华夏IT网 - 至繁归于至简,IT行业综合站。 设为首页|加入收藏

华夏IT网-您身边的IT行业专家。


当前位置:首页 > 网络安全 > 正文

十二大主流云安全威胁

发布时间:2019-07-10 来源:华夏it网 我要评论

渐渐的变多的数据和运用程序正在转移到云上,这一趋势带来了共同的信息安全应战。以下是企业在运用云服务时所面对的十二大尖端安全要挟。

安全要挟

云核算正在继续改动安排机构运用、存储和同享数据、运用程序和作业负载的方法。这也带来了一系列新的安全要挟和应战。跟着许多数据数据进入云核算——特别是公共云服务,这些资源天然就成为了坏人的方针。

Gartner 公司副总裁兼云安全主管 Jay Heiser 表明:公共云的运用量正在快速增长,因而不可避免地会导致许多灵敏内容暴露在潜在危险傍边。

与大多数人的认知或许相反,维护云中企业数据的首要职责不在于服务供货商,而在于云客户。

“咱们正处于云安全转型时期,要点正从供货商转移到客户身上。企业正在认识到花许多时刻妄图弄清楚某个特定的云服务供货商是否 ‘安全’,实际上并不重要。

为了让安排机构了解云安全问题的最新动态,以便他们能够就云运用战略做出正确的决议方案,云安全联盟 (Cloud Security Alliance, CSA) 发布了最新版别的《云核算十二大尖端要挟:职业洞悉陈述》 。

该陈述描绘了 CSA 安全专家共同以为的现在云所面对的最大安全问题。CSA 表明,虽然云核算存在许多安全问题,但本文首要重视12个与云核算的同享和按需分配特性相关的问题。后续陈述《云核算的最大要挟:深度发掘》(Top Threats to Cloud Computing: Deep Dive) 列举了有关这12种要挟的事例研讨。

为了确认首要要挟,CSA 对职业专家进行了查询,就云核算面对的首要安全问题收集了专业定见。下面是查询得出的一些尖端云安全问题(按查询成果的严峻程度排序):

1. 数据走漏

CSA 表明,数据走漏或许是由于有清晰的意图性的进犯,也或许仅仅人为过错、运用程序缝隙或糟糕的安全措施导致的。数据走漏或许触及任何不方案揭露的信息,包含个人健康信息、财政信息、个人身份信息、商业隐秘和知识产权信息。一个安排机构的云数据或许对不同的方针有不同的价值。数据走漏危险并非只要云核算独有,但它一直是云客户最关怀的问题。

他在其《深度发掘》(Deep Dive) 的陈述中引用了2012年 LinkedIn 暗码遭黑客进犯作为首要比如。由于 LinkedIn 没有加密暗码数据库,进犯者盗取了1.67亿个暗码。该陈述表明,这次走漏警示安排机构应一直对包含用户凭证的数据库进行加盐哈希加密处理,并进行日志记载和反常行为剖析。

2. 身份、凭证和拜访办理不妥

假扮成合法用户、操作人员或开发人员的外部入侵者能够读取、修正和删去数据;发布操控面板和办理功用;监督传输中的数据或发布来历好像合法的歹意软件。因而,身份、凭证或密钥办理不妥或许导致未经授权的数据拜访,并或许对安排机构或终端用户形成灾祸性的成果。

依据 Deep Dive 的陈述,拜访办理不妥的一个比如是 MongoDB 数据库默许装置设置存在危险。该数据库在默许装置设置中打开了一个端口,答应拜访者在不进行身份验证的情况下对数据库进行拜访。该陈述主张在一切周边环境中施行预防性操控,并要求安排机构扫描保管、同享和公共环境中的缝隙。

3. 不安全接口和运用程序接口(API)

云供货商揭露了一套软件用户界面 (UI) 或 API,客户经过这些东西办理云服务并与之进行交互。CSA 表明,供给、办理和监测都是运用这些接口履行的,一般云服务的安全性和可用性取决于 API 的安全性。它们需求被规划成能够阻挠妄图避开方针的意外和歹意妄图。

4. 体系缝隙

体系缝隙是程序中可运用的缝隙,进犯者能够运用这些缝隙潜入体系盗取数据、操控办理体系或中止服务操作。CSA 表明,操作体系组件中的缝隙使一切服务和数据的安全性面对严重危险。跟着云端用户添加,不同安排机构的体系互相接近,并被赋予了拜访同享内存和资源的权限,然后产生了一个新的进犯视点。

5. 账户绑架

CSA 指出,帐户或服务绑架并不新鲜,但云服务的呈现带来了新的要挟。假如进犯者取得了对用户凭证的拜访权,他们就能够监督用户活动和买卖,操作数据,回来假造的信息,并将客户重定向到不合法站点。帐户或服务实例或许成为进犯者的新依据。运用盗取的凭证,进犯者能够拜访云核算服务的要害部分,然后损坏这些服务的秘要性、完整性和可用性。

Deep Dive 陈述中的一个比如:Dirty Cow 高档继续要挟 (APT) 小组能够经过单薄的检查或社会工程接收现有帐户,然后取得体系root权限。该陈述主张对拜访权限施行 “需求知道” 和 “需求拜访” 战略,并对帐户接收战略进行交际工程练习。

6. 歹意内部人员

CSA 表明,虽然要挟程度有待商讨,但内部要挟会制作危险这一现实毋庸置疑。歹意内部人员(如体系办理员)能够拜访潜在的灵敏信息,而且逐步能够对更要害的体系进行更高档别的拜访,并终究拜访数据。假如仅依托云服务供货商来坚持体系安全,那么体系将面对巨大的安全危险。

陈述中引用了一名心怀不满的 Zynga 职工的比如,该职工下载并盗取了公司的秘要商业数据。其时没有防丢掉操控措施。Deep Dive 陈述主张施行数据丢掉防护 (DLP) 操控,进步安全和隐私认识,以改善对可疑活动的辨认和陈述。

7. 高档继续要挟(APTs)

APTs 是一种寄生方式的网络进犯,它渗透到体系中,在方针公司的IT根底架构扎根,然后盗取数据。APT 在很长一段时刻内会隐秘追寻自己的方针,一般能习惯那些旨在防护它们的安全措施。一旦到位,APT 能够横向移动经过数据中心网络,并融入到正常的网络流量中来完成他们的方针。

8. 数据丢掉

存储在云中的数据或许会由于歹意进犯以外的原因丢掉,CSA 说道。云服务供货商意外删去或物理灾祸(如火灾或地震)或许导致客户数据的永久性丢掉,除非供货商或云顾客进行了数据备份,遵从了事务连续性和灾祸康复方面的最佳实践。

9. 尽职查询不行完全

CSA 表明,当高控拟定事务战略时,有必要考虑到云技能和服务供给商。在评价技能和供货商时,拟定一个完善的路线图和尽职查询清单至关重要。那些急于选用云技能,但没有在进行尽职查询的情况下挑选供货商的安排机构将面对许多危险。

10. 乱用和歹意运用云服务

CSA 表明,不安全的云服务布置、免费的云服务试用以及诈骗账户注册,都将云核算模型暴露在歹意进犯之下。歹意人员或许会运用云核算资源来针对用户、安排机构或其他云供货商。乱用云相关资源的比如包含主张分布式拒绝服务进犯、垃圾邮件和垂钓进犯。

11. 拒绝服务 (DoS)

DoS 进犯旨在阻挠运用服务的用户拜访他们的数据或运用程序。经过强制方针云服务耗费过多的体系资源(如处理才能,内存,磁盘空间或网络带宽), 进犯者能够使体系速度下降,并使一切合法的服务用户无法拜访服务。

DNS 供货商 Dyn 是 Deep Dive 陈述中 DoS 进犯的一个首要比如。一个外部安排运用 Mirai 歹意软件经过物联网设备, 在 Dyn 上发起分布式拒绝服务 (DDoS)。这次进犯之所以能成功,是由于遭到进犯的物联网设备运用了默许凭证。该陈述主张剖析反常的网络流量,并检查和测验事务连续性方案。

12. 同享的技能缝隙

CSA 指出,云服务供货商经过同享根底架构、渠道或运用程序来供给可扩展的服务。云技能带来了 “即服务” 概念,而没有对现有的硬件和软件进行实质性改动——有时是以献身安全性为价值的。组成支撑云服务布置的根底组件,其规划意图或许不是为了多用户架构或多用户运用程序供给强壮的阻隔功用。这或许导致同享技能缝隙,这些缝隙或许会在一切交给模型中被运用。

Deep Dive 陈述中的一个比如是 Cloudbleed 缝隙,在这个缝隙中,一个外部人员能够运用其软件中的一个缝隙从安全服务供货商 Cloudflare 中盗取 API 密钥、暗码和其他凭证。该陈述主张对一切灵敏数据进行加密,并依据灵敏等级对数据进行分段。

其他:鬼魂(Spectre)和熔断(Meltdown)

2018年1月,研讨人员陈述了大多数现代微处理器的一个常见规划特性,运用该特性运用歹意 Javascript 代码能够从内存中读取内容,包含加密数据。这一缝隙的两种变体别离被称为熔断 (Meltdown) 和鬼魂 (Spectre),它们影响了从智能手机到服务器的各种设备。正由于后者,咱们才把它们列入这个云要挟列表中。

Spectre 和 Meltdown 都能进行旁路进犯,由于它们打破了运用程序之间的彼此阻隔。能够经过非特权登录拜访体系的进犯者能够从内核读取信息,假如进犯者是客户虚拟机 (VM) 上 root 用户,则能够读取主机内核。

关于云服务供给商来说,这是一个巨大的问题。当补丁可用时,进犯者会更难发起进犯。补丁或许会下降功能,因而一些企业或许挑选不给体系打补丁。CERT 主张替换一切受影响的处理器——但还没有代替品时,很难做到这一点。

到现在为止,还没有一点已知的运用 Meltdown 或 Spectre 的缝隙,但专家们共同以为,这些缝隙很或许很快就会呈现。关于云供货商来说,防备它们的最佳主张是保证一切最新补丁都已到位。客户应该要云供货商供给他们应对 Meldown 和 Spectre 的战略。

《云核算十二大尖端要挟:职业洞悉陈述》:

https://cloudsecurityalliance.org/artifacts/top-threats-cloud-computing-plus-industry-insights/

0
本文标签: 云安全威胁

相关内容

发表评论

华夏IT网-IT行业综合站
Copyright © 华夏IT网 版权所有 鄂ICP备13015020号-6