close
当前位置: 物联网在线 > IT技术 > 云计算 >

云安全威胁需要改进IT协作、治理 不一定是新技术

  仅仅将你的本地安全控制迁移到一个全新的云环境是不够的。即使是拥有多年经验的云组织也很脆弱。

  随着企业将云服务的使用范围扩大到包括关键业务应用程序和数据,安全漏洞的风险成为了一个C级问题。轻率地将专为内部基础设施和安全控制设计的内部系统迁移到完全不同的云架构,常常是因为没有完全理解云安全的特性、控制、网络设计和用户责任,这将后患无穷。即使像Capital One这样的组织,拥有多年AWS经验、对云技术细微差别有深刻理解的公司,也可能被黑客利用,很明显,每个云用户都需要加倍努力保护自己的安全。值得庆幸的是,有一个像云安全联盟(CSA)这样的组织致力于通过开发策略、建议和威胁研究来提高云环境的安全性。

  

NvUVfyn

 

  “作为DEF CON黑客大会的公共化版本,Black Hat 事件已经成为大多数安全厂商和研究人员必须停止的活动。和大多数安全会议一样,会议上也充斥着关于此前未知的软件漏洞的可怕声明、新的攻击方法以及黑客技术的创造性演示。不幸的是,与大多数安全事件一样,黑帽内容的优势描述的是威胁和漏洞,而不是对策和软件修复。CSA遵循脚本使用该事件发布关于云威胁的新报告,但是使用另一份报告进行反击,该报告详细描述了通过将安全性集成到软件开发和IT操作中来改进组织的安全状况的结构改进。”

  首先,找出威胁

  正如Capital One事件所展示的那样,使用云基础设施和应用程序开辟了新的网络攻击途径,同时通过在云提供商和用户之间分担安全策略的责任,使应用程序和数据安全的责任复杂化。上周的专栏关注的是职责划分,而CSA的一份新报告强调了云计算引入的新威胁载体。

  CSA顶级威胁工作组定期发布其对企业云用户面临的最重要安全问题的评估。随着时间的推移,该小组发现传统上对核心基础设施的威胁如拒绝服务攻击或针对硬件和操作系统的漏洞都被云提供商有效的保护起来了,而软件堆栈中更高层次的问题是云用户的责任。CSA发布的一份关于云计算最大威胁的报告指出,

  “调查中得分较高的新项目更加细致入微,表明消费者对云的理解已经成熟。这些问题本质上是特定于云的,因此表明了消费者正在积极考虑云迁移的技术前景。这些主题涉及潜在的控制平面弱点、元结构和应用程序结构故障以及有限的云可见性。这一新的重点明显不同于以往更常见的威胁、风险和漏洞(即数据丢失、拒绝服务),这些在以前的顶级威胁报告中表现得更为突出。”

  该工作组使用微软STRIDE威胁模型,分析了六个威胁类别中每个问题的范围和重要性,并将其归纳为19个最突出的云安全威胁。其结果就是该组织所称的“惊人的11个”,按重要性排列如下。

  1. 数据泄露,例如Capital One事件,其中“敏感、受保护或机密信息被未经授权的个人发布、查看、窃取或使用”。

  2. 错误配置和不充分的变更控制是由设置错误导致的,这些错误使云资源容易受到恶意活动的攻击。”

  3.缺乏云安全体系结构和策略,导致IT部门不理解自己在云安全中的角色,或者不小心将现有的内部应用程序迁移到云基础设施,而没有使其适应新的安全环境。

  4. 不充分理解云身份和访问管理(IAM)服务和控制以及不充分地保护云凭据,例如频繁地旋转加密密钥、密码和证书,从而导致身份、凭据、访问和密钥管理不足。

  5. 通过网络钓鱼攻击或窃取凭证劫持帐户(见#4)。

  6. 内部威胁,指某人滥用其对云资源的授权访问,恶意或无意地破坏系统或暴露敏感数据以破坏操作。这些威胁可能来自现任或前任雇员、承包商或可信任的业务伙伴。

  7. 不安全的接口和API,其中配置或设计不良的API允许攻击者滥用应用程序或访问数据。正如该报告所详细描述的,面向公众的云系统的接口不断受到攻击,而且,正如Capital One所发现的,它常常是攻击者访问其他内部漏洞的门户。

  8. “弱控制平面”就是没有经过深思熟虑的云策略的一个例子,这种策略导致没有充分理解云管理、安全控制和数据流,以及不恰当地使现有流程适应明显不同的环境。

  9. 元结构和应用程序结构的失败是由云提供商对API和其他管理接口的弱实现造成的。根据CSA的报告,

  元结构被认为是CSP/客户界线,也称为基线。为了提高客户对云的可见性,csp经常公开或允许API与水线上的安全进程进行交互。不成熟的csp常常不确定如何使api对客户可用,以及在多大程度上可用。例如,允许客户检索日志或审计系统访问的api可能包含高度敏感的信息。

  虽然不在基线上,但是用于启动服务器端请求伪造(SSRF)的AWS元数据服务是元结构失败的一个例子。

  10. 当不完全了解组织内的云使用情况,从而忽略安全问题时,就会出现有限的云使用可视性。当以下两种情况发生时:(a)员工未经IT授权使用云应用程序和/或资源,即影子IT,或(b)授权的内部人员滥用其访问权限(#6)就会出现上述的结果。

  11. 滥用和恶意使用云服务,攻击者使用云服务来托管恶意软件或发起攻击,隐藏在云提供商域名的合法性背后。来自云基础设施的威胁通常包括恶意软件存储和传播、DDoS攻击、电子邮件垃圾邮件和钓鱼活动以及自动点击欺诈。

  作为CSA的CEO和创始人,Jim Reavis在一次采访中指出,这些安全问题影响着所有类型的云服务,包括SaaS,而不仅仅是像AWS这样的基础设施,

  这份报告非常值得一读,因为它详细描述了每种威胁的业务影响和真实世界的例子,以及针对每种威胁的特定云控制(来自CSA的CCM分类)。一份配套文件分析了9起新闻事件,显示了威胁的来源、分类、技术和商业影响,以及本可以阻止或减轻攻击的CCM控制。例如,下面是Zynga数据泄露的总结图表。


(责任编辑:李白)

用户喜欢...

ITOps为什么要转向云端?

要想正确理解ITOps,我们先来看看IT 运维管理(ITOM)发生了哪些变化? 如今,企业IT的正在发生翻天覆地的变化,无论是Splunk收购SignalFx,还是软件制造商PagerDuty的IPO事件,所有迹象都在表明基于...


什么是第二代云计算战略?

如今,云计算的应用有着与托管数据中心基础设施类似的趋势。许多数据中心起初获得单一的基础设施供应商的服务,这削弱了单一解决方案的简单性带来的灵活性。随着数据中心的发展,它...


应对云计算中断的6个步骤

企业通常希望公共云为许多应用程序类型提供灵活性、快速可扩展性和可靠性,但公共云并不完美。每个主要云计算提供商都经历过内部系统或存储以及外部资源(如网络连接)的中断。业务中断...


专访红帽Michael Hansen:如何将混合云带到边缘?

9月27日消息(高娟)随着技术的变革,已进入发展黄金期的混合云也将不断进化,为企业带来更为卓越的用户体验。日前,红帽电信业务部全球业务拓展负责人Michael Hansen在接受采访时表示,容器...


如何让云计算之旅安全顺畅

企业可以采用云计算通过不断的建设、整合、部署、保护、监控和修复提高运营效率。 企业将业务迁移到云端并不容易,但可以安全有效地完成。企业对于业务速度的需求,需要更快地构建的...


2019上半年云服务和基础设施市场规模超1500亿美元 同比增长24%

Synergy Research的新数据显示,2019年上半年,云服务和基础设施市场超过了1500亿美元的里程碑,相比2018年上半年增长了24%。在细分市场中,IaaS和PaaS增长最快,达到44%;其次是企业SaaS的27%,UCaaS的...


如何选择云计算数据仓库服务 7大云计算数据仓库介绍

云计算数据仓库是一项收集、组织和经常存储供组织用于不同活动(包括数据分析和监视)数据的服务。 在企业使用云计算数据仓库时,物理硬件方面全部由云计算供应商负责。对于只看到大量...


福布斯发布云计算企业100强 Stripe仍居榜首

近日,由福布斯与Bessemer Venture Partners和Salesforce Ventures合作推出的榜单福布斯云计算100强(Forbes Cloud 100)正式发布,并在美国旧金山举行盛大的颁奖典礼。 这是福布斯连续第四年推出该榜单,旨...


混合云成为“IT新常态”的五大原因

不管是主观能动性使然,还是客观因素推动,企业IT的今天已开始越来越多地转向云模式,更准确地说是迈向混合云时代。大多时候,企业在决定上云之前,会对他们所有的业务进行详细梳理,...


云计算产业进入新阶段:从全面上云到充分发挥云效能

再过2天位于杭州西南部的一个云栖小镇将成为云计算行业的焦点。9月25-27日,阿里巴巴一年一度的云栖大会就要在这里举行,上千家企业、数万的云计算从业人士会奔赴这里。 在中国公有云市...