告》,并针对云计算中最严重的安全问题,汇总了一些专业的意见和建议。
首先要注意的就是数据泄露问题。当中,既有可能是网络攻击者发动的窃取行为,也有人为错误、应用漏洞等导致的数据泄露。因此,这就有可能涉及像个人信息、财务信息、个人身份识别信息或是商业机密与知识产权,事因不同其所带来的影响等级也就不同。我们说,尽管数据泄露威胁并非云计算所独有的安全威胁,但却需要云计算用户重点防范。
网络犯罪分子分常善于将自己伪装成合法“身份”,例如用户、运营人员、开发人员,可以毫不费力的读取、修改、删除数据,获取权限接管系统。当有用户传输数据时,他们便可从中窥探数据,发布看似合法的恶意软件。因此,身份不足、凭证和访问管理不善,都可能导致未经授权的数据被访问,更甚者对组织和最终用户带来灾难性的损失。
再者,就是不安全的接口和应用程序编程接口(API)。云计算提供商提供了一组客户使用的软件用户界面(UI)或API来管理和与云服务交互。对此,云计算安全联盟表示,其配置、管理和监控都是通过这些接口来执行的,通常情况下云服务的安全性和可用性取决于API的安全性,需要对其进行设计以防止意外和恶意企图。
在我们已知的网络攻击中,有很多次是由于系统漏洞所致。攻击者利用这些系统漏洞,侵入系统窃取数据、控制系统或破坏服务。云计算安全联盟认为,操作系统组件中的漏洞使得所有服务和数据的安全性都面临重大风险,随着云端出现多租户,来自不同组织的系统彼此靠近,并且允许访问共享内存和资源,从而创建新的攻击面。
接着再来说账户劫持。尽管账户或服务劫持并非什么新鲜事,但涉及到云,如果攻击者获得对用户凭证的访问权限,他们就可以窃听活动与交易,操纵数据,返回伪造的信息并将客户重定向到非法的站点。由于凭证被盗,攻击者能经常访问云计算服务的关键区域,从而危及这些服务的机密性、完整性、可用性。
我们常说‘家贼难防。’其实,威胁有时不单单来自外部,很有可能出自内部人员。对此,云计算安全联盟表示,虽然有些威胁的严重程度存有争议,但内部威胁却是一个真正的威胁。心怀鬼胎的内部人员(如系统管理员)可以访问潜在的敏感信息,可以更多地访问更重要的系统,并最终访问数据。仅依靠云服务提供商提供安全措施的系统将面临更大的风险。
在众多攻击形式中,高级持续性威胁(APT)是一种寄生的网络攻击形式,其能渗透到目标IT基础设施建立立足点的系统,从而窃取数据。高级持续性威胁(APT)在很长一段时间内逐步达到目标,经常能够适应抵御它们的安全措施。一旦完成部署,高级持续性威胁(APT)可以通过数据中心网络横向移动,并与正常的网络流量融合,达到他们的目的。
除了数据泄露,云安全面临的另一个问题就是数据丢失。对此,云计算安全联盟表示,存储在云端的数据可能因恶意攻击以外的原因而丢失。例如云服务提供商遭遇意外删除、火灾或地震等物理灾难可能导致客户数据的永久丢失,云服务提供商或客户应当采取适当的措施备份数据,遵循业务连续性的最佳实践,实现灾难恢复。
还有就是尽职调查不足。企业高管制定业务战略时,必须对云计算技术和服务提供商进行充分的考量,且在对云计算技术和提供商进行评估时,要制定一个良好的路线图和尽职调查清单,这些都至关重要;而急于采用云计算技术并选择提供商没有执行尽职调查的组织,将面临诸多风险。
我们说,那些安全性差、免费试用以及通过支付工具欺诈进行的欺诈性账户登录,将云计算模式暴露在恶意攻击之下,而攻击者们很可能利用云计算资源来定位用户、组织或其他云计算提供商,启动分布式拒绝服务攻击、垃圾邮件和网络钓鱼攻击等都属于滥用云端资源。
云计算的另一个安全威胁就是DoS,即拒绝服务攻击,其目的是防止服务的用户访问其数据或应用程序。可以通过强制目标云服务消耗过多的有限系统资源,如处理器能力,内存,磁盘空间或网络带宽,网络攻击者可能会导致系统速度下降,并使所有合法的用户无法访问服务。
最后一个威胁来自共享的技术漏洞。云计算安全联盟指出,云计算服务提供商通过共享基础架构,平台或应用程序来扩展其服务。云技术将“即服务”产品划分为多个产品,而不会大幅改变现成的软/硬件,有时甚至以牺牲安全性为代价。构成支持云教育处服务部署的底层组件可能并未设计成为多租户架构或多客户应用程序提供强大的隔离属性。这可能会导致共享的技术漏洞,面临在所有交付模式中被攻击者利用的安全风险。
未来,随着更多企业将业务迁移至云端,其安全性与合规性将成为最主要的关注点。鉴于2017年发生的一系列云安全问题,如何更好地保护消费者和终端用户将成为重点,而2018年也将成为云安全的分水岭。在这里,我们也衷心希望2018云安全事件少发。