云安全的11個網絡挑戰和解決措施
2021-02-26 17:32:45
在將業務轉移到云之前���,組織需要了解他們可能面臨的云安全挑戰以及如何應對這些挑戰��。
所有云計算平臺的主要承諾,如提高信息技術效率、靈活性和可擴展性���,都面臨著一個重大挑戰:安全性。
許多組織無法定義云計算服務提供商(CSP)的責任在哪里結束,他們的責任在哪里開始���,因此可能會有更多的漏洞。云計算的可擴展性也增加了組織的潛在攻擊面。使問題進一步復雜化的是,傳統的安全控制措施已經不能滿足云安全的要求。
為了幫助組織了解他們面臨的云計算挑戰,CSA在10年前成立了一個專業團隊。由行業專業人士��、架構師���、開發人員和組織管理人員組成的研究團隊確定了25種安全威脅的列表����,由安全專家進行了分析��,對這些安全威脅進行了排名���,并將這些安全威脅歸納為11種最常見的云計算安全挑戰:
數據泄露����;
配置錯誤和變更控制不足���;
缺乏云安全架構和策略��;
身份����、憑證���、訪問和密鑰管理不足���;8.控制平臺薄弱
作為客戶的責任和2021年的新責任���,云計算控制平臺是組織使用的云計算管理控制臺和界面的集合��。根據CSA��,它還包括數據復制、遷移和存儲����。如果安全措施不當����,受損的控制平面可能會導致數據丟失��、監管罰款等后果���,以及品牌聲譽受損��,造成收入損失。
云安全聯盟的建議如下:
要求云計算服務提供商進行適當的控制����;
進行盡職調查���,確定潛在云服務是否有足夠的控制平臺����。
云控制矩陣(CCM)規范包括以下內容:
建立信息安全政策和程序��,并使其便于內部人員和外部業務關系審查����;
實施和應用深度防御措施����,及時檢測和應對網絡攻擊;
制定策略來標記����、處理和保護數據以及包含數據的對象。
9.元結構和應用程序結構失敗
云安全聯盟(CSA)定義的元結構是“提供基礎設施層和其他層之間接口的協議和機制”��,換句話說����,它是連接技術和實現管理和配置的粘合劑。
元結構是云計算服務提供商和客戶之間的分界線��。這里有很多安全威脅:比如云安全聯盟(CSA)指出云計算服務提供商(CSP)的API執行不力或者客戶使用的云計算應用程序不合適���。這種安全挑戰可能會導致服務中斷和配置錯誤��,以及財務和數據損失���。
應用程序結構被定義為“部署在云中的應用程序以及用于構建它們的底層應用程序服務”����。例如消息隊列����、手動分析或通知服務。
報告中的新威脅是客戶和云計算服務提供商的共同責任。云安全聯盟的建議如下:
云計算服務提供商提供可見性并披露緩解措施����,以解決其客戶缺乏透明度的問題����;
云計算服務提供商(CSP)進行滲透測試���,并向客戶提供結果����;
客戶在云原生設計中實現功能和控制��。
云控制矩陣(CCM)規范包括以下內容:
制定并維護審計計劃����,解決業務流程中斷問題;
實施加密以保護存儲、使用和傳輸中的數據��;
建立存儲和管理身份信息的策略和程序��。
10.云計算能見度有限
長期以來��,云計算使用情況的可見性一直是組織管理員關注的問題,但對于本報告中列出的CSA的云安全挑戰來說,這是一個新問題����。根據CSA的說法���,有限的可見性帶來了兩個關鍵挑戰:未經授權的應用程序使用����,也稱為影子IT���,是指員工使用信息技術部門不允許的應用程序����。
批準的應用程序濫用是指未能按預期使用信息技術批準的應用程序。例如���,這包括有權訪問應用程序的用戶,以及使用通過SQL注入或DNS攻擊獲得的被盜憑據來訪問應用程序的未經授權的個人。
CSA認為����,這種有限的可見性導致缺乏治理��、意識和安全性���,所有這些都可能導致網絡攻擊���、數據丟失和漏洞��。
這是今年名單上的新安全威脅����,也是云計算服務提供商和客戶的共同責任���。云安全聯盟的建議如下:
從上到下提高云計算的知名度����;
對可接受的云使用策略進行組織培訓;
所有未經批準的云服務都需要經過云安全架構師或第三方風險經理的審查和批準����。
云控制矩陣(CCM)規范包括以下內容:
定期進行風險評估���;
讓所有人員了解他們的合規性��、安全角色和責任;
清點����、記錄和維護數據流���。
11.濫用和惡意使用云計算服務
正如云計算可以給組織帶來許多好處一樣��,它也可能被惡意利用進行威脅。惡意使用合法的SaaS���、部分授權許可協議和內部授權許可協議產品將影響個人���、云計算的客戶和云計算的服務提供商���。組織傾向于通過以下方式濫用云計算服務:
分布式拒絕服務攻擊����;
釣魚���;
滲透開采��;
點擊欺詐;
暴力襲擊���;
托管惡意或盜版內容。
損壞和濫用云計算服務可能導致費用���,如丟失加密貨幣或攻擊者付款;組織在不知情的情況下托管惡意軟件的情況��;數據丟失等���。
云安全聯盟(CSA)建議云計算服務提供商(CSP)盡最大努力通過事件響應框架檢測和減輕此類攻擊���。云計算服務提供商(CSP)還應提供客戶可以用來監控云計算工作負載和應用程序的工具和控制���。
作為客戶和云計算服務提供商的共同責任��,云安全聯盟的建議如下:
監控員工云計算��;的使用情況
使用云計算數據丟失預防技術。
云控制矩陣(CCM)規范包括以下內容:
采取技術措施管理移動設備的風險����;
為組織和用戶擁有的終端(包括工作站、筆記本電腦和移動設備)定義配額并使用權限;
創建并維護已批準的應用程序列表��。
賬戶劫持��;
內部威脅���;
不安全的接口和APIs
控制平臺薄弱����;
元結構和應用結構失效��;
云使用的可見性有限��;
濫用和惡意使用云計算服務。
此后,云安全聯盟(CSA)每兩年發布一份調查報告��。幾天前發布的一份名為“令人震驚的云計算的11大威脅”的報告詳細解釋了這些威脅��,并確定了誰應該負責���,是客戶的責任��,還是云計算服務提供商(CSP)的責任,或者兩者兼有,并提供了幫助組織實施云計算安全保護的步驟��。
CSA發布的第五份調查報告顯示了一些重大變化���。值得注意的是��,11個主要安全威脅中有6個正在出現��。此外,這些威脅并不是云計算服務提供商(CSP)的全部責任,而是與客戶相關,或者由云計算服務提供商(CSP)和客戶共同承擔����。
云安全聯盟(CSA)全球研究副總裁約翰約赫(JohnYeoh)表示:“我們注意到,最重要的趨勢是��,組織已經加強了對客戶的控制���。”他將這些變化歸因于兩件事:要么是組織對云計算服務提供商(CSP)的信任顯著增加���,要么是組織希望加強控制����,更好地了解他們可以在云平臺上做什么,以及如何使用云服務來滿足其特定的安全需求���。
在今年發布的調查報告中,根據受訪者進行的調查���,以下是11種安全威脅以及針對每種安全威脅的緩解措施:
1.數據泄露
根據CSA的調查報告����,數據泄漏仍然是云計算服務提供商(CSP)及其客戶的責任��,并將在2021年繼續成為最大的云安全威脅����。在過去的幾年里����,許多數據泄漏都歸咎于云平臺,其中最引人注目的事件之一是CapitalOne對云計算的錯誤配置。
數據泄露可能會導致一些組織陷入困境,聲譽遭受不可逆轉的損害����,并因監管影響��、法律責任、事件響應成本和市值下降而造成財務困難。
云安全聯盟的建議如下:
確定數據的價值及其損失的影響��;
通過加密保護數據����;
制定一個強大且經過良好測試的事故響應計劃���。
CSA的云控制矩陣(CCM)規范包括以下內容:
執行數據輸入和輸出完整性例程���;
將最小特權原則應用于訪問控制����;
建立安全刪除和處理數據的政策和程序。
CSA的云控制矩陣是CSA安全指南的支撐文檔���,是第四代文檔,總結了各種云域及其主要目標����。
云控制矩陣(CCM)提供了按控制區域和控制id分類的需求和控制的詳細列表����,每個列表對應于其控制規范���、架構依賴����、云交付模型(SaaS、PaaS和IaaS)以及標準和框架(如PCIDSS��、NIST和FedRAMP)��。
2.配置錯誤和變更控制不足
如果資產設置不正確��,它們很容易受到網絡攻擊。比如CapitalOne公司的安全漏洞���,可以追溯到泄露AmazonS3 bucket的Web應用防火墻的錯誤配置���。除了不安全的存儲之外��,過大的權限和使用默認憑據是數據漏洞的另外兩個主要來源����。
與此相關��,無效的變更控制可能導致云計算配置錯誤���。在按需實時云計算環境中���,變更控制應該自動化����,以支持快速變更���。
客戶責任、錯誤配置和變更控制是云安全威脅列表中的新內容���。
云安全聯盟(CSA)的建議如下:
特別注意通過互聯網獲取的數據;
定義數據的業務價值及其損失的影響��;
創建并維護一個強有力的事故響應計劃��。
云控制矩陣(CCM)規范包括以下內容:
確保外部合作伙伴遵守內部開發人員使用的變更管理���、發布和測試程序��;
按計劃的時間間隔進行風險評估;
承包商��、第三方用戶和員工的安全意識培訓����。3.缺乏云安全架構和策略
許多組織在沒有適當的體系結構和策略的情況下進入云���。在遷移到云平臺之前���,客戶必須了解他們面臨的威脅����、如何安全地遷移到云平臺以及共同責任模式的來龍去脈。
這種威脅是列表中的新內容,主要是客戶的責任��。如果沒有適當的規劃����,客戶將容易受到網絡攻擊,這可能導致財務損失、聲譽損害以及法律和合規性問題���。
云安全聯盟的建議如下:
確保安全架構符合業務目標。
開發和實施安全架構框架。
實施持續的安全監控程序。
云控制矩陣(CCM)包括以下內容:
確保政策風險評估包括更新政策����,程序��、標準和控制措施,以保持相關性;
根據商定的服務級別和容量級別預期��、信息技術治理和服務管理政策和程序��,設計��、開發和部署業務關鍵/影響客戶的應用程序和應用編程接口設計和配置以及網絡和系統組件;
限制和監控網絡環境和虛擬實例中可信和不可信連接之間的流量。
4.身份���、憑證���、訪問和密鑰管理不足
大多數云安全威脅和一般網絡安全威脅都與身份和訪問管理(IAM)問題相關聯����。根據云安全聯盟(CSA)指南,這是由于以下原因:
證書保護不正確��;
缺少自動加密密鑰����、密碼和證書輪換;
IAM可擴展性挑戰��;
缺少多因素身份驗證��;
弱密碼��。
對于頂級云安全挑戰列表,新的標準身份和訪問管理(IAM)挑戰通過使用云計算得到加強����。執行庫存���,跟蹤����、監控和管理大量云計算帳戶的方法包括設置和取消配置問題����、僵尸帳戶���、過多的管理員帳戶和繞過身份和訪問管理(IAM)控制的用戶��,以及定義角色和權限的挑戰����。
作為客戶的責任,云安全聯盟(CSA)的建議如下:
使用雙因素身份驗證����;
對云計算用戶和身份實施嚴格的身份和訪問管理控制����;
輪換密鑰����、刪除未使用的憑證和訪問權限,并采用集中式編程密鑰管理���。
云控制矩陣(CCM)規范包括以下內容:
確定關鍵經理,發展和維護政策����;的關鍵管理
分配���、記錄和傳達終止雇傭或程序變更的角色和職責���;
及時取消用戶對數據和網絡組件的訪問權限��。
5.賬戶劫持
云計算賬戶劫持是指對云計算環境的運營、管理或維護至關重要的云計算賬戶泄漏���、意外泄漏或其他泄漏。如果這些高度特權和敏感的賬戶被銷毀����,可能會導致嚴重的后果��。
從網絡釣魚和填制憑證到薄弱或被盜的憑證到編碼不正確���,賬戶泄漏可能導致數據泄漏和服務中斷��。
作為云計算服務提供商(CSP)和客戶的責任���,CSA的建議如下:
請記住���,帳戶劫持不僅僅是密碼重置����;
使用深度防御��、身份和訪問管理(IAM)控制����。
云控制矩陣(CCM)規范包括以下內容:
建立��、記錄和采用統一的業務連續性計劃����;
分離的生產和非生產環境��;
維護并定期更新合規聯系人���,為快速與執法部門互動做好準備���。
6.內部威脅
與組織網絡中的員工和其他人相關的風險不限于云平臺���。無論疏忽或意圖如何���,內部人員(包括現任和前任員工��、承包商和合作伙伴)都可能導致數據丟失、系統停機、客戶信心下降和數據泄漏���。
組織必須解決客戶責任、涉及泄露或被盜數據的內部威脅、憑據問題���、人為錯誤和云錯誤配置。
云安全聯盟的建議如下:
進行安全意識培訓;
修復配置錯誤的云計算服務器;
限制對關鍵系統的訪問。
云控制矩陣(CCM)規范包括以下內容:
在重新定位或轉移硬件���、軟件或數據之前需要授權��;
按計劃的時間間隔授權和重新驗證用戶訪問控制����;
對多租戶應用程序、基礎架構和其他租戶的網絡進行分區。
7.不安全的接口和應用編程接口
云計算服務提供商(CSP)的用戶界面和應用編程接口是云計算環境中最開放的部分���,客戶通過它們與云計算服務進行交互。任何云計算服務的安全都是從良好的保護開始的,這是客戶和云計算服務提供商的責任。
云計算服務提供商(CSP)必須確保集成了安全性,客戶必須努力使用云安全聯盟(CSA)的所謂云計算“前門”進行管理、監控和安全��。這個威脅已經從上一份報告中的第三大威脅降到了第七大威脅����,但仍然非常重要。
云安全聯盟(CSA)的建議如下:
保證API的安全性���;
避免API密鑰重用;
使用標準開放的API框架。
云控制矩陣(CCM)規范包括以下內容:
根據行業領先標準設計��、開發��、部署和測試原料藥����,并遵守適用法律��、法規和監管義務;
隔離和限制對與組織信息系統交互的審計工具的訪問���,以防止數據泄漏和篡改;
限制可以覆蓋系統����、對象���、網絡��、虛擬機和應用程序控制的實用程序。
行業資訊 
微信公眾號
粵公網安備 44030702002479號