云计算环境中与安全相关的弱点或缺陷会给企业带来沉重打击。在网络攻击者发动攻击之前,企业需要确定他们的弱点。一些企业认为云计算会自动保护他们的工作负载和数据免受攻击、盗窃和其他不当行为,这是一种误解。因为即使在云平台中,安全漏洞和潜在的网络攻击也是不可避免的。云平台是一个多租户环境,其中基础设施和资源可以在分布在全球各地的客户之间共享。云计算提供商必须努力维护其共享基础设施的完整性。同时,云计算是一个自助服务平台,每个客户都必须仔细定义其对每个工作负载和资源的具体控制。在深入研究这些云安全挑战以及如何防范安全风险之前,企业必须了解三种主要危险类型之间的区别:威胁、漏洞和风险。这些术语通常可以互换使用,但它们对IT安全专业人员具有不同的含义。威胁是组织必须防范的实际发生的事情,例如拒绝服务(DoS)攻击、人为错误或自然灾害。漏洞是组织安全状况中的遗漏、漏洞、弱点或其他缺陷。这可能包括配置不当的防火墙、未打补丁的操作系统或未加密的数据。风险是对组织脆弱性的潜在威胁,需要仔细评估。例如,如果有人将未加密的数据存储在公共云中,人为错误可能会导致数据被访问或更改。这可能被视为必须防范的重大业务风险。当用户了解公共云漏洞时,他们可以识别潜在的安全漏洞和常见错误。IT团队需要识别和解决各种类型的危害,以防止他们的系统被利用。以下是六个最常见的云计算安全问题:1.配置错误用户对配置负责,因此企业IT团队需要确定各种设置和选项的优先级。云计算资源受到一系列配置设置的保护,这些配置设置详细说明了哪些用户可以访问应用程序和数据。错误配置和疏忽会暴露数据并导致数据被滥用或更改。每个云计算提供商使用不同的配置选项和参数。用户有责任学习和理解托管其工作负载的平台如何应用这些设置。IT团队可以通过多种方式减少错误配置:采用并实施最低权限或零信任策略以阻止对所有云计算资源和服务的访问,除非特定业务或应用程序任务需要权限。采用云计算服务策略,确保资源默认私有。创建并使用明确的业务策略和指南,概述云计算资源和服务所需设置的配置。要了解云计算提供商的配置和安全设置,请考虑学习提供商特定的课程和认证。默认情况下,加密用于保护静态和传输中的数据。使用Intruder和OpenRaven等工具检查错误配置和审计日志。2.糟糕的访问控制未经授权的用户利用糟糕的访问控制来绕过薄弱的或缺乏认证或授权的方法。例如,恶意行为者利用弱密码来猜测凭据。强大的访问控制支持额外的要求,例如最小密码长度、混合大小写、标点符号或符号,以及频繁更改密码。可以通过几种常用策略来增强访问控制安全性。强制使用强密码并要求定期重置。使用多重身份验证技术。要求用户定期重新认证。采用最小特权或零信任策略。避免使用第三方访问控制,对云中的服务和资源使用基于云的访问控制。3.ShadowIT任何人都可以创建一个公共云帐户,然后可以使用该帐户提供服务以及迁移工作负载和数据。但那些不精通安全标准的人往往会误解安全选项——让云漏洞容易被利用。在许多情况下,此类“影子IT”部署甚至可能永远不会识别或报告漏洞。这使企业有机会在损失发生很久之后减轻损失。当今的企业对影子IT的容忍度更高,但实施标准配置和实践至关重要。业务用户、部门和其他实体必须遵守既定的业务标准,以消除漏洞并确保整个组织的安全。4.不安全的API不相关的软件产品使用API进行通信和互操作,而无需了解彼此代码的内部工作原理。API通常需要敏感的业务数据并授予对该数据的访问权限。公开了许多API以帮助加速采用,使外部开发人员和业务合作伙伴能够访问企业的服务和数据。但有时API是在没有足够的身份验证和授权的情况下实现的。它们完全向公众开放,因此任何有互联网连接的人都可以访问并可能破坏数据。因此,不安全的API正迅速成为黑客和其他恶意行为者的主要攻击媒介。无论是使用来自云计算提供商的API还是创建部署在云中的业务API,使用以下方法开发和使用API都很重要:强身份验证数据加密活动监控和日志记录访问控制API组织的开发和实施应该将API视为敏感代码,并应进行全面的安全审查,包括渗透测试。云计算和其他外部API应该受到同样的审查。避免使用不符合既定安全准则的外部API。5.违规行为在云计算服务的应用中,云计算提供商对云平台的安全负责,客户对其数据的安全负责。在这种责任共担模型中,云计算提供商维护基础设施的完整性和运行,并控制客户资源和数据的分离。客户负责配置应用程序和数据安全,例如访问控制。当威胁成功利用漏洞并在没有正当商业目的的情况下访问数据时,企业应对违规行为和任何后续后果承担全部责任。请考虑以下常见示例:敏感的客户数据被盗,使企业违反现有监管义务并损害其声誉。重要数据被盗,可能导致知识产权损失、损害企业的竞争地位,并危及生成该数据的投资。内部业务数据被更改或擦除,这会产生广泛的潜在影响,例如生产问题。违规行为通常会导致企业受到处罚。例如,违反监管义务可能导致处罚和罚款。涉及为客户或为客户存储的数据的违规行为可能会导致合同违约,从而导致耗时的诉讼和昂贵的补救行动。确保您的配置正确并遵循本文中概述的其他预防措施以减轻任何监管或法律风险。6.中断云计算基础设施非常庞大,但确实会发生故障——通常会导致大范围的云中断。此类中断是由硬件问题和配置疏忽引起的,与影响传统数据中心的问题完全相同。云平台也可能受到分布式拒绝服务和其他旨在损害云计算资源和服务可用性的恶意机制的攻击。如果网络攻击者能够使公共云资源或云计算服务不可用,就会影响到使用这些资源和服务的云计算用户。云计算提供商擅长应对网络攻击,当特定业务工作负载受到网络攻击时,企业的支持团队可以提供帮助。虽然企业和其他公共云用户无法防止云中断和攻击,但他们需要考虑此类中断对云工作负载和数据源的影响,并将此类事件作为灾难恢复策略的一部分进行规划。鉴于公共云的普遍性,灾难恢复通常可以通过跨云区域或区域实施的高可用性架构来解决。但它不是自动的,您必须仔细设计它们并定期测试它们以确保不会对业务产生影响。
