总部位于密苏里州圣路易斯的TierPoint公司,是一家私人投资支持的主机托管和混合云服务供应商,目前已迅速成为数据中心行业一支不可忽视的力量。TierPoint经营着39个数据中心,数据中心空间共计超过60万平方英尺,遍布美国18个州21个市场。经过仅仅5年的发展,它从一个小型本地数据中心整合者,演变成为一家为多个区域市场提供混合IT解决方案的成熟数据中心供应商。
对于数据安全问题,TierPoint也有自己的见解。2018年我们将面临哪些云数据安全问题?TierPoint提出了以下5种威胁。
1. 共享技术中的漏洞
一般来说,采购云服务也就意味着你默认与该供应商的其它客户共享他们的基础架构、平台或应用。供应商的底层基础架构应该在多租户基础架构(IaaS)、平台即服务(PaaS)或软件即服务(SaaS)解决方案的客户之间采取强大的隔离措施(但在实际情况中,真正做到这一点的供应商到底有多少我们无从得知)。
诸如管理程序之类的共享平台组件中一旦产生漏洞或配置错误,攻击者就有可能趁虚而入,攻击该供应商系统,最终殃及大部分甚至所有客户的云端数据,造成后果极为严重的信息泄露事件。
保护云数据安全的关键措施之一就是针对共享基础架构管理制定严格的流程。围绕客户端实现和数据管理的最佳实践有助于防范共享技术的漏洞。此外,还需要对内部服务交付和面向客户的资源进行例行的漏扫和以合规为重点的扫描。
2. DDoS攻击
DDoS攻击指的是通过受感染计算机/互联网设备上的僵尸网络发送大量垃圾流量,导致整个网络、网站和应用程序彻底瘫痪的过程。最著名的案例之一发生在2016年10月,DNS服务提供商Dyn公司的Managed DNS基建遭遇了一波非常严重的DDoS攻击,不仅是Dyn,整个美国、欧洲的主要网站均沦陷。
DDoS攻击还有一个容易被人忽略的危害属性是为数据盗窃、恶意软件感染“打掩护”,最终对云数据安全产生威胁。例如,英国电信运营商Carphone Warehouse曾在2015年曝光受到大量在线流量的攻击,同时240万在线用户的个人信息被窃取,其中包含加密的信用卡数据。
更悲催的是,DDoS攻击发起成本低廉、持续时间长(数小时甚至数天)。有资料显示,花150美金就能在暗网上买到针对小型组织展开为期一周的攻击服务。
3. Web API恶意利用
Web service接口(也称为web API或应用程序编程接口)能够为开发人员和黑客提供云应用程序的控制权。web API的“合法”作用是提供集成、管理、监控以及其它云服务。Web API一旦落入非法用户之手,他们就有可能访问敏感数据、禁用服务器、更改应用程序配置设置、通过云资源窃取发起其它攻击,最终对云数据安全产生严重危害。
云API中的数据安全往往比较脆弱。RedLock在其2017年的《云基础架构安全趋势》报告中提出40%使用云存储服务的企业无意中都公开了一项或多项此类服务。
为了增强云数据的安全性,云服务API应通过加密密钥进行访问,用于API合法用户的验证。开发人员和云提供商都应将其密钥存储在安全的文件存储或硬件设备中。
4. 勒索软件
美国联邦调查局有资料显示,2016年每天发生4000起勒索软件攻击事件,相比2015年增长了300%.2017年,“想哭”勒索软件损毁了全球无数企事业单位的海量数据。其中全球制药业巨头Merck因为“想哭”终止了其生产和配方作业,一个月后,又因勒索软件的破坏导致无法完成订单交付。
勒索病毒的传播途径多样,例如受感染的电子邮件、视频、PDF或网站,能够连接的设备或者通过密码破解进行感染。思科在其2017年年中网络安全报告中指出,越来越多单位的安全措施都在不断完善,因此很多犯罪分子又开始采用电子邮件这种传统的感染方式——看似无害的邮件内容,以及带宏病毒的邮件附件。
勒索软件会对受感染计算机中的一切加密,因此我们必须在云上或另一个系统中进行资料备份。
5. APT高级持续性威胁
狡猾的APT威胁能够完美地藏匿于计算基础架构中,持续数月甚至数年地在目标受害者的网络中窃取数据、知识产权,获取不法经济利益或从事网络间谍活动。通常来说,APT威胁检测难度大,防御方式也不断演变。APT所造成的数据泄露往往发生于无形之中,发现难度大。
云安全联盟在其《The Treacherous 12–Top Threats to Cloud Computing + Industry Insights》报告中指出,APT威胁通过鱼叉式钓鱼、直接攻击、USB设备中的攻击代码等技术或通过对合作方网络的渗透以及使用不安全的或第三方网络等方式潜入包括云服务在内的系统。
TierPoint研究人员认为,高级安全控制措施和严格的流程管理是防范云数据安全威胁的关键。除此之外,针对数据内容本身的安全防护也至关重要,在面对各种漏洞和攻击时,如果已经对需要保护的核心数据做了检查定位、脱敏和监控等技术手段的防护,那么云数据的安全风险将大大降低。