云安全可靠是云黄金时代民营企业网络化结构调整遭遇的最大考验之一。随着云计算的加速普及化,民营企业使用者常常认为云安全可靠的主要就主事者是技术栈和整体实力更加整体实力雄厚的云服务供应商,这是一个常用的坏习惯,民营企业过分倚赖云服务供应商已经开始给民营企业带来Villamblard的安全可靠风险。
对于云安全可靠,特别是使用者端统计信息安全可靠的主要就主事者,Gartner,Inc.副总裁云安全可靠相关人士Jay Heiser直截了当地指出:为保护云内民营企业统计数据的主要就职责不是云服务供应商,而在于云顾客。Heiser表示:“我们正处于云安全可靠过渡阶段,防雷的重责已经开始从服务商迁移到了顾客。”“如今,民营企业已经开始自学,耗费大量时间企图确认某一某一云服务供应商与否‘安全可靠’、与否说实话。”
为了使民营企业对云安全可靠难题有崭新的重新认识和了解,作出更有效率的订货重大决策,云安全可靠国联(CSA)不久前面世了新一代版的《云计算11大轻微威胁报告》。
关键性性的安全可靠性难题搜集专精意见建议。并特别针对Capital One、梦工厂、Bloomberg、GitHub、Tesla等五家知名民营企业进行云安全可靠事例考察,广度挖掘主要就的云安全可靠难题(按进行调查报告的轻微性次序):
01
统计数据外泄
数据外泄轻微威胁在今年的进行调查中继续保持第一的边线,也是最轻微的云安全可靠轻微威胁。统计数据外泄犯罪行为可能会轻微侵害民营企业的声望和财务管理,还可能会导致专利技术(IP)经济损失和关键性性民事职责。
CSA关于统计数据外泄轻微威胁的关键性关键性点包括:
攻击者渴望窃取统计数据,因此民营企业需要定义其统计数据的价值及其丢失的影响;
明确哪些人有权访问统计数据是解决统计数据为保护难题的关键性;
可通过互联网访问的统计数据最容易受到错误配置或漏洞利用的影响;
加密可以为保护统计数据,但需要在性能和使用者体验之间进行权衡;
民营企业需要可靠、经过测试的事件响应计划,并将云服务供应商考虑在内。
02
配置错误和变更控制不足
这是CSA云安全可靠轻微威胁榜单中出现的新轻微威胁,考虑到近年来越来越多的民营企业都因为疏忽或意外通过云公开外泄统计数据,该轻微威胁上榜不足为奇。例如,报告中引用了Exactis事件,其中云服务供应商因配置错误公开外泄了一个包含2.3亿美国消费者的个人统计数据的Elasticsearch统计数据库。另外一个灾难性的错误配置事例来自Level One Robitics,由于备份服务器配置错误暴露了100多家制造公司的专利技术信息。
报告指出,让民营企业担心的不仅仅是统计数据丢失,还包括通过篡改或者删除资料导致的业务停顿。报告将大多数配置错误归咎于变更控制实践欠佳。
配置错误和变更控制不充分的关键性点包括:
使用者端资源的复杂性使其难以配置;
不要期望传统的控制和变更管理方法在云内有效率;
使用自动化和技术,这些技术会连续扫描错误配置的资源。
03
缺乏云安全可靠架构和策略
这是个云计算与生俱来的“古老”难题。对于很多民营企业来说,最大程度缩短将系统和统计数据迁移到云所需的时间的优先级,要高于安全可靠性。结果,民营企业常常会选择并非特别针对其设计的云安全可靠基础架构和云计算运营策略。这一难题出现在2020年云安全可靠轻微威胁清单中表明,更多的民营企业开始意识到这是一个轻微难题。
云安全可靠架构和策略的关键性点包括:
安全可靠体系结构需要与业务目标保持一致;
开发和实施安全可靠体系结构框架;
保持轻微威胁模型为新一代;
部署持续监控功能。
04
身份、凭证、访问和密钥管理不善
轻微威胁清单中的另一个新轻微威胁是对统计数据、系统和物理资源(如服务器机房和建筑物)的访问管理和控制不足。报告指出,云计算环境中,民营企业需要改变与身份和访问管理(IAM)有关的做法。报告认为,不这样做的后果可能导致安全可靠事件和破坏,原因是:
凭证为保护不力;
缺乏密码密钥,密码和证书自动轮换功能;
缺乏可扩展性;
未能使用多因素身份验证;
未能使用强密码。
身份、凭证、访问和密钥管理的关键性关键性点包括:
安全可靠账户,包括使用双重身份验证;
对云使用者和身份使用严格的身份和访问控制-特别是限制root账户的使用;
根据业务需求和最小特权原则隔离和细分账户、虚拟私有云和身份组;
采用程序化、集中式方法进行密钥轮换;
删除未使用的凭据和访问特权。
05
账户劫持
今年,账户劫持仍然是第五大云轻微威胁。随着网络钓鱼攻击变得更加有效率和更有特别针对性,攻击者获得高特权账户访问权的风险非常大。网络钓鱼不是攻
一旦攻击者可以使用合法账户进入系统,就可能造成轻微破坏,包括盗窃或破坏重要统计数据,中止服务交付或财务管理欺诈。报告建议对使用者就账户劫持的危险性和特征进行安全可靠意识教育培训,以最大程度地降低风险。
CSA关于账户劫持的主要就建议包括:
账户凭证被盗时,不要只是重置密码,要从源头解决根本难题。
广度防御方法和强大的IAM控制是最好的防御方法。
06
内部威胁
来自受信任内部人员的轻微威胁在云内与内部系统一样轻微。内部人员可以是现任或前任员工,承包商或可信赖的业务合作伙伴,以及无需突破公司安全可靠防御即可访问其系统的任何人。
内部轻微威胁者未必都是恶意的,很多员工疏忽可能会无意间使统计数据和系统遭遇风险。根据Ponemon Institute的2018年内部轻微威胁成本研究,64%的内部轻微威胁事件是由于员工或承包商的疏忽所致。这种疏忽可能包括配置错误的云服务器,在个人设备上存储敏感统计数据或成为网络钓鱼电子邮件的受害者。
治理内部轻微威胁的关键性关键性点包括:
对员工进行充分的安全可靠意识和犯罪行为准则的培训和教育,以为保护统计数据和系统。使安全可靠意识教育常态化,成为一个持续的过程;
定期审核和修复配置错误的云服务器;
限制对关键性系统的访问。
07
不安全可靠的接口和API
“不安全可靠的接口和API”从今年的第三名跌至第七名。在2018年,Facebook经历了一次轻微的统计数据外泄事件,影响了超过5000万个账户,难题的根源就是新服务View中不安全可靠的API。特别是当与使用者界面相关联时,API漏洞常常是攻击者窃取使用者或员工凭据的热门途径。
报告指出,民营企业需要清醒地重新认识到,API和使用者界面是系统中最容易暴露的部分,应当通过安全可靠设计方法来强化其安全可靠性。
参考阅读:糟糕的UX设计也是一种安全可靠轻微威胁
治理不安全可靠的接口和API的关键性点:
采用良好的API做法,例如监督库存、测试、审计和异常活动为保护等项目;
为保护API密钥并避免重用;
考虑采用开放的API框架,例如开放云计算接口(OCCI)或云基础架构管理接口(CIMI)。
08
控制面薄弱
控制平面涵盖了统计数据复制、迁移和存储的过程。根据CSA的说法,如果负责这些过程的人员无法完全控制数据基础架构的逻辑、安全可靠性和验证,则控制平面将很薄弱。相关人员需要了解安全可靠配置,统计数据流向以及体系结构盲点或弱点。否则可能会导致统计数据泄漏、统计数据不可用或统计数据损坏。
关于弱控制面的主要就建议包括:
确保云服务供应商提供履行法律和法定义务所需的安全可靠控制;
进行尽职进行调查以确保云服务供应商拥有足够的控制平面。
09
元结构和应用程序结构故障
云服务供应商的元结构(Metastructure)保存了如何为保护其系统的安全可靠性信息,并可通过API调用。CSA将元结构称为云服务供应商/顾客的“分界线”。这些API可帮助顾客检测未经授权的访问,同时也包含高度敏感的信息,例如日志或审核系统统计数据。
这条分界线也是潜在的故障点,可能使攻击者能够访问统计数据或破坏云顾客。糟糕的API实施通常是导致漏洞的原因。CSA指出,不成熟的云服务供应商可能不知道如何正确地向其顾客提供API。
另一方面,顾客也可能不了解如何正确实施云应用程序。当他们连接并非为云环境设计的应用程序时,特别如此。
防范元结构和应用程序结构失败的关键性关键性点包括:
确保云服务供应商提供可见性并公开缓解措施;
在云原生设计中实施适当的功能和控件;
确保云服务供应商进行渗透测试并向顾客提供结果。
10
云资源使用的可见性差
安全可靠专精人员普遍抱怨云环境导致他们看不到检测和防止恶意活动所需的许多统计数据。CSA将这种可见性考验分为两类:未经批准的应用程序使用和未经批准的应用程序滥用。
未经批准的应用程序本质上是影子IT,即员工未经IT或安全可靠或技术支持或许可使用的应用程序。任何不符合公司安全可靠性准则的应用程序都可能会招致安全可靠团队未意识到的风险。
经许可的应用程序滥用包含很多场景,可能是授权的人员使用批准的应用程序,也可能是外部攻击者使用被盗的凭据。安全可靠团队应当能够通过检测非常规犯罪行为来区分有效率使用者和无效使用者。
提高云安全可靠资源可见性的关键性点:
人员、流程和技术各个环节都注重云可见性的提升;
在公司范围内对云资源使用策略进行强制性培训;
让云安全可靠架构师或第三方风险管理人员查看所有未经批准的云服务;
投资云访问安全可靠代理(CASB)或软件定义的网关(SDG)来分析出站活动;
投资Web应用程序防火墙以分析入站连接;
在整个组织中实施零信任模型。
11
滥用和恶意使用云服务
攻击者越来越多地使用合法的云服务来从事非法活动。例如,他们可能使用云服务在GitHub之类的网站上托管伪装的恶意软件,发起DDoS攻击,分发网络钓鱼电子邮件、挖掘数字货币、执行自动点击欺诈或实施暴力攻击以窃取凭据。
CSA表示,云服务供应商应有适当的缓解措施,以防止和发现滥用犯罪行为,例如付款工具欺诈或滥用云服务。对于云服务商而言,拥有适当的事件响应框架以应对滥用并允许顾客报告滥用也很重要。
CSA关于云服务滥用的主要就建议包括:
监控员工的云服务滥用情况;
使用云统计数据丢失防雷(DLP)解决方案来监视和停止统计数据外泄。
相关阅读
云计算黄金时代,边界隔离交换产品还需要吗?
合作电话:18311333376
合作微信:aqniu001
投稿邮箱:[email protected]