云计算面临的11大安全威胁

云安全可靠是云黄金时代民营企业网络化结构调整遭遇的最大考验之一。随着云计算的加速普及化，民营企业使用者常常认为云安全可靠的主要就主事者是技术栈和整体实力更加整体实力雄厚的云服务供应商，这是一个常用的坏习惯，民营企业过分倚赖云服务供应商已经开始给民营企业带来Villamblard的安全可靠风险。

对于云安全可靠，特别是使用者端统计信息安全可靠的主要就主事者，Gartner，Inc.副总裁云安全可靠相关人士Jay Heiser直截了当地指出：为保护云内民营企业统计数据的主要就职责不是云服务供应商，而在于云顾客。Heiser表示：“我们正处于云安全可靠过渡阶段，防雷的重责已经开始从服务商迁移到了顾客。”“如今，民营企业已经开始自学，耗费大量时间企图确认某一某一云服务供应商与否‘安全可靠’、与否说实话。”

为了使民营企业对云安全可靠难题有崭新的重新认识和了解，作出更有效率的订货重大决策，云安全可靠国联（CSA）不久前面世了新一代版的《云计算11大轻微威胁报告》。

关键性性的安全可靠性难题搜集专精意见建议。并特别针对Capital One、梦工厂、Bloomberg、GitHub、Tesla等五家知名民营企业进行云安全可靠事例考察，广度挖掘主要就的云安全可靠难题（按进行调查报告的轻微性次序）：

统计数据外泄

数据外泄轻微威胁在今年的进行调查中继续保持第一的边线，也是最轻微的云安全可靠轻微威胁。统计数据外泄犯罪行为可能会轻微侵害民营企业的声望和财务管理，还可能会导致专利技术（IP）经济损失和关键性性民事职责。

CSA关于统计数据外泄轻微威胁的关键性关键性点包括：

攻击者渴望窃取统计数据，因此民营企业需要定义其统计数据的价值及其丢失的影响；

明确哪些人有权访问统计数据是解决统计数据为保护难题的关键性；

可通过互联网访问的统计数据最容易受到错误配置或漏洞利用的影响；

加密可以为保护统计数据，但需要在性能和使用者体验之间进行权衡；

民营企业需要可靠、经过测试的事件响应计划，并将云服务供应商考虑在内。

配置错误和变更控制不足

这是CSA云安全可靠轻微威胁榜单中出现的新轻微威胁，考虑到近年来越来越多的民营企业都因为疏忽或意外通过云公开外泄统计数据，该轻微威胁上榜不足为奇。例如，报告中引用了Exactis事件，其中云服务供应商因配置错误公开外泄了一个包含2.3亿美国消费者的个人统计数据的Elasticsearch统计数据库。另外一个灾难性的错误配置事例来自Level One Robitics，由于备份服务器配置错误暴露了100多家制造公司的专利技术信息。

报告指出，让民营企业担心的不仅仅是统计数据丢失，还包括通过篡改或者删除资料导致的业务停顿。报告将大多数配置错误归咎于变更控制实践欠佳。

配置错误和变更控制不充分的关键性点包括：

使用者端资源的复杂性使其难以配置；

不要期望传统的控制和变更管理方法在云内有效率；

使用自动化和技术，这些技术会连续扫描错误配置的资源。

缺乏云安全可靠架构和策略

这是个云计算与生俱来的“古老”难题。对于很多民营企业来说，最大程度缩短将系统和统计数据迁移到云所需的时间的优先级，要高于安全可靠性。结果，民营企业常常会选择并非特别针对其设计的云安全可靠基础架构和云计算运营策略。这一难题出现在2020年云安全可靠轻微威胁清单中表明，更多的民营企业开始意识到这是一个轻微难题。

云安全可靠架构和策略的关键性点包括：

安全可靠体系结构需要与业务目标保持一致；

开发和实施安全可靠体系结构框架；

保持轻微威胁模型为新一代；

部署持续监控功能。

身份、凭证、访问和密钥管理不善

轻微威胁清单中的另一个新轻微威胁是对统计数据、系统和物理资源（如服务器机房和建筑物）的访问管理和控制不足。报告指出，云计算环境中，民营企业需要改变与身份和访问管理（IAM）有关的做法。报告认为，不这样做的后果可能导致安全可靠事件和破坏，原因是：

凭证为保护不力；

缺乏密码密钥，密码和证书自动轮换功能；

缺乏可扩展性；

未能使用多因素身份验证；

未能使用强密码。

身份、凭证、访问和密钥管理的关键性关键性点包括：

安全可靠账户，包括使用双重身份验证；

对云使用者和身份使用严格的身份和访问控制-特别是限制root账户的使用；

根据业务需求和最小特权原则隔离和细分账户、虚拟私有云和身份组；

采用程序化、集中式方法进行密钥轮换；

删除未使用的凭据和访问特权。

账户劫持

今年，账户劫持仍然是第五大云轻微威胁。随着网络钓鱼攻击变得更加有效率和更有特别针对性，攻击者获得高特权账户访问权的风险非常大。网络钓鱼不是攻

一旦攻击者可以使用合法账户进入系统，就可能造成轻微破坏，包括盗窃或破坏重要统计数据，中止服务交付或财务管理欺诈。报告建议对使用者就账户劫持的危险性和特征进行安全可靠意识教育培训，以最大程度地降低风险。

CSA关于账户劫持的主要就建议包括：

账户凭证被盗时，不要只是重置密码，要从源头解决根本难题。

广度防御方法和强大的IAM控制是最好的防御方法。

内部威胁

来自受信任内部人员的轻微威胁在云内与内部系统一样轻微。内部人员可以是现任或前任员工，承包商或可信赖的业务合作伙伴，以及无需突破公司安全可靠防御即可访问其系统的任何人。

内部轻微威胁者未必都是恶意的，很多员工疏忽可能会无意间使统计数据和系统遭遇风险。根据Ponemon Institute的2018年内部轻微威胁成本研究，64%的内部轻微威胁事件是由于员工或承包商的疏忽所致。这种疏忽可能包括配置错误的云服务器，在个人设备上存储敏感统计数据或成为网络钓鱼电子邮件的受害者。

治理内部轻微威胁的关键性关键性点包括：

对员工进行充分的安全可靠意识和犯罪行为准则的培训和教育，以为保护统计数据和系统。使安全可靠意识教育常态化，成为一个持续的过程；

定期审核和修复配置错误的云服务器；

限制对关键性系统的访问。

不安全可靠的接口和API

“不安全可靠的接口和API”从今年的第三名跌至第七名。在2018年，Facebook经历了一次轻微的统计数据外泄事件，影响了超过5000万个账户，难题的根源就是新服务View中不安全可靠的API。特别是当与使用者界面相关联时，API漏洞常常是攻击者窃取使用者或员工凭据的热门途径。

报告指出，民营企业需要清醒地重新认识到，API和使用者界面是系统中最容易暴露的部分，应当通过安全可靠设计方法来强化其安全可靠性。

参考阅读：糟糕的UX设计也是一种安全可靠轻微威胁

治理不安全可靠的接口和API的关键性点：

采用良好的API做法，例如监督库存、测试、审计和异常活动为保护等项目；

为保护API密钥并避免重用；

考虑采用开放的API框架，例如开放云计算接口（OCCI）或云基础架构管理接口（CIMI）。