快捷搜索:

云安全主要受到了哪里的威胁

如今,越来越多的企业正在将数据和利用法度榜样迁移到云中,这带来了独特的信息安然寻衅。而企业在应用云谋略办事时将面临11个主要的云安然要挟。

云谋略继承改变企业应用、存储和共享数据、利用法度榜样、事情负载的要领。它还带来了许多新的安然要挟和寻衅。跟着大年夜量数据进入云谋略(尤其是公共云办事),这些资本自然成为不良行径者的目标。

调研机构Gartner公司副总裁兼云安然认真人Jay Heiser表示,“公共云利用正在迅速增长,是以弗成避免地导致敏感信息面临更多的潜在风险。”

与许多人的设法主见相反,保护企业在云中数据的主要责任不在于办事供给商,而在于客户本身。Heiser表示,“我们正处于一个云安然过渡期,在这个过渡期内,人们的留意力正从供给商转向客户。很多企业正在熟识到,花大年夜量光阴试图弄清楚某个云谋略办事供给商是否‘安然’实际上没有回报。”

为了使组织对云安然问题有最新的懂得,以便他们可以就云采纳策略做出有根据的决策,云安然同盟(CSA)宣布了其最新版本的《云谋略的11个最大年夜要挟申报》。

该申报反应了云安然同盟(CSA)社区中的安然专家之间当前就云中最紧张的安然问题杀青的共识。云安然同盟(CSA)表示,只管云中存在许多安然问题,但这个列表主要关注11个与云谋略的共享、按需特点相关的问题。

去年的查询造访申报中列出的几项要挟排名今年有所下降,此中包括回绝办事、共享技巧破绽、云谋略办事供给商数据损掉和系统破绽。申报指出,“查询造访注解,由云谋略办事供给商认真的传统安然问题彷佛不那么令人担忧。相反,我们看到更多的是必要办理位于技巧客栈更高层的安然问题,是高档治理层决策的结果。”

为了确定人们更为关注的问题,云安然同盟(CSA)对行业专家进行了一项查询造访,以就云谋略中最大年夜的安然性问题网络专业意见。以下是主要的云安然性问题(按查询造访结果的严重性顺序依次排列):

1.数据泄露

数据泄露的要挟在去年的查询造访中仍旧维持其重要的位置。不难理解其缘故原由,由于数据泄露可能会严重侵害企业的声望和财务。它们可能会导致常识产权(IP)丧掉和重大年夜司法责任。

云安然同盟(CSA)关于数据泄露要挟的关键要点包括:

进击者必要获取数据,是以企业必要定义其数据的代价及其损掉的影响。

谁有权造访数据是办理保护数据的关键问题。

经由过程举世互联网可造访的数据最轻易受履新错设置设置设备摆设摆设或使用。

加密可以保护数据,但必要在机能和用户体验之间进行权衡。

企业必要斟酌云办事供给商颠末测试的靠得住事故相应计划。

2.设置设置设备摆设摆设差错和变化节制不够

设置设置设备摆设摆设差错和变化节制不够是对云安然同盟(CSA)列表的新要挟,斟酌到许多企业意外地经由过程云谋略泄露数据的例子,这不够为奇。例如,云安然同盟(CSA)引用了Exactis事故,云谋略供给商因设置设置设备摆设摆设差错开放了ElasTIcsearch数据库,此中包孕2.3亿名美国破费者的小我数据,可供"民众,"造访。因为备份办事器设置设置设备摆设摆设不精确,其要挟与数据泄露一样严重, Level One RoboTIcs公司泄露了100多家制造公司的IP。

云安然同盟(CSA)表示,这不仅仅是企业必须关注的数据损掉,还有为了破坏营业而删除或改动资本。申报将大年夜部分差错设置设置设备摆设摆设归咎于糟糕的变化节制实践。

云安然同盟(CSA)关于设置设置设备摆设摆设差错和变化节制不力的关键要点包括:

基于云谋略的资本的繁杂性使其难以设置设置设备摆设摆设。

不要期望传统的节制和变化治理措施在云中有效。

应用自动化和技巧,这些技巧会持续扫描差错设置设置设备摆设摆设的资本。

3.短缺云安然架构和策略

这个问题从云谋略呈现时就不停存在,但今年已成为云安然同盟(CSA)的新问题。将系统和数据迁移到云中所需的光阴最小化的希望平日优先于安然性。是以,该公司可以应用非针对其设计的安然性根基举措措施和策略在云中运营。这呈现在2019年的清单上的事实注解,更多的企业意识到这是一个值得关注的问题。

云安然同盟(CSA)关于短缺云安然架构和策略的关键要点包括:

安然体系布局必要与营业目标维持同等。

开拓和实施安然体系布局框架。

维持要挟模型为最新版本。

支配继续监视功能。

4.身份、凭据、造访和密钥治理不力

列表中的另一个新要挟是对数据、系统和物理资本(如办事器机房和修建物)的造访治理和节制不力。该申报指出,云谋略要求企业改变与身份和造访治理(IAM)有关的做法。没有这样做的后果可能导致安然事故和破坏,其缘故原由是:

凭证保护不够

短缺自动轮换密码密钥、密码和证书的功能

短缺可扩展性

无法应用多身分身份验证

无法应用强密码

云安然同盟(CSA)关于身份、证书、造访和密钥治理不够的关键要点包括:

安然帐户,包括应用双身分身份验证

限定应用root帐户

根据营业需乞降最低特权原则,隔离和细分帐户、虚拟私有云和身份组

采纳法度榜样化、集中式措施进行密钥轮换。

删除未应用的凭证和造访权限。

5.帐户挟制

帐户挟制仍旧是今年第五大年夜云要挟。跟着收集钓鱼考试测验变得加倍有效和更具针对性,进击者得到高权限帐户造访权的风险异常大年夜。收集钓鱼并不是进击者获取凭证的独一措施。他们还可以经由过程其他要领偷取账户。

一旦进击者可以应用合法帐户进入系统,他们就可能造成大年夜量破坏,此中包括偷盗或破坏紧张数据、中止办事交付或财务敲诈。云安然同盟(CSA)建议对用户进行帐户挟制的危险和迹象的培训和教导,以最大年夜程度地低落风险。

云安然同盟(CSA)关于帐户挟制的关键要点包括:

帐户凭证被盗后,不仅要重置密码。必要从根滥觞基本因入手办理问题。

深度防御措施和强大年夜的身份识别与造访治理(IAM)节制是最好的防御措施。

6.内部要挟

来自受相信内部职员的要挟在云中与内部支配系统一样严重。组织内部职员可所以现任或前任员工、承包商或可托赖的营业相助伙伴,这些是无需冲破公司防御即可造访其系统的任何人。

内部人士造成的侵害并不必然怀有恶意,他们可能会无意间使数据和系统面临风险。云安然同盟(CSA)引用了波洛蒙钻研所的2018年内部要挟资源钻研申报,该申报指出,申报的所有内部事故中有64%是因为员工或承包商的纰漏所致。这种纰漏可能包括设置设置设备摆设摆设差错的云谋略办事器,在小我设备上存储敏感数据,或成为收集钓鱼电子邮件的受害者。

云安然同盟(CSA)关于内部要挟的关键要点包括:

对员工进行有关精确做法的培训和教导,以保护数据和系统。使教导成为一个持续的历程。

按期审核和修复设置设置设备摆设摆设差错的云谋略办事器。

限定对关键系统的造访。

7.不安然的接口和API

不安然的接口和API从去年的第三名跌至第七名。2018年发生了众所周知的Facebook数据泄露事故,影响了全秋5000多万个帐户,这是其查看要领功能中引入的破绽的结果。尤其是当与用户界面相关联时,API破绽可以为进击者供给偷取用户或员工凭证的清晰道路。

云安然同盟(CSA)申报指出,企业必要懂得API和用户界面是系统中最轻易裸露的部分,并且鼓励经由过程设计措施来构建它们来包管安然性。

云安然同盟(CSA)关于不安然的接口和API的关键要点包括:

采取优越的API做法,例如监督库存、测试、审计和非常活动保护等项目。

保护API密钥并避免重用。

斟酌开放的API框架,例如开放云谋略接口(OCCI)或云根基举措措施治理接口(CIMI)。

8.节制平台懦弱

节制平台涵盖了数据复制、迁移和存储的历程。根据云安然同盟(CSA)的说法,假如认真这些历程的职员无法完全节制数据根基举措措施的逻辑、安然性和验证,则节制平台将很懦弱。治理职员必要懂得安然设置设置设备摆设摆设、数据流向以及架构盲点或弱点。否则可能会导致数据透露、数据弗成用或数据毁坏。

云安然同盟(CSA)关于节制平台懦弱的关键要点括:

确保云谋略办事供给商供给了实行司法和法定使命所需的安然节制。

进行尽职查询造访,以确保云谋略办事供给商拥有足够的节制平台。

9.元布局和利用法度榜样布局故障

云谋略办事供给商的元布局保存有关若何保护其系统的安然信息,并经由过程API调用公开该信息。云安然同盟(CSA)将元布局称为云办事供给商/客户的“分界线”。API赞助客户检测未经授权的造访,但还包孕高度敏感的信息,例如日志或审核系统数据。

这条“分界线”也是潜在的故障点,可能使进击者能够造访数据或破坏云客户。API实施不佳平日是导致破绽的缘故原由。云安然同盟(CSA)指出,例如,不成熟的云谋略办事供给商可能不知道若何精确地向其客户供给API。

另一方面,客户可能不懂得若何精确凿施云谋略利用法度榜样。当他们连接非为云情况设计的利用法度榜样时,尤其如斯。

云安然同盟(CSA)关于元布局和利用法度榜样布局掉败的关键要点包括:

确保云谋略办事供给商供给可见性,并公开缓解步伐。

在云原生设计中实施适当的功能和控件。

确保云谋略办事供给商进行渗透测试并向客户供给发明结果。

10.云谋略应用环境有限的可见性

安然专业职员普遍诉苦云谋略情况使他们对检测和防止恶意活动所需的许多半据熟视无睹。云安然同盟(CSA)将这种有限的应用可见性寻衅分为两类:未经赞许的利用法度榜样应用和未经赞许的利用法度榜样滥用。

许可的利用法度榜样滥用可能是应用许可的利用法度榜样的授权职员或应用被盗凭证的外部要挟介入者。云安然同盟(CSA)申报称,安然团队必要能够经由过程检测非常行径来区分有效用户和无效用户。

云安然同盟(CSA)关于有限的云应用可见性的关键要点包括:

从上到下开拓与职员、流程和技巧相关的云谋略可见性事情。

在组织范围内进行强制性培训,懂得可吸收的云应用政策和履行环境。

让云安然架构师或第三方风险治理职员查看所有未经赞许的云办事。

投资云造访安然代理(CASB)或软件定义的网关(SDG),以阐发出站活动。

投资Web利用法度榜样防火墙以阐发入站连接。

在全部组织中实施零相信模型。

11.滥用和恶意应用云谋略办事

进击者越来越多地应用合法的云谋略办事来支持其活动。例如,他们可能应用云谋略办事在GitHub等站点上托管冒充的恶意软件,提议DDoS进击,分发收集钓鱼电子邮件,掘客数字泉币,履行自动点击敲诈或进行暴力进击以偷取凭证。

云安然同盟(CSA)表示,云谋略办事供给商应有适当的缓解步伐,以防止和发明滥用行径,例如付款对象敲诈或滥用云谋略办事。对付云谋略供给商来说,建立事故相应框架以应对滥用并容许客户申报滥用也很紧张。

云安然同盟(CSA)关于滥用和滥用云办事的关键要点包括:

监控员工的云谋略应用环境是否受到滥用。

应用云谋略数据损掉防护(DLP)办理规划来监视和阻拦数据泄露。

滥觞: 企业网D1Net

您可能还会对下面的文章感兴趣: