如今,云计算不断改变组织使用、存储和共享数据、应用程序和工作负载的方式。但也带来了一系列新的安全威胁和挑战。随着大量数据进入云端,尤其是进入公共云服务,这些资源成为网络犯罪分子的首要目标。

500746257_wx

 

调研机构 Gartner公司副总裁兼云计算安全负责人Jay Heiser说:“公共云的应用正在快速增长,因此不可避免地会导致出现更多的潜在风险敏感内容。”

与许多人认为的相反,保护云端中的企业数据的主要责任不在于云计算服务提供商,而在于云客户。Heiser说:“我们正处在一个云计算安全过渡期,重点正从供应商转向客户。很多企业花费大量时间来确定某个特定的云服务提供商是否安全,但几乎没有什么结果,因为在于其自身。”

为了让企业了解云安全问题,以便他们能够就云采用策略做出明智的决策,云计算安全联盟(CSA)发布了最新版本的“云计算的12大威胁:行业见解报告。”

这个报告反映了云计算安全联盟安全专家当前就云计算中最重要的安全问题达成的共识。这份报告指出,尽管云端存在许多安全问题,但企业主要关注的是云计算的共享和按需特性。为了确定人们最关心的问题,云计算安全联盟对行业专家进行了调查,就云计算中最严重的安全问题汇总编写了一些专业的意见和建议。以下是人们面临的12个最重要的云安全问题(按照调查结果的严重程度排列):

1.数据泄露

云计算安全联盟表示,数据泄露是具有针对性攻击的主要目标,也可能是人为错误、应用程序漏洞或安全措施不佳的结果。它可能涉及任何不适合公开发布的信息,包括个人健康信息、财务信息、个人可识别信息、商业秘密和知识产权。由于不同的原因,组织基于云端的数据可能对某些组织具有更大的价值。数据泄露的风险并不是云计算独有的情况,但它始终是云计算用户的首要考虑因素。

2.身份、凭证和访问管理不善

云计算安全联盟表示,网络犯罪分子伪装成合法用户、运营人员或开发人员可以读取、修改和删除数据,获取控制平台和管理功能,在用户传输数据的过程中进行窥探,发布似乎来源于合法来源的恶意软件。因此,身份不足、凭证或密钥管理不善可能导致未经授权的数据访问,并可能对组织或最终用户造成灾难性的损害。

3.不安全的接口和应用程序编程接口(API)

云计算提供商提供了一组客户使用的软件用户界面(UI)或API来管理和与云服务交互。云计算安全联盟称,其配置、管理和监控都是通过这些接口来执行的,通常情况下,云服务的安全性和可用性取决于API的安全性。他们需要进行设计以防止意外和恶意的企图。

4.系统漏洞

系统漏洞是攻击者可以用来侵入系统窃取数据、控制系统或破坏服务操作的程序中可利用的漏洞。云计算安全联盟表示,操作系统组件中的漏洞使得所有服务和数据的安全性都面临重大风险。随着云端出现多租户,来自不同组织的系统彼此靠近,并且允许访问共享内存和资源,从而创建新的攻击面。

5.账户劫持

云计算安全联盟指出,账户或服务劫持并不是什么新鲜事物,但云服务为这一景观增添了新的威胁。如果攻击者获得对用户凭证的访问权限,他们可以窃听活动和交易,操纵数据,返回伪造的信息并将客户重定向到非法的站点。账户或服务实例可能成为攻击者的新基础。由于凭证被盗,攻击者经常可以访问云计算服务的关键区域,从而危及这些服务的机密性、完整性、可用性。

6.怀有恶意的内部人士

云计算安全联盟表示,虽然有些威胁的严重程度是有争议的,但内部威胁是一个真正的威胁。怀有恶意的内部人员(如系统管理员)可以访问潜在的敏感信息,可以更多地访问更重要的系统,并最终访问数据。仅依靠云服务提供商提供安全措施的系统将面临更大的风险。

7.高级持续性威胁(APT)

高级持续性威胁(APT)是一种寄生的网络攻击形式,它渗透到目标公司IT基础设施建立立足点的系统,从中窃取数据。高级持续性威胁(APT)在很长一段时间内逐步达到目标,经常能够适应抵御它们的安全措施。一旦部署到位,高级持续性威胁(APT)可以通过数据中心网络横向移动,并与正常的网络流量融合,达到他们的目的。

8.数据丢失

云计算安全联盟表示,存储在云端的数据可能因恶意攻击以外的原因而丢失。云计算服务提供商遭遇意外删除、火灾或地震等物理灾难可能导致客户数据的永久丢失,云计算提供商或客户应当采取适当的措施来备份数据,遵循业务连续性的最佳实践,实现灾难恢复。

9.尽职调查不足

云计算安全联盟表示,企业当高管制定业务战略时,必须对云计算技术和服务提供商进行考量。在评估云计算技术和提供商时,制定一个良好的路线图和尽职调查清单对于获得最大的成功至关重要。而急于采用云计算技术并选择提供商没有执行尽职调查的组织将面临诸多风险。

10.滥用和恶意使用云服务

云计算安全联盟指出,安全性差的云服务部署,免费的云服务试用,以及通过支付工具欺诈进行的欺诈性账户登录将云计算模式暴露在恶意攻击之下。攻击者可能会利用云计算资源来定位用户、组织或其他云计算提供商。滥用云端资源的例子包括启动分布式拒绝服务攻击、垃圾邮件和网络钓鱼攻击。

11.拒绝服务(DoS)

拒绝服务(DoS)攻击旨在防止服务的用户访问其数据或应用程序。可以通过强制目标云服务消耗过多的有限系统资源,如处理器能力,内存,磁盘空间或网络带宽,攻击者可能会导致系统速度下降,并使所有合法的用户无法访问服务。

12.共享的技术漏洞

云计算安全联盟指出,云计算服务提供商通过共享基础架构,平台或应用程序来扩展其服务。云技术将“即服务”产品划分为多个产品,而不会大幅改变现成的硬件/软件(有时以牺牲安全性为代价)。构成支持云教育处服务部署的底层组件可能并未设计成为多租户架构或多客户应用程序提供强大的隔离属性。这可能会导致共享的技术漏洞,可能在所有交付模式中被攻击者利用。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2018-01-04 10:29:19
云安全 微软等回应英特尔芯片漏洞:已发安全更新防止被利用
针对英特尔公司的芯片漏洞问题,微软公司在周三表示,已发布Windows更新防止这一芯片层面的安全漏洞被利用,并且正在为云服务开发更新。 <详情>
2018-01-04 09:58:00
云资讯 2018全球云计算开源大会正式启动
开源的历史可以追溯到20世纪60年代,在几十年的发展进程中,开源经历了从小到大,从无到有,从非主流到主流的过程。时至今日,开源已成为最具活力、最具开放精神、最被推崇 <详情>
2018-01-04 09:25:16
机房建设 小即是美:微型数据中心或许才是云计算的未来
如今,很多数据中心运营商和用户正在竭尽全力地让他们的数据中心规模变得更大。当然,密度更大,效率更高,性能也更高,但从根本上说,这是一个更大规模的旅程。 <详情>
2018-01-03 17:42:47
云资讯 出海印度 云计算厂商需要了解哪些政策?
印度目前云计算处于发展初级阶段,发展速度很快。根据Gardner的预测,印度2017年云计算的收入将达到10.81亿美元,相比2016年增长27%. <详情>
2018-01-03 11:26:07
市场情报 触目惊心 亚信安全盘点2017年十大数据泄露事件
数据泄露已经成为全球最常见的网络安全事件之一,而且已经有愈演愈烈的趋势。 <详情>
IDCC2018|企业数字化转型发展战略分析
2018-12-13 14:48:22
IDCC2018|共话交流合作,“IDC市场国际合作对话”圆桌论坛登场
2018-12-13 13:05:56
IDCC2018|开源网安夏天泽:DevSecOps场景下自动化安全测试二三事
2018-12-13 12:52:04
IDCC2018|郝丽萍:秒计监控,日处理70亿笔交易量!建行的数据中心,你怎么看
2018-12-13 12:28:46
IDCC2018|ODCC金融专家组专家杨志国:应急管理在银行业数据中心的策略与实践
2018-12-13 12:20:19
IDCC2018|中国建设银行股份有限公司副总经理尚波:中国建设银行的数据能力建设
2018-12-13 12:16:01
IDCC2018|民生银行毕永军:智能运维处于1.0阶段,要从痛点出发
2018-12-13 12:01:23
IDCC2018|新加坡电信中国区资深网络规划师付喻峰:Singtel的数据中心提供商转型之路
2018-12-13 11:56:45
IDCC2018|清华大学公共管理学院副教授张楠:数据权与数据治理
2018-12-13 11:51:48
IDCC2018|共济科技DCIM行销总监林德昌:中大型IDC的DCIM实践
2018-12-13 11:45:26
IDCC2018|国务院发展研究中心李广乾:小数据的大价值
2018-12-13 11:37:00
IDCC2018|中国IDC圈高级分析师李岑:中国IDC产业未来发展的几大关注点
2018-12-13 11:30:09
IDCC2018|有孚网络臧云峰:百花齐放的“云”,该怎么运维?
2018-12-13 11:23:00
IDCC2018|大数据产品能力测试证书颁发
2018-12-13 11:20:07
IDCC2018|上海数据港股份有限公司副总裁、数据中心首席架构师王海峰:标杆管理驱动数据中心建设变革
2018-12-13 11:15:00